Наведу короткий приклад команд для комутаторів D-link, зокрема для DES-3200 і деяких DGS комутаторів:
Підключаємося до комутатора по telnet на порт 23 або через консольний кабель.
VT100, ANSI, стандартний IP комутаторів: 10.90.90.90 255.255.255.0
Також в режимі консолі при включенні свіча: Shift + 6 відновлення, Shift + 3 режим прошивки.
Команду «show» можна використовувати в скороченому вигляді як «sh», також можна скорочено вводити інші команди, ну про це пізніше.
* JUMBO FRAME
(Це наддовгі Ethernet-кадри, які використовуються у високопродуктивних мережах для збільшення продуктивності на довгих відстанях, а також зменшення навантаження на центральний процесор. Jumbo-кадри мають розмір, що перевищує стандартний розмір MTU: від 1518 до 16000 [1] байт. Зручно при: сервер - свіч - сервер, але не клієнтські порти).
* BPDU ATTACK PROTECTION
* SAFEGUARD ENGINE
(При перевищенні завантаженням CPU верхньої межі, комутатор відкидає всі ARP пакети. При значенні завантаження між двома межами, комутатор обробляє тільки ARP пакети, призначені йому. При зниженні завантаження нижче нижньої межі комутатор обробляє всі ARP пакети.)
Припустимо маємо на комутатори входить порт 9 і хочемо обмежити порти один від одного.
Для правильної установки спочатку необхідно створити окремий керований Vlan, в якому повинні знаходиться тільки кероване обладнання і в config ipif прописаний цей Vlan. На вхідний порт на всіх Vlan ставиться tag, на порти на яких висить кероване обладнання в необхідному Vlan ставиться tag, на некероване untag, якщо порт не перебуває у даному Vlan - not memeber. У PVID на магістральних тагірованих портах я ставлю VID керованого Вланєв, якщо ж порт untagged в якомусь Вланєв, то необхідно ставити vid цього Вланєв.
Edgress (дозволений) - визначає що порт є статичним членом VLAN.
Forbidden (заборонений) - визначає що порт не є членом VLAN і динамічно не може ніяк до нього підключиться.
non-member - визначає що порт не є членом VLAN, але порт може динамічно до нього підключиться.
* DHCP SERVER SCREENING
* LOOPBACK DETECTION (Включається на клієнтських портах і некерованих магістралях. На магістралях між керованим обладнанням замість LBD необхідно включати STP)
(Recover_timer - час, протягом якого порти будуть відключені. Interval - інтервали між відправкою пакетів виявлення петлі.)
* SPANNING TREE PROTOCOL (STP) (протокол остовного дерева)
Основним завданням STP є усунення петель в топології довільній мережі Ethernet, в якій є один або більше мережевих мостів, пов'язаних надлишковими сполуками. STP вирішує цю задачу, автоматично блокуючи з'єднання, які в даний момент для повної зв'язності комутаторів є надлишковими.
* ACCESS CONTROL LIST (ACL)
Заборона на підміну DHCP:
На DGS-3120-24 наприклад вже трохи по іншому:
Заборона Netbios і Windows sharing (для udp також):
Дозвіл тільки одного айпі на порт:
Забороняємо broadcast трафік:
Забороняємо все чужі VPN:
Дозволяємо проходження трафіку через комутатор тільки для одного IP і блокуємо для всіх інших:
* ARP SPOOFING PREVENTION
Відправлення та закачування конфіга: