Sieci

Konfiguracja i główne funkcje

z dnia 24-11-2015

Jak podejść do konfiguracji przełączników sieciowych? Metody są zazwyczaj trzy. Pierwsza to specjalny kreator w postaci aplikacji exe, druga metoda to konfiguracja przez WWW. Trzecia najciekawsza, choć wymagająca nieco wiedzy i wprawy to CLI czyli wiersz poleceń. I to ta ostatnia metoda przyda się podczas wstępnej konfiguracji przełącznika Opzoon. Użytkownicy, którzy do tej pory mieli styczność  z przełącznikami np. Cisco, Netgear czy TP-Link wiedzą jak szybko i prosto można skonfigurować przełącznik wydając jednocześnie wiele poleceń. Jednak podchodząc do modeli Opzoon będziemy musieli nieco podszkolić się w komendach. Choć wiele z nich jest podobnych do tych stosowanych w popularnych modelach innych producentów, to składnia może mylić.

Na początek podłączamy się do przełącznika kablem konsolowym i tu mała niespodzianka. Przewód dostarczony wraz przełącznikiem zaopatrzony jest w interfejs RS232. W przypadku nowoczesnych notebooków czy nawet stacji roboczych bardzo często ten interfejs jest nieobecny. Pozostaje zastosowanie przejściówki na USB. Po skonfigurowaniu połączenia możemy połączyć się poprzez port COM do przełącznika. Od czego zacząć? Najlepiej od przebogatej dokumentacji dołączonej na płycie, która krok po kroku wyjaśnia poszczególne funkcje urządzenia. Na początek warto uruchomić polecenie Setup i przejść prosty kreator.

Następnie konfigurujemy adres IP dla przełącznika byśmy mogli komunikować się ze switchem poprzez np. WWW lub zdalne połączenie telnet lub SSH. Jest to wygodniejsze rozwiązanie niż podchodzenie za każdym razem do przełącznika z przewodem konsolowym.

W tym celu sprawdzamy najpierw jaki domyślny adres posiada przełącznik. Służy do tego polecenie: show ip interface brief

Jeśli chcemy by przełącznik otrzymał dynamiczny adres z serwera DHCP (dla VLAN 1) możemy aktywować na urządzeniu klienta DHCP i usunąć adres IP. Służą do tego polecenia:

  • interface vlan 1
  • no ip address
  • ip dhcp-client enable

W przypadku gdy chcemy ustawić statyczny adres IP oraz domyślną bramę wydajemy plecenia:

  • interface vlan 1
  • ip address adres maska
  • config ip default-gateway adres_bramy

Zapisujemy konfigurację do przełącznika poleceniem "write". Gotowe.

Pozostałe czynności możemy wykonywać na dwa sposoby. Albo konfigurujemy przełącznik poprzez CLI albo możemy rozpocząć konfigurowanie z poziomu WWW. Ten drugi mechanizm standardowo jest aktywny, choć można go wyłączyć pleceniem no ip http server.

W przypadku początkujących użytkowników polecam konfigurację poprzez przeglądarkę WWW. Choć interfejs przełącznika nie zachwyca swoją intuicyjnością to posiada nieocenioną zaletę. Każda czynność, która wykonywana jest w poprzez interfejs graficzny prezentowana jest również w postaci polecenia CLI. Polecenie jakie zostało wykonane jest prezentowane tuż pod opcjami danej funkcji.

Menu konfiguracyjne WWW przełącznika zostało skonstruowane na zasadzie drzewa z rozwijalnymi sekcjami. Switch Basic Configuration to podstawowe ustawienia przełącznika. Definiujemy w niej język wyświetlania panelu WWW, ustawienia logowania z możliwością restrykcji co do adresu IP. Kolejne sekcje dotyczą dostępu do przełącznika z użyciem protokołu SSH oraz telnet. Ciekawa sekcją jest "Maintenance and debugging command", pozwala  ona na szybkie wykonanie poleceń związanych z podglądem stanu i funkcjonowania przełącznika sieciowego, a także sprawdzeni aktualnej konfiguracji przełącznika. Możemy także podejrzeć zajętość pamięci oraz obciążenie procesora.

Niezbędnym elementem w funkcjonowaniu sieci LAN jest możliwość monitorowania pracy jej parametrów. Opzoon oferuje obsługę protokołów SNMP a także SFLOW. Wykorzystując dla przykładu serwery monitorujące SNMP możemy w szybki sposób podejrzeć np. status portów przełącznika i aktualny transfer danych.

Rozbudowaną sekcje stanowi Port Configuration. Możemy m.in. ustawić szybkość danego portu (10/100/1000 Mb/s full lub half duplex) czy dla bezpieczeństwa wyłączyć dany port. Dodatkowo dla każdego z portów możemy określić maksymalną przepustowość zarówno w kierunku pobieranie jak i wysyłanie. Producent nie zapomniał także o takich drobiazgach jak funkcje opisu portu na przełączniku (sekcja switchport description) – ułatwia ona odnalezienie właściwego portu i jego lepszą identyfikację w przypadku zdalnej pracy na przełączniku.

Funkcja, która jest niezwykle przydatna w przypadku problemów z pracą sieci LAN – rate-port violation. Pozwala ona na monitorowanie liczby odbieranych/wysyłanych pakietów na sekundę. Jeśli dana wartość zostanie przekroczona przełącznik może wyłączyć lub zablokować danych port przełącznika.

Kolejna ciekawostka dotyczy konfiguracji portów combo. W przypadku ich wykorzystanie musimy zdecydować czy będziemy używać portów ethernet czy też zainstalujemy wkładki SFP. By uniknąć problemów warto skonfigurować opcję Port combo forced mode config. Pozwala ona na określenie z góry jaki port będzie aktywny w momencie podłączenia linku.

Przełącznik został także wyposażony w funkcje wykrywania tzw. pętli. np. gdy ten sam przewód sieciowy zostanie wpięty do dwóch gniazdek przełącznika. W takim wypadku możemy skonfigurować porty by zostały wyłączone albo zablokowane - lub przeszły w tryb uczenia się. Konfigurację możemy także ustawić dla poszczególnych VLAN-ów.

Funkcja isolate-port group wydziela grupę portów, które będą mogły się ze sobą wzajemnie komunikować. Użytkownik może izolować zarówno ruch w danym VLAN-ie jak i całe grupy portów. Producent nie zapomniał również o takich elementach jak tablica adresów MAC, możliwość podejrzenia konfiguracji i stanu portów czy też ustawienia ramek jumbo.

Rozbudowane sieci LAN nie mogą obyć się bez wirtualnych sieci lokalnych, tzw. VLAN. To nic innego jak logiczne sieci lokalne, których wiele instancji może funkcjonować w sieci fizycznej. W Opzoon mamy do dyspozycji typowe mechanizmy oparte o protokół 802.11q. Mamy także możliwość tworzenia VLAN m.in. na podstawie adresów MAC, podsieci oraz tworzenie PVLAN. Możemy także konfigurować komunikację pomiędzy VLAN-ami w sieciach rozległych poprzez dodatkowe tagowanie ramek (Q in Q).

Konstrukcją, która bardzo często stosowana jest w sieciach LAN jest również port channel (agregacja łącza). To połączenie kilku portów fizycznych w jeden port logiczny. Zapewnia on przede wszystkim zwiększenie wydajności linku. Dodatkowo port channel pełni rolę swoistego łącza zapasowego – gdy link jednego z członków zostanie uszkodzony, jego rolę przejmują pozostali członkowie port channel. Opzoon oferuje zarówno statyczną agregację jak i dynamiczną agregację LACP. Agregacja może być stosowana zarówno dla urządzeń klienckich jak i pomiędzy węzłami sieci (np. pomiędzy przełącznikami). W Opzoon możemy utworzyć do 14 grup LACP w każdej maksymalnie po 8 linków (port channel).

Jedną z funkcjonalności bez której nie może obejść się większość sieci IP jest mechanizm serwera DHCP. Pozwala on na dynamiczne przydzielanie adresów IP uwalniając administratora od konieczności konfiguracji każdego nowego urządzenia osobno. Wykorzystując Opzoon możemy aktywować na nim rolę serwera DHCP zarówno dla protokołu IPv4 jak i IPv6. A wykorzystując funkcjonalność DHCP relay będziemy mogli skomunikować i dynamicznie przydzielać adresy dla wielu podsieci. Switch został również wyposażony w mechanizmy zabezpieczające przed podłączeniem niezaufanego (w szczególności ataki typu man-in-the-middle) czy też przypadkowego serwera DHCP – tzw. DHCP snooping.

Ważnym elementem, który obecny jest w dużych sieciach LAN są funkcje technologii PoE. To dzięki możliwości przesyłania energii poprzez kabel ethernet można w prosty sposób zasilać odległe urządzenia klienckie. PoE jest bardzo chętnie wykorzystywane przez administratorów sieci LAN. Zasilanie przez „skrętkę” pozwala podłączyć i zasilić z sieci LAN telefony IP, kamery, punkty dostępowe, urządzenia wykorzystywane w przemyśle a nawet komputery. W Opzoon nie będzie żadnego problemu by podłączyć zarówno urządzenia pracujące w standardzie PoE (802.3af) jak i PoE+ (802.3at).

Wykorzystując standard 802.3af (maksymalna moc do 15,4 W) bez problemu będziemy mogli zasilić np. kamery IP czy telefony IP. Jednak w przypadku wysokowydajnych punktów dostępowych czy kamer obrotowych niezbędne będzie skorzystanie z PoE+, który oferuje do 30 W i 600 mA prądu. W praktyce wartości te wynoszą odpowiednio dla standardów 12,95 i 25,5 W.

Użytkownicy, którzy w swojej infrastrukturze będą posiadać kilka przełączników Opzoon mogą skonfigurować klaster przełączników. Funkcjonalność umożliwia połączenie switchy w jedną dużą instalację logiczną. Ułatwia ona zarządzanie urządzeniami za pomocą jednego adresu IP, przełączniki mogą być dynamicznie dodawane do klastra zaś zarządzanie klastrem odbywa się przy pomocy głównego przełącznika.

Omówione powyżej funkcjonalności są tylko niewielkim fragmentem możliwości Opzoon PT-2960G-28P. Warto wspomnieć o takich technologiach jak QoS, STP, RSTP, MSTP (Multiple spanning tree), ARP binding czy funkcje zabezpieczające przed atakami na bramę w postaci ARP guard czy tez mechanizm filtrowania pakietów ACL.

Switch posiada także funkcje routingu statycznego oraz technologię MLPT zabezpieczającą przed tworzeniem pętli w środowisku, w którym przełączniki skonfigurowane są w ring. Oczywiście producent nie zapomniał o obsłudze 802.1x, uwierzytelnianiu RADIUS i TACACS+. Przełącznik prócz wspomnianych mechanizmów został również wyposażony w funkcje bezpieczeństwa przed atakami DOS.