Настройка коммутаторов SNR для начинающих пользователей

В этой статье мы рассмотрим основные аспекты первоначальной настройки коммутаторов SNR. Будет продемонстрировано выполнение одинаковых действий через CLI (Command Line Interface) и через WEB-интерфейс.

Доступ к коммутатору с заводскими настройками

В консольном режиме

Для связи с коммутатором через консольный порт на ПК необходимо выполнить следующие действия:

• Соединить Serial-порт ПК с портом Console коммутатора консольным кабелем, идущим в комплекте с коммутатором;
• Запустить программу эмуляции терминала (Putty, Minicom, HyperTerminal) и произвести следующие настройки:
  • Выбрать соответствующий Serial-порт компьютера ;
  • Установить скорость передачи данных 9600;
  • Задать формат данных: 8 бит данных, 1 стоповый бит, без контроля четности;
  • Отключить аппаратное и программное управление потоком данных.
• Включить питание коммутатора.

В режиме WEB-интерфейса

По умолчанию коммутатор имеет IP-адрес 192.168.1.1. Чтобы подключиться к его WEB-интерфейсу, назначьте сетевой карте ПК IP-адрес из этого же диапазона (например 192.168.1.2), подключите сетевой провод в один из Ethernet-портов коммутатора и введите в адресной строке браузера 192.168.1.1. В качестве имени пользователя и пароля используйте admin/admin.

Правила работы с CLI

Чтобы эффективно работать с консолью коммутатора, необходимо запомнить несколько вещей:

• Без достаточных прав вы попадаете в урезанный режим работы, о чем сигнализирует приглашение ко вводу команд с символом '>' в конце строки. В основном он используется для просмотра конфигурации коммутатора. Чтобы попасть в привилегированный режим, введите команду 'enable';
• В привилегированном режиме вы имеете доступ ко всем возможностям настройки устройства, доступны все команды. Приглашение ко вводу выглядит с символом '#';
• Изменение настроек коммутатора осуществляется через вход в режим глобальной конфигурации, командой 'config'. Приглашение ко вводу выглядит так - '(config)#';
• Выход из текущего режима конфигурирования в нижестоящий режим осуществляется командой 'exit';
• Чтобы изменения конфигурации имели силу после перезагрузки, их необходимо записать командой 'write' либо 'copy running-config startup-config' в привилегированном режиме;
• При вводе команды можно использовать табуляцию с помощью TAB, чтобы вывести все допустимые варианты продолжения команды;
• Клавиши '↑' и '↓' используются для перемещения по ранее введенным командам.

Изменить IP-адрес по умолчанию

Первоначально коммутатор имеет только интерфейс во VLAN 1, куда попадает весь нетегированный трафик. Изменить IP-адрес можно следующим образом:

В консольном режиме

switch#conf
switch(config)#int vlan1
switch(config-if-vlan1)#ip add 192.168.1.100 255.255.255.0

В режиме WEB-интерфейса (старый WEB-интерфейс)

• Port configuration -> VLAN interface configuration -> L3 interface IP address mode configuration
  
  

В режиме WEB-интерфейса (новый WEB-интерфейс)

• IPv4 business → Three layer interface → Primary IP configuration

В этом разделе нажмите "+" над таблицей, введите необходимые параметры интерфейса и нажмите кнопку "Save"

Создать VLAN, назначить его на порт и добавить L3-интерфейс в этом VLAN

В консольном режиме

switch(config)#vlan 2
switch(config-vlan2)#switchport interface e1/0/2
switch(config-vlan2)#exit
switch(config)#int vlan2
switch(config-if-vlan2)#ip add 192.168.2.100 255.255.255.0

В режиме WEB-интерфейса (старый WEB-интерфейс)

• Создать VLAN: VLAN configuration -> VLAN configuration -> Create/Remove VLAN -> VLAN ID configuration;
• Назначить на порт: VLAN configuration -> VLAN configuration -> Assign ports for VLAN -> Assign ports for VLAN;
• Создать L3-интерфейс: Port configuration -> VLAN interface configuration -> Add interface VLAN;
• Назначить IP-адрес: Port configuration -> VLAN interface configuration -> L3 interface IP address mode configuration.
  
  

В режиме WEB-интерфейса (новый WEB-интерфейс)

• Создать VLAN: Layer2 function -> VLAN -> Global configuration -> кнопка "+" над таблицей;
• Назначить на порт: Layer2 function -> VLAN -> Port VLAN Configuration -> кнопка "+" над таблицей;
• Создать L3-интерфейс: IPv4 business -> Three layer interface -> L3 interface configuration -> Interface configuration -> форма с кнопкой "Save";
• Назначить IP-адрес: IPv4 business -> Three layer interface -> Primary IP configuration -> кнопка "+" над таблицей.

Ограничить скорость порта

Ограничим входящую и исходящую скорость порта 2 до 100 Мбит/сек:

В консольном режиме

switch(config)#int e1/0/2
switch(config-if-ethernet1/0/2)#bandwidth control 100000 both

В режиме WEB-интерфейса (старый WEB-интерфейс)

• Port configuration -> Ethernet port configuration -> Bandwidth control configuration
  
  

В режиме WEB-интерфейса (новый WEB-интерфейс)

• Layer2 function -> Port configuration -> Broadband speed limit -> знак "карандашик" в таблице напротив названия порта

Настроить транковый Uplink-порт

Для того чтобы тегированный абонентский трафик мог проходить сквозь коммутатор, настроим оптический порт 9, как транковый порт и разрешим на нем трафик только VLAN 2:

В консольном режиме

switch(config-if-ethernet1/0/9)#switchport mode trunk 
switch(config-if-ethernet1/0/9)#switchport trunk allowed vlan 2

В режиме WEB-интерфейса (старый WEB-интерфейс)

• Задать режим порта: VLAN configuration -> VLAN configuration -> Port type configuration -> Set port mode(access/hybrid/trunk)
• Задать разрешенный VLAN: VLAN configuration -> VLAN configuration -> Trunk port configuration -> VLAN setting for trunk port
  
  

В режиме WEB-интерфейса (новый WEB-интерфейс)

• Задать режим порта: Layer2 function -> VLAN -> Port mode -> знак "карандашик" в таблице напротив названия порта -> выбрать необходимые настройки в появившейся форме
• Задать разрешенный VLAN: Layer2 function -> VLAN -> Port VLAN Configuration -> знак "карандашик" в таблице напротив нужной настройки порта, либо "+" над таблицей

Добавить нового пользователя, удалить старого, изменить пароль

В целях безопасности рекомендуется или изменить пароль по умолчанию для учетной записи 'admin', либо удалить ее и создать новую. Создадим пользователя 'nag', удалим пользователя 'admin' и поменяем пароль для новой учетной записи:

В консольном режиме

(config)#username nag privilege 15 password nag
(config)#no username admin
(config)#username nag password nagnag

В режиме WEB-интерфейса (старый WEB-интерфейс)

• Switch basic configuration -> Switch basic configuration -> Login user configuration

В режиме WEB-интерфейса (новый WEB-интерфейс)

• Добавление пользователя: Device admin -> User management -> Login user configuration -> знак "+" над таблицей
• Удаление пользователя: Device admin -> User management -> Login user configuration -> выбрать удаляемого пользователя и нажать знак "корзина" над таблицей
• Редактирование пользователя: Device admin -> User management -> Login user configuration -> знак "карандашик" напротив редактируемого пользователя

Управление доступом к коммутатору

По умолчанию на коммутаторах SNR открыт доступ по Telnet и HTTP протоколам. Хорошим тоном является использование SSH вместо Telnet, т.к. последний передает данные в открытом виде. Также можно отключить доступ по HTTP:

В консольном режиме

(config)#ssh-server enable
(config)#no telnet-server enable
(config)#no ip http server

В режиме WEB-интерфейса (старый WEB-интерфейс)

• Switch basic configuration -> SSH management -> Switch on-off SSH
• Switch basic configuration -> Telnet server configuration -> Telnet server state
• SSL config -> IP HTTP server configuration

В режиме WEB-интерфейса (новый WEB-интерфейс)

• Device admin -> SSH -> Global configuration
• Device admin -> TELNET -> Telnet server state
• Security function -> SSL -> SSL config -> SSL global configuration

Обновление ПО коммутатора через HTTP

Старый WEB-интерфейс

Вы можете обновить NOS через веб-интерфейс коммутатора, не прибегая к использованию TFTP/FTP-сервера. Boot-загрузчик таким образом обновить нельзя. После успешного завершения загрузки образа ПО не забудьте перезагрузить коммутатор.

• Switch basic configuration -> Firmware update -> HTTP service
• Switch basic configuration -> Switch basic configuration -> Save current running-configuration

Новый WEB-интерфейс

Вы можете загрузить NOS, файл конфигурации, SSL-сертификат и Приватный Ключ к нему, не прибегая к использованию TFTP/FTP-сервера. Boot-загрузчик таким образом обновить нельзя. После успешного завершения загрузки образа ПО не забудьте перезагрузить коммутатор.

• Device admin -> HTTP -> HTTP Upgrade
• Device admin -> Basic information -> Basic configuration

Добавление SSL-сертификатов для WEB-интерфейса

По умолчанию коммутатор ожидает в памяти Flash файлы с названиями:

1. "https_cert.crt" – SSL-сертификат
2. "https_key.key" – приватный ключ

И будет использовать файлы с такими названиями для WEB-интерфейса

В режиме CLI

1. Включите применение SSL для работы HTTPS :

   Switch(config)# ip http secure-server

2. Загрузите любым доступным способом файлы сертификата и приватного ключа на коммутатор в память Flash с соответствующими названиями "https_cert.crt" и "https_key.key". Например, через TFTP:

   Switch# copy tftp://<TFTP-Server>/test.crt https_cert.crt
   Switch# copy tftp://<TFTP-Server>/test.key https_key.key

3. Сохраните конфигурацию:

   Switch# write 
   Confirm to overwrite current startup-config configuration [Y/N]:y
   Write running-config to current startup-config successful

4. И выполните перезагрузку коммутатора:

   Switch# reload 
   Process with reboot? [Y/N] y
   Switch reboot, close telnet connection!
   Connection closed by foreign host.

5. Готово! Теперь коммутатор использует SSL-сертификаты при подключении к WEB-интерфейсу через HTTPS

В режиме WEB-интерфейса (новый WEB-интерфейс)

1. Включите применение SSL для работы HTTPS. Для этого перейдите в раздел "Security function" → "SSL" → "SSL config" и включите переключатель "SSL status" в подразделе "SSL global configuration", как показано на скриншоте:
   
   
   

   Информация

   На некоторых моделях путь имеет другой вид: "Security function" → "HTTP/HTTPS" → "SSL Configuration", подраздел "HTTPS Configuration", а сама кнопка называется "IP HTTPS Server Status"

2. Выполните загрузку сертификата прямо через WEB-интерфейс. Для этого перейдите в раздел "Device admin" → "HTTP".
   Затем выполните скачивание сертификата с помощью подраздела "HTTP Upgrade":
   
   1. Выберите файл сертификата в разделе "File"
   2. Укажите любое локальное имя в разделе "Local file name" с расширением ".crt". Коммутатор всё равно самостоятельно переименует его под необходимое – "https_cert.crt"
   3. Раздел "Type" можете не указывать, т.к. коммутатор самостоятельно определит тип. Но если он этого не сделает, то укажите тип "Certificate file(crt)"
   4. Нажмите кнопку "Upload"
      
3. Аналогичные действия проделайте с ключом в том же подразделе "Device admin" → "HTTP" → "HTTP Upgrade":
   1. Выберите файл ключа в разделе "File"
   2. Укажите любое локальное имя в разделе "Local file name" с расширением ".key". Коммутатор всё равно самостоятельно переименует его под необходимое – "https_key.key"
   3. Раздел "Type" можете не указывать, т.к. коммутатор самостоятельно определит тип. Но если он этого не сделает, то укажите тип "Certificate file(key)"
   4. Нажмите кнопку "Upload"
4. Выполните сохранение кнопкой "Save" в разделе "Device admin" → "Basic information" → "Basic configuration":
   
5. Перезагрузите коммутатор в разделе "Maintenance" → "Restart":
   
6. Готово! Теперь коммутатор использует SSL-сертификаты при подключении к WEB-интерфейсу через HTTPS