Настройка коммутаторов D-Link

Базовая настройка
Сброс до заводских настроек:

reset config
reset system

Настройка под 12 SFP:
create vlan vlan_608 tag 608 advertisement
config vlan default advertisement disable
config vlan default delete 1-12
config ipif System vlan vlan_608 ipaddress *.*.*.*/24 state enable
create iproute default *.*.*.1 1
config vlan vlan_608 add tagged 1-12
save config
save all

Настройка клиентского свитча:
create vlan vlan_608 tag 608 advertisement enable
config vlan vlan_608 add tagged 25-26
creaеу vlan vlan_634 tag 634
config vlan vlan_634 add taggeg 25-26
config vlan vlan_634 add untagged 1-24
create iproute default 106.2.1.1 1
config vlan default advertisement disable
config vlan default delete 1-26
config ipif System vlan vlan_608 ipaddress 106.2.1.119/24 state enable
save config
save all

Настроим защиту от широковещательного флуда:
config traffic trap both
config traffic control 1-24,26-28 broadcast enable multicast disable unicast disable action drop threshold 64 countdown 5 time_interval 5

Настроим защиту от петель:
enable loopdetect
config loopdetect recover_timer 3000
config loopdetect interval 10
config loopdetect trap none
config loopdetect port 1-24,26-28 state enabled
config loopdetect port 25 state disabled

Настроим сегментацию трафика, если нужно чтобы пользователи в пределах коммутатора не видели друг друга:
config traffic_segmentation 1-24 forward_list 25
config traffic_segmentation 25 forward_list 1-24,26-28

Настроим защиту от DOS:
disable dos_prevention trap_log
config dos_prevention dos_type land_attack action drop state enable
config dos_prevention dos_type blat_attack action drop state enable
config dos_prevention dos_type smurf_attack action drop state enable
config dos_prevention dos_type tcp_null_scan action drop state enable
config dos_prevention dos_type tcp_xmascan action drop state enable
config dos_prevention dos_type tcp_synfin action drop state enable
config dos_prevention dos_type tcp_syn_srcport_less_1024 action drop state disable

Для IP-MAC-Port Binding функции разрешим прохождение IP 0.0.0.0 (под ним Windows пытается получить IP):
config address_binding ip_mac ports 1-28 state disable allow_zeroip

Настроим защиту от сторонних DHCP серверов:
config filter dhcp_server ports 1-24,26-28 state enable
config filter dhcp_server trap_log enable
config filter dhcp_server illegal_server_log_suppress_duration 30min

От сторонних DHCP серверов можно также защитится через ACL:
create access_profile ip udp src_port 0xFFFF profile_id 1
config access_profile profile_id 1 add access_id 1 ip udp src_port 67 port 25 permit
config access_profile profile_id 1 add access_id 2 ip udp src_port 67 port 1-24,26-28 deny

Настроим защиту от BPDU мусора:
config bpdu_protection ports 1-24,26-28 mode drop

Включим функцию SAFEGUARD_ENGINE, чтобы можно было зайти на коммутатор при 100% загрузке процессора:
config safeguard_engine state enable utilization rising 100 falling 95 trap_log enable mode fuzzy

Мелкие настройки FDB:
config fdb aging_time 300
config multicast port_filtering_mode 1-28 filter_unregistered_groups
disable flood_fdb
config flood_fdb log disable trap disable

Прочие мелкие настройки:
config serial_port baud_rate 9600 auto_logout 10_minutes
enable password encryption
config terminal_line default
enable clipaging
disable command logging
enable password_recovery
enable syslog
config log_save_timing on_demand

Добавить комментарий