###### tags: eltex
# Первоначальная настройка коммутаторов MES.
*Модели 14XX и 24XX серий*
Первое подключение делается через telnet (порт `23`) по IP (`192.168.1.239`). Если собираетесь настраивать коммутатор на пряммую к ПК то, создайте статический ip находящийся в диапазоне `192.168.1.1 - 192.168.1.254`.
При удачном подключении отобразиться консоль с вот такой записью:
После этого происходит процедура авторизации. По умолчанию, логин и пароль: `admin`.
## Задание пароля для пользователя "admin" и создание новых пользователей
Имя пользователя и пароль вводится при вхое в систему во время сеансов администрирования устройства. Для создания нового пользователя системы или настройки любого из параметров - имени пользователя, пароля, уровня привилегий, используется команды:
```
configure terminal
username {name} password {password} privilege {1-15}
```
Уровень привилегий с 1 по 14 разрешает доступ к устройству, но запрещает настройку. Уровень привилегий 15 разрешает как доступ, так и настройку устройства.
Пароль данного пользователя: Rfkbybyuhfl39 (Калининград39)
Информация о локальных учетных записях хранится в энергонезависимой памяти и может быть очищена командой `delete startup-config`
## Настройка статического IP-адреса, маски подсети и шлюза по умолчанию
Для возможности управления коммутатором из мети необходимо назначить устройству IP-адрес, маску подсети и, в случае управления из другой сети, шлюз по умолчанию. IP-адрес можно назначить любому интерфейсу - VLAN, физическому порту, группе портов (по умолчанию на интерфейсе VLAN 1 назначен IP-адрес 192.168.1.239, маска 255.255.255.0). IP-адрес шлюза должен принадлежать к той же подсети, что и один из IP-интерфейсов устройства.
**IP-адрес 192.168.1.239 существует до тех пор, пока на любом интерфейсе статически или по DHCP не создает другой IP-адрес. При этом на `interface vlan 1` должен быть включен dhcp-клиент.**
**Пример команд настройки IP-адреса для интерфейса VLAN1**
*IP-адрес, назначаемый для интерфейса VLAN 1 - 192.168.210.212*
*Маска подсети - 255.255.254.0*
*IP-адрес шлюза по-умолчанию - 192.168.210.2*
```
configure terminal
interface vlan 1
ip address 192.168.210.212 255.255.254.0
```
Если вы до этого находились в другой подсети то, не забудьте поменять IP-адрес на компьютере (именно на ту подсеть, которую поставили на коммутаторе). Иначе в дальнейшем не сможете подключиться, а коммутатор сохранит тот IP-адрес который был веден. Так же после последней команды - связь по telnet пропадет.
После этого остается добавить шлюз. Для этого воспользуемся данными командами:
```
configure terminal
ip route 0.0.0.0 0.0.0.0 192.168.210.2
```
Проверяем значение интерфейса, вводим команду: `show ip interface`. Предварительно выйдите из режима `config`.
Сохраняем конфигурацию в энергонезависимаю память: `write startup-config`
## Функции обеспечения безопасности DHCP Snooping, IP Source Guard и IP ARP inspection.
### DHCP Snooping
DHCP (Dynamic Host Configuration Protocol) — сетевой протокол, позволяющий клиенту по запросу получать IP-адрес и другие требуемые параметры, необходимые для работы в сети TCP/IP.
Протокол DHCP может использоваться злоумышленниками для совершения атак на устройство, как со стороны клиента, заставляя DHCP-сервер выдать все доступные адреса, так и со стороны сервера, путем его подмены. Программное обеспечение коммутатора позволяет обеспечить защиту устройства от атак с использованием протокола DHCP, для чего применяется функция контроля протокола DHCP – DHCP snooping.
Устройство способно отслеживать появление DHCP-серверов в сети, разрешая их
использование только на «доверенных» интерфейсах, а также контролировать доступ клиентов к DHCP-серверам по таблице соответствий.
Опция 82 протокола DHCP (option 82) используется для того, чтобы проинформировать DHCPсервер о том, от какого DHCP-ретранслятора (Relay Agent) и через какой его порт был получен запрос. Применяется для установления соответствий IP-адресов и портов коммутатора, а также для защиты от атак с использованием протокола DHCP. Опция 82 представляет собой дополнительную информацию (имя устройства, номер порта), добавляемую коммутатором, который работает в режиме DHCP Relay агента, в виде DHCP-запроса, принятого от клиента. На основании данной опции, DHCP-сервер выделяет IP-адрес (диапазон IP-адресов) и другие параметры порту коммутатора.Получив необходимые данные от сервера, DHCP Relay агент выделяет IP-адрес клиенту, а также передает ему другие необходимые параметры.
**Для корректной работы функции DHCP Snooping все используемые DHCP-серверы должны быть подключены к "доверенным" портам коммутатора. Для добавления порта в список "доверенных" используются команды port-security-state trusted, set port-role uplink в режиме конфигурации интерфейса. Для обеспечения безопасности все остальные портв коммутатора должны быть "недоверенными".**
### Защита IP-адреса клиента (IP Source Guard)
Функция защиты IP-адреса (IP Source Guard) предназначена для фильтрации трафика, принятого с интерфейса, на основании таблицы соответствий DHCP snooping и статических соответствий IP Source Guard. Таким образом, IP Source Guard позволяет бороться с подменой IP-адресов в пакетах.
**Поскольку функция контроля защиты IP-адреса использует таблицы соответствий DHCP snooping, имеет смысл использовать данную функцию, предварительно настроив и включив DHCP snooping.**
### Контроль протокола ARP (ARP Inspection)
Функция контроля протокола ARP (ARP Inspection) предназначена для защиты от атак с
использованием протокола ARP (например, ARP-spoofing — перехват ARP-трафика). Контроль протокола ARP осуществляется на основе статических соответствий IP- и MAC-адресов, заданных для группы VLAN.
**Порт, сконфигурированный «недоверенным» для функции ARP Inspection, должен также быть «недоверенным» для функции DHCP snooping или соответствие МАС-адреса и IP-адреса для этого порта должно быть сконфигурировано статически. Иначе данный порт не будет отвечать на запросы ARP.**
**Для ненадежных портов выполняются проверки соответствий IP- и МАС-адресов.**
### Общая настройка безопасности через терминал
Принцип подключения компьютера к серверу изображен на картинке.
Настройка подключения ARP Inspection и DHCP Snooping.
Настройка подключения клиента и сервера. В данном случае, 27 порт это подключение к серверу, а 1 порт клиент. Остальные порты для клиентов, также нстраиваются как и первый порт.
Порт сетевого устройства может находиться в 2-х состояниях: access или trunk.
Access port или порт доступа — порт, находящийся в определенном VLAN и передающий не тегированные кадры. Как правило, это порт, смотрящий на пользовательское устройство.
Trunk port или магистральный порт — порт, передающий тегированный трафик. Как правило, этот порт поднимается между сетевыми устройствами.
Если нужны trunk порты то они настраиваются таким образом
Чтоб проверить какие vlan существуют - достаточно вести команду `show vlan`
Чтоб перезагрузить коммутатор - достаточно вести команду `reload`
Чтоб включить shh, достаточно вести команды на рисунке. Создавать нового пользователя - не нужно.
Настройки ввидете даты, времени и отключение по telnet - лучше делать через web-доступ. Доступ к комутатору через браузер по ip-адресу, который присвоили ему.
Если же нужно почистить порт и дать ему другой доступ. Достаточно вести команду `default interface <порт>`
Для того чтоб задать имя vlan достаточно вести:
```
vlan <id>
name <name>
```
Sign in with Wallet
Connect another wallet