1. Главная страница » Компьютеры

D link des 2108 настройка

Автор: | 16.12.2019

Asymmetric VLAN

1) Моя версия прошивки — DES-2108_B1_5_00_18.hex. Её можно скачать с сайта dlink.ru, с их ftp-сервера. Я полгода мучал мозги думая, можно ли так сделать с этими коммутаторами и только сегодня эту прошивку обнаружил 🙂 В ранней версии этой возможности не было и возможность появилась сравнительно недавно.

2) Перепрошиваем D-Link, если версия прошивки ниже 5.00.18.

3) Заходим c помощью WEB-конфигуратора: Configuration=>802.1Q VLAN

4) Включаем Asymmetric VLAN (ставим радиокнопку в положение Enable). Коммутатор делает нам предупреждение, но мы соглашаемся, что у нас всё станет по дефолту и продолжаем. Поэтому, если у вас были настроены другие VLAN, статичные, то сначала подумайте о том, что делаете.

5). Думаем, что у нас будет в основном VLANе, оборудование в которое будет доступно пользователям, сидящим в других VLAN. Однако, пользователи друг друга видеть не будут.

6). Создаём VLAN для общих ресурсов. Назовём его pppoe. У меня в качестве ресурса, который должен быть общедоступен для всех пользователей — терминирующая PPPoE пакеты железка, которая с помощью ADSL модема, в режиме бриджа, передаёт PPPoE пакеты в сеть. То есть любой пользователь, с помощью виндовой утилиты может создать высокоскоростное PPPoE-соединение для выхода в сеть Интернет. При этом пользователи, которые находятся на разных портах коммутатора и не видят друг для друга (по крайней мере такая задумка) . Не будут ни пинговать, ни иметь возможность заходить на машину, которая находится на другом порту коммутатора. Сделано это в целях безопасности. Но это в моём случае. В вашем случае, это может быть файловый сервер или какой-нибудь игровой сервер. В общем, у разных людей, разные задачи 🙂

  • Нажимаем кнопку AddVID
  • PVID: 02
  • VLAN name: pppoe
Читайте также:  Hyper v проброс usb hasp

7) Вносим в этот VLAN все порты. Если в решении планируется ещё коммутаторы, то один из портов должен быть в режиме tag. Остальные untag. То есть, если представить в голове, как это будет работать, то можно подумать о том, что мы получаем несколько VLAN с общим портом или портами. При этом порт пользователя отсутствует во VLAN другого пользователя, тем самым достигается невидимость друг для друга этих самых пользователей, но они будут видеть один или несколько общих ресурсов, которые для этой цели выделены в общем VLAN. VLAN default пока не трогаем 🙂

8) Внизу есть кнопка: PVID settings, которая распределяет портам PVID.

9) Нажимаем кнопку PVID settings и определяем, что 1 порт находится в PVID равным 2, так как мы указали, что у VLAN с именем pppoe имеет VID 02. Для подтверждения изменений нажимаем Apply!

10). Создаём VLAN для первого пользователя. Нажимаем кнопку AddVID и даём следующие параметры:

11) Помещаем порт 2 и 1 во VLAN с именем user1

12) Нажимаем кнопку PVID setting и говорим, что порт 2 будет с PVID равным 3.

13) Создаём VLANы для всех остальных портов, которые будут использоваться пользователями, соответственно: user2, user3, user4, user5, user6.

14) В PVID settings указываем каждому пользователю разные PVID, заданные при создании VLANов.

15) Ввиду того, что я буду использовать несколько коммутаторов, то один из портов делаем тэгированным и ставим ему в свойствах режим tag. Я выбрал, что 8 порт, у меня будет соединяться с портом другого коммутатора, тоже имеющим VLANы. Для того, чтобы тэгированные пакеты с одного коммутатора передались на другой, порты на обоих коммутаторах должны быть в режиме tag. VID я обозвал uplink, как когда-то такой порт назывался на хабе 🙂

То есть получаем:

    1 порт: VLAN pppoe:PV >16) После того, как в PVID settings портам присвоен PVID, удаляем из VLAN default (если там ничего не требуется. по крайней мере в нашем случае он будет не нужен) все порты, в нём задействованные по умолчанию с завода.

17) На этом, настройка одного коммутатора закончена 🙂 Но мы хотим, чтобы у нас было два. Я думаю, что после всех настроек, целесообразно будет перезапустить его. то есть обесточить, и заново включить. После этого можно приступать к настройке второго. То есть, мы хотим, чтобы с другого коммутатора второго уровня, также DES-2108, хотя в принципе, это неважно, какой коммутатор, главное, чтобы уровень был не ниже, пробросить такие VLAN, чтобы пользователи, находящиеся на портах этого свитча, имели возможность доступа только к выделенным ресурсам и не имели возможность общаться между собой.

18) Итак, приступаем к настройке.

19) Первым делом создаём VLANы. Их PVID должен отличаться от тех, которые мы завели на первом коммутаторе. Однако, первоначально мы должны создать такой VLAN, который у нас есть на первом коммутаторе и предназначен для общих ресурсов с одним отличием, что один порт в этом VLAN — тэгированный (чтобы коммутаторы могли соединиться и передавать тэгированные пакеты). Он у нас называется pppoe. Итак, настраиваем:

    1 порт: VLAN pppoe:PV >То есть, мы говорим свитчу, что во VLAN pppoe будут передаваться пакеты с портов 1, 2, 3, 4, 5, 6, 7 и 8. Один мы оставляем под передачу тэгированных пакетов — это порт 1. Я бы хотел взять в расчёт ещё один тэгированный порт, так как подразумеваю, что будет ещё один коммутатор, но пока не буду этого делать, так как на столе лежат два коммутатора 🙂

20) Я продолжил по порядку и у меня получилось следующее (полный список). Составляются они аналогично тому, как мы делали на первом коммутаторе:

    1 порт: VLAN pppoe:PV >21) После того, как мы всё настроили на втором коммутаторе, возвращаемся к первому. Зачем это нужно? А нужно это для того, чтобы на первом коммутаторе настроить VLAN, которые есть на втором. Он у нас будет, чем-то похожим на транзитный мост, между вторым коммутатором и портом, куда выведены общие ресурсы. Сам смысл передачи тэгированных пакетов заключается в том, что к кадру добавляется заголовок, где находится информация об имени VLAN. То есть на втором свитче кадры инкапсулируются и им добавляется заголовок.

Собственно, если подключиться к порту, которому присвоен режим tag, то простым свитчём ничего прослушать будет нельзя, равно как и работать по сети. На другом коммутаторе, также должен быть порт, в режиме tag, чтобы он мог деинкапсулировать эти пакеты, то есть расшифровывать и раздать по портам, которые указаны в теле кадра, кому он предназначен. В общем, в этом весь и смысл. по крайней мере я так понимаю. Хотя, конечно может я неправильно что-то представляю в своей голове, но у меня работает 🙂

22) Итак, настраиваем первый коммутатор. У нас получаются такие настройки, с учётом того, что на втором коммутаторе я настроил всех пользователей по порядку:

    1 порт: VLAN pppoe : PV >23) VLANdefault можно опустошить от портов 🙂 Удалить это VLAN не получиться, но ообходится без него, вполне по силам.

24) Согласно техническим характеристикам, с помощью коммутаторов D-Link DES-2108 можно пробросить до 64 VLAN (указано в описании на прошивку). На этом их ресурс ограничевается. Плохо или это хорошо, решать не мне, но если нужно больше VLAN, то требуется использовать железку по мощней.

25) Собственно говоря, на этом всё. Можно ещё оставить создать VLAN для себя и сделать себе сеть, чтобы иметь возможность только вам контролировать эти свитчи. Это достигается с помощью пункта 802.1Q Management VLAN. То есть службеный VLAN, для управления коммутаторами. Настраивается всё в точности также, как и было описано, только его придётся прогнать дальше и железяка на первом порту должна тоже быть во VLAN. Либо можно использовать какой-то из портом коммутаторов, которые мы настраивали — не суть важно. Собственно, на этом всё.

Управляемые коммутаторы — особый тип сетевых устройств, предназначенный для установки в тех местах локальной сети, которые требуют повышенного внимания или более сложной топологии. К таким особым требованиям относятся: необходимость мониторинга, настройки параметров портов, использование VLAN’ов, объединение нескольких каналов и т.п. В этом обзоре речь пойдет о представителе этого типа устройств — коммутаторе D-Link DES-2108, который содержит 8 портов, работающих на скоростях 10/100 Мбит/с.

  • Коммутация протоколов Ethernet и Fast Ethernet с возможностью автоопределения "прямой/кросс" и задания для каждого порта:
  • протокола (10/100 Мбит/с);
  • режима дуплекса/полудуплекса;
  • контроля потока;
  • приоритета порта (высокий/обычный).
  • VLAN’ы, как в режиме "port-based", так и в режиме 802.1q. В режиме "port-based" VLAN’ы создаются простой группировкой портов с последующим изолированием групп друг от друга. А в режиме 802.1q поддерживается задание для каждого порта режима работы в определенном VLAN’е: "tagged", "untagged" или "not member".
  • Порт для мониторинга трафика (он же "mirror port" или "sniffer port"). При включении этой опции можно указать, с каких портов, в каком направлении (прием, передача или обоих) и на какой порт дублировать кадры для мониторинга. После чего к указанному порту можно подключить компьютер с программой-анализатором или монитор трафика.
  • Протокол резервирования топологии STP (Spanning Tree Protocol) с индивидуальными настройками приоритета и "стоимости" для каждого порта.
  • Мониторинг и управление по SNMP v.1 (MIB’ы доступны) с возможностью настройки нескольких trap’ов по следующим событиям:
    • перезагрузка устройства;
    • изменение состояния порта (link up/link down);
    • нетипичная ошибка передачи;
    • нетипичная ошибка приема.
    • Задание статической таблицы коммутации размером до 60 элементов. Есть возможность отключить автообучение (определение, какое устройство находится на каждом порту) для определенных портов и указать вручную MAC-адреса с привязкой к определенным портам.
    • IGMP Snooping. Эта функция позволяет оптимизировать использование полосы пропускания коммутатора за счет того, что пакеты для групповых рассылок (multicast) рассылаются не на все порты, а только на те, к которым подключены получатели по этим групповым рассылкам.
    • Функция предотвращения широковещательного шторма ARP-запросов.
    • Просмотр статистики по каждому порту:
      • количество переданных и принятых пакетов;
      • число ошибок передачи и приема.
      • Коммутатор исполнен в металлическом корпусе размерами 280х180х44 мм с возможностью установки как на горизонтальную поверхность, так и в стандартную стойку 19". Все необходимые крепления идут в комплекте.

        Питание коммутатора осуществляется от встроенного блока питания.

        На переднюю панель выведены:

        1. Кнопка сброса настроек на заводские установки.
        2. Индикатор подачи питания.
        3. Индикатор работы CPU.
        4. Индикаторы скорости соединения портов (10/100 Мбит/с).
        5. Индикаторы состояния и активности портов (Link/Act).
        6. Порты Ethernet/Fast Ethernet с разъемами RJ45.

        На заднюю панель выведен разъем для подключения стандартного силового кабеля.

        В коробке мы нашли:

        1. Сам коммутатор DES-2108.
        2. Комплект резиновых "ножек" для установки на горизонтальную поверхность.
        3. Комплект креплений для установки в стойку 19".
        4. Диск с ПО и документацией на английском языке.
        5. Инструкцию по установке и настройке на английском языке.
        6. Силовой кабель.

        На диске поставляется:

        1. Утилита с экзотическим именем "web_management_utility", которая позволяет:
        1. обнаруживать коммутаторы в сети;
        2. настраивать базовые сетевые параметры;
        3. принимать SNMP trap’ы;
        4. изменять пароль администратора;
        5. обновлять прошивку;
        6. запускать Internet Explorer для настройки коммутатора.
      • Документация по настройке в формате PDF.
      • Adobe Acrobat Reader 5.0.
      • По умолчанию коммутатор настроен на использование IP-адреса 192.168.0.1 с маской 255.255.255.0. Несмотря на то, что производитель утверждает, что этот адрес используется только в случае невозможности получить адрес по DHCP, нам не удалось это повторить. Даже при наличии в сети DHCP-сервера коммутатор использовал статический адрес 192.168.0.l. В связи с этим, перед подключением коммутатора к сети, следует убедиться, что не возникнет конфликта с существующими сетевыми устройствами.

        Первоначальная настройка сводится к:

        1. установке IP-адреса (в случае необходимости);
        2. смене пароля администратора (по умолчанию — "admin");
        3. смене community name "private" в настройках SNMP на свой пароль;
        4. обновлению прошивки (не обязательно).

        В доставшемся нам коммутаторе была установлена прошивка версии 1.1.2. На FTP-сервере производителя доступна более свежая версия прошивки — 2.0.8. Однако, нам не удалось обнаружить видимых отличий в их работе.

        При написании обзора была использована последняя версия прошивки.

        При настройке коммутатора через веб-интерфейс следует использовать Internet Explorer. Мы пытались это делать через Firefox и обнаружили некоторые проблемы с совместимостью с этим браузером в обеих версиях прошивок.

        Для каждого порта можно индивидуально выставить следующие параметры:

        • Протокол: 10/100 Мбит/с в режиме дуплекса/полудуплекса. Эта настройка может пригодиться при работе с оборудованием, которое некорректно определяет протокол. Или, в случае некачественной линии связи, снижение скорости и включение полудуплекса может снизить количество ошибок передачи.
        • Контроль потока. Если этот режим включен, то коммутатор при перегрузке этого порта будет отсылать отправителю специальный пакет с требованием снизить скорость потока.
        • Качество обслуживания. Коммутатор поддерживает на каждом интерфейсе две очереди — "обычную" и "с высоким приоритетом". Включение этой настройки в "high" приведет к тому, что кадры, принятые через этот порт, будут иметь более высокий приоритет, т.е. попадать в приоритетную очередь при передаче через другие порты.

        Коммутатор поддерживает VLAN’ы двух типов: "port-based" и 802.1q.

        Port-based VLAN позволяют создавать несколько VLAN и присваивать их портам устройства. Между различными VLAN’ами кадры передаваться не будут. Этот режим, фактически, создает несколько виртуальных коммутаторов в одном, распределяя между ними порты. Недостаток такого режима в том, что не поддерживается транкование, т.е. передача кадра, принадлежащего к определенному VLAN’у, с сохранением метки этого VLAN’а. В каком бы VLAN’е не обращался кадр — при его передаче за пределы коммутатора — он не будет содержать метки VLAN’а, а значит, использовать такие VLAN’ы можно только в пределах одного коммутатора.

        VLAN’ы в режиме 802.1q более универсальны — их кадры могут передаваться за пределы коммутатора с сохранением метки ("tag"). Разумеется, устройство, на которое передается маркированный ("tagged") кадр, тоже должно поддерживать стандарт IEEE 802.1q и "понимать" метку VLAN’а.

        В режиме 802.1q каждый порт коммутатора может принадлежать к одному и более VLAN’у, причем для каждого VLAN’а он может работать в режиме "tagged", "untagged" и "not member". В режиме "not member" порт не участвует в работе VLAN’а, в режиме "tagged" порт является транковым, т.е. передает кадры этого VLAN’а, сохраняя метку, а в режиме "untagged" порт передает кадры, удаляя из них метку VLAN’а.

        Если порт находится в режиме tagged и участвует в работе нескольких VLAN’ов, то появляется интересная возможность пробрасывать несколько изолированных локальных сегментов через одно физическое соединение Ethernet.

        Например, такая схема применяется для маршрутизаторов с поддержкой 802.1q — в этом случае через один порт Ethernet к маршрутизатору подводятся несколько виртуальных сегментов Ethernet, которые потом распределяются по портам коммутатора, находящимся в режиме untagged, а к последним уже можно подключать устройства без поддержки 802.1q. В результате можно получить серьезную экономию на модулях Ethernet-портов для маршрутизатора.

        Второе использование транковых портов заключается в том, чтобы организовать несколько VLAN’ов в пределах всей сети. В случае использования 802.1q достаточно соединить коммутаторы, на которых должны обслуживаться клиенты этих VLAN’ов, транковыми портами (в режиме tagged). Тогда коммутаторы будут обмениваться кадрами, содержащими метку VLAN’а, что позволит им корректно разделять кадры между виртуальными сегментами.

        Для диагностики и мониторинга коммутатор поддерживает функцию "Mirror port", которая позволяет настроить дублирование кадров с определенных портов на один выбранный (он и есть "mirror port"). Затем к этому порту можно подключить сетевой монитор — это отдельное аппаратное устройство для анализа трафика в сети, или любой компьютер с установленной программой-анализатором. Эта функция позволяет проводить диагностику сети путем анализа трафика, который по ней циркулирует, либо использовать ее для ведения экаунтинга с помощью соответствующих программ.

        Один из самых популярных бесплатных анализаторов трафика — Ethereal. Другой интересный и бесплатный анализатор трафика с уклоном на статистические задачи — ntop.


        Spanning Tree protocol (STP)

        Для возможности резервирования соединений Ethernet, который в начальном своем состоянии не допускает кольцевых подключений, коммутатор поддерживает протокол STP. Он позволяет создать виртуальное "дерево" и затем отслеживать, чтобы его "ветви" не пересекались путем отключения портов, где такие пересечения обнаружены.


        Simple Management Protocol (SNMP)

        Для управления и мониторинга коммутатора поддерживается протокол SNMT v.1. Напомним, что SNMP v.1 не поддерживает шифрование, а т.н. "community name", фактически, является паролем доступа по SNMP и передается по сети в открытом виде. Поэтому SNMP v.1 следует использовать только через защищенные от прослушивания каналы.

        Для удобства мониторинга на сайте производителя доступны базы MIB, которые можно подключить к ПО, используемому для работы с DES-2108 по SNMP.

        В ходе тестирования нам не удалось добиться работы trap’а "link up/down", а после сброса коммутатора на заводские настройки у него по умолчанию включена поддержка SNMP, причем автоматически созданы две community: "public" и "private". Если с "public" не все так страшно — всего-то через нее можно читать настройки и статистику коммутатора, то с "private" все серьезней — через нее эти настройки можно изменять. Поэтому после установки коммутатора, как минимум, имя community "private" нужно сменить на какой-нибудь пароль, хоть бы тот же, что и у администратора. Напомним, что в данном случае имена community фактически являются паролями доступа по SNMP.

        При необходимости можно задавать таблицу коммутации вручную (до 60 записей) и отключать автообучение для определенных портов. Это может потребоваться из соображений безопасности, например, для предотвращения несанкционированного подключения к Ethernet-портам. В этом случае для порта указывается MAC-адрес устройства, которое к нему подключено (санкционированно), и отключается автообучение для этого порта. После таких манипуляций на указанный порт будут отсылаться кадры только для заданного MAC-адреса (и широковещательные, разумеется). Тем самым, даже если кто-то подключится к этому порту, то он не сможет нормально работать — коммутатор просто заблокирует его кадры.

        Для удобства ввода MAC-адресов поддерживается их автоопределение. Для этого нужно подключить устройство к нужному порту и включить поиск.

        Эта функция позволяет оптимизировать использование полосы пропускания за счет отсылки групповых рассылок только на порты реальных получателей. Групповые рассылки (multicast) в Ethernet-сети без поддержки оптимизации IGMP рассылаются широковещательно (broadcast). Это, во-первых, снижает производительность сети, поскольку на время передачи такого кадра блокируется передача любых других кадров на всех портах, во-вторых, снижает безопасность — копии всех групповых кадров рассылаются всем пользователям сети, что делает возможным их перехват.

        Механизм IGMP Snooping позволяет отслеживать членство в группах, по таблице коммутации определять, на каких портах находятся реальные получатели (т.е. являющиеся членами этих групп), и отсылать групповой кадр именно на те порты, где его ждут получатели.

        Как уже было сказано, Ethernet изначально не поддерживает петлевые связи. В случае, если где-то в топологии такой сети появляется кольцо (оно же "замыкание ветвей"), то первый же широковещательный кадр будет бесконечно циркулировать по этому кольцу в виду алгоритма работы Ethernet. Чтобы снизить последствия от ошибочно созданных петель, коммутатор поддерживает функцию "Storm control", которая позволяет обнаруживать такие "зацикленные" кадры и удалять их из сети.

        Коммутатор предоставляет возможность вести статистику по каждому порту. Для удобства обнаружения проблем с качеством связи ведутся счетчики ошибок приема и передачи.

        Раздел управления позволяет настраивать такие сетевые параметры коммутатора, как адрес для управления, порт веб-интерфейса, таймаут сессии администрирования, а также имя устройства и его местоположение.

        Через веб-интерфейс доступны:

        • смена пароля администратора;
        • сохранение настроек в файл и восстановление из файла;
        • сброс настроек на заводские установки;
        • перезагрузка коммутатора.

        Поддерживается и telnet-интерфейс.

        В целом, коммутатор показал себя только с положительной стороны — не было замечено сбоев в работе, производительность была на хорошем уровне. Словом, он делал то, что должен, — коммутировал.

        Изюминка этого устройства в другом — невысокая стоимость для управляемого коммутатора и поддержка VLAN’ов стандарта IEEE 802.1q. Это, несомненно, позволит ему занять свою нишу, в которую неуправляемые коммутаторы не попадают по причине отсутствия необходимого функционала, а управляемые — ввиду высокой цены. DES-2108, на начало ноября 2005 года, стоит около $113, что, по нашему мнению, является вполне сбалансированной стоимостью.

        • обновление прошивки возможно только из Windows;
        • не работает trap "link up/down";
        • по умолчанию включена SNMP community "private" с возможностью изменения конфигурации.

        Коммутатор D-Link DES-2108 для обзора был предоставлен официальным дистрибьютором D-Link в РБ компанией ОДО "Мультисофт"

        Рассмотрим основные команды для работы коммутаторами D-Link, команды для настройка vlan, учетных записей, просмотра конфигурации, интерфейсов и портов.

        Просмотр основных характеристик коммутаторов dlink

        Эта команда позволяет посмотреть — название модели, mac-address, vlan управления, ip-address, subnet mask, default gateway, firmware version, hardware version, serial number, system name, system location, system uptime и т.п.

        Просмотр загрузки процессора (CPU).

        Работа с конфигурацией на коммутаторах dlink

        Просмотр текущей конфигурации

        Просмотр конфигурации в nvram.

        Сохранение текущей конфигурации.

        Сброс к заводским настройкам

        Настройка ip маски и шлюза на коммутаторах dlink

        Настройка IP адреса и сетевой маски.

        Просмотр интерфейсов управления.

        Задание шлюза по умолчанию.

        Просмотра маршрута по умолчанию.

        Удаление маршрута по умолчанию.

        Настройка VLAN на коммутаторах dlink

        Просмотр всех созданных vlan.

        Добавление vlan на порты.

        В первом случае добавляется нетегированная (untagged) vlan на порты 1,2,3,5.

        Во втором случае добавляется тегированная (tagged) vlan на порты 8,10.

        В третьем случае запрещается прохождение vlan на 9-ом порту.

        Настройка vlan управления коммутатора.

        Удаление default vlan со всех портов.

        Настройка пользователей на коммутаторах dlink

        Настройка имени пользователя и пароля.

        Просмотр учетной записи.

        Cменить пароль существующему пользователю.

        Просмотр mac и arp таблиц на коммутаторах dlink

        Просмотр таблицы mac-адресов.

        Просмотр таблицы mac-адресов для определенного порта.

        Просмотр arp табицы.

        Просмотр диагностической информации по портам коммутатора dlink

        Просмотр режимов работы портов (Speed, Duplex, FlowCtrl).

        Просмотр ошибок на портe.

        Просмотр статистики по всем портам.

        Установка комментария на порт коммутатора dlink

        размер комментария может содержать до 32 символов и не должен содержать пробелы.

        Добавить комментарий

        Ваш адрес email не будет опубликован. Обязательные поля помечены *