Zyxel NebulaFlex GS192024HPV2-EU0101F - инструкции и руководства

www.zyxel.com 7/218 1.1.2 Проверьте новую конфигурацию 1 Зайдите с помощью web- интерфейса и перейдите Menu > Basic Setting > IP Setup > IP Configuration . Убедитесь, что в поле IP- адреса стоит 192.168.1.2 .

www.zyxel.com 10/218 1.2.2 Проверьте новую конфигурацию Откройте web- интерфейс и перейдите на страницу с информацией о коммутаторе . В поле System Name должно стоять новое имя коммутатора ( в данном случае Switch-1 ).

www.zyxel.com 11/218 1.3 Как настроить синхронизацию часов коммутатора с сервером NTP В следующем примере показано, как администратор может настроить синхронизацию внутренних часов коммутатора с сервером точного времени NTP. В этом примере ПК через сеть подключен к Коммутатору, а Коммутатор подключе...

www.zyxel.com 12/218 1.3.1 Настройка конфигурации коммутатора 1 Откройте web - интерфейс и перейдите в Menu > Basic Setting > IP Setup > IP Configuration . Введите в поле default Gateway IP- адрес USG: 192.168.1.1 . Затем щелкните “ Apply ”. 2 Перейдите в Menu > Basic Setting > Genera...

www.zyxel.com 13/218 1.3.2 Проверка правильности настройки часов коммутатора 1 Перейдите в Menu > Basic Setting > General Setup . Значения Current Time и Current Date должны соответствовать вашему местному времени. Если Current Time не соответствует местному времени, то щелкните “ Refresh ”. 2...

www.zyxel.com 15/218 1.3.3 Почему не работает синхронизация часов коммутатора ? 1 Возможно, у коммутатора нет доступа к серверу NTP. Выполните следующую процедуру для проверки доступности сервера NTP. Перейдите в Menu > Management > Diagnostic . Выберите IPv4 в поле in-band и введите IP- адрес...

www.zyxel.com 16/218 1.4 Как настроить сервер на сохранение резервной копии журнала событий на сервере SYSLOG В этом примере объясняется, как можно настроить коммутатор на пересылку копии журнала событий системы на удаленный сервер syslog . Иллюстрация 4 Автоматическая загрузка журнала событий на се...

www.zyxel.com 17/218 Log Level ( в данном примере Level 0-7 ). Чем шире диапазон, то больше информации будет записываться в журнал . Щелкните “ Add ”. Примечание: Log Level определяет, какого уровня важности события будут фиксироваться на сервере Syslog. Важность событий может быть : Emergency (0), ...

www.zyxel.com 18/218 3 Щелкните Save для сохранения конфигурации . 1.4.2 Проверка правильности настройки 1 Отключите и снова подключите ПК PC-1 к коммутатору . 2 Сервер Syslog должен получить от коммутатора журнал событий с такими записями . 3 Также можно проверить папку directory ( в данном примере...

www.zyxel.com 19/218 1.4.3 Почему не получается настроить пересылку журнала событий на сервер Syslog? 1 Если коммутатор Switch-1 и сервер Syslog находятся в разных подсетях, то нужно настроить шлюз по умолчанию default gateway так, чтобы Switch-1 и Syslog могли обмениваться данными. 2 Убедитесь, что...

www.zyxel.com 20/218 1.5 Как настроить коммутатор так, чтобы можно было сразу идентифицировать устройства, напрямую подключенные к его порту В этом примере объясняется, как настроить коммутатор так, чтобы можно было легко идентифицировать устройство или сегмент сети, подключенные к его порту . Иллюс...

www.zyxel.com 21/218 1.5.1 Настройка конфигурации коммутатора Switch-1 1 Откройте Web - интерфейс и перейдите в Menu > Basic Setting > Port Setup . Напротив имени каждого порта введите имя подключенного к нему устройства, например, Switch2 напротив порта port 2 и AP напротив порта port 3. Щелк...

www.zyxel.com 22/218 1.5.2 Проверка правильности конфигурации 1 Перейдите в Menu > Maintenance > Port Status . В колонке Name должны стоять введенные вами имена .

www.zyxel.com 23/218 1.6 Как получить диагностическую информацию В этом примере объясняется, как с помощью web- интерфейса получить диагностическую информацию . Диагностическая информация Diagnostic Info – это набор журналов, куда заносится полезная информация, включая информацию о системе System In...

www.zyxel.com 24/218 1.6.1 Получение диагностической информации с помощью web- интерфейса 1 Откройте web- интерфейс и перейдите в Menu > Management > Maintenance > Tech-Support > Click Here . Щелкните кнопку Download напротив All . Также можно выбрать диагностическую информацию определен...

www.zyxel.com 25/218 1.7 Как изменить пароль администратора по умолчанию В этом примере показано, как можно изменить пароль администратора по умолчанию, используемый для управления коммутатором. Мы настоятельно рекомендуем проделать эту процедуру, поскольку использование пароля администратора по умо...

www.zyxel.com 26/218 2 После щелчка по “ Apply ” в окне браузера появится такое сообщение или аналогичное . 1.7.2 Проверка результатов изменения пароля администратора 1 Закройте web- интерфейс и зайдите в систему снова по СТАРОМУ паролю . Снова откроется окно “Authentication Required”.

www.zyxel.com 27/218 2 Введите новый пароль для входа в систему. Теперь вы снова сможете открыть web - интерфейс коммутатора Switch-1. 1.8 Как создать «белый список» для удаленного управления чтобы предотвратить неавторизованный доступ В этом примере показано, как можно создать «белый список» хост -...

www.zyxel.com 29/218 1.8.1 Создание «белого списка» для удаленного управления 1 Откройте web- интерфейс и перейдите в Menu > Management > Access Control > Remote Management > Click Here с ПК администратора AdministratorPC. Задайте диапазон IP- адресов и разрешенные им типы сервисов для д...

www.zyxel.com 30/218 2 ПК PC-2 (192.168.10.200) нет в белом списке, поэтому он не может получить доступ к IP - адресу управления коммутатором и коммутатор не отвечает на ping с этого ПК . 3 С ПК AdministratorPC можно получить доступ к коммутатору с помощью любого типа сервиса . 8.1.3 Ошибки при созд...

www.zyxel.com 31/218 2 Если администратор забыл или потерял белый список IP- адресов, то он не сможет получить доступ к коммутатору. В этом случае посмотреть белый список можно только с помощью консоли Console , выведя используемую конфигурацию . Примечание: Если коммутатор не поддерживает Console ,...

www.zyxel.com 32/218 Настройка параметров локальной сети 2.1 Как настроить коммутатор чтобы изолировать трафик разных отделов с помощью VLAN В этом примере показано, как настроить коммутатор для изоляции трафика разных отделов. При использовании Static VLAN хосты могут обмениваться данными только ес...

www.zyxel.com 34/218 3 С ПК AdministratorPC создайте VLAN 20 на Switch-1 : Откройте web - интерфейс и перейдите в Menu > Advanced Application > VLAN > VLAN Configuration > Static VLAN Setup . Поставьте галочку в “ACTIVE”. Введите имя виртуальной сети Name и идентификатор VLAN Grou p ID= ...

www.zyxel.com 35/218 4 Настройка PVID в Switch-1 : Перейдите в Menu > Advanced Application > VLAN > VLAN Configuration > VLAN Port Setup . Задайте для порта port 1 PVID= 10 (VLAN 10) и для port 2 PVID= 20 (VLAN 20).

www.zyxel.com 37/218 3 С помощью ПК AdministratorPC создайте VLAN 20 in Switch-2 . Откройте web- интерфейс и перейдите в Menu > Advanced Application > VLAN > VLAN Configuration > Static VLAN Setup . Поставьте галочку в “ACTIVE”. Введите имя виртуальной сети Name и идентификатор VLAN Grou...

www.zyxel.com 38/218 4 Настройте PVID на коммутаторе Switch-2 : Перейдите в Menu > Advanced Application > VLAN > VLAN Configuration > VLAN Port Setup . Задайте для порта port 3 PVID= 10 (VLAN 10) и для порта port 4 PVID= 20 . 2.1.3 Проверка правильности настройки 1 ping должен проходитьс...

www.zyxel.com 41/218 2.2.1 Настройка конфигурации VLAN 10 1 С ПК AdministratorPC создайте VLAN 10. Откройте web- интерфейс и перейдите в Menu > Advanced Application > VLAN > VLAN Configuration > Static VLAN Setup . Поставьте галочку в ACTIVE . Введите имя виртуальной сети Name и идентифи...

www.zyxel.com 42/218 3 Создайте статический IP- адрес для коммутатора в in VLAN 10 ( чтобы он был шлюзом в VLAN 10): Перейдите в Menu > Basic Setting > IP Setup > IP Configuration > IP Interface . Настройте статический IP - адрес : 192.168.10.1 для коммутатора в VLAN 10 . Щелкните “ Add ...

www.zyxel.com 43/218 2 Перейдите в Menu > Advanced Application > VLAN > VLAN Configuration > VLAN Port Setup . Настройте PVID. Задайте для порта port 2 PVID= 20 (VLAN 20) . Щелкните “ Apply ”. 3 Создайте статический IP - адрес для коммутатора в VLAN 20 ( адрес для шлюза в VLAN 20). Перей...

www.zyxel.com 44/218 2.2.3 Настройте шлюз на PC-1 и PC-2 1 Настройте шлюз на PC-1 как 192.168.10.1 ( Статический IP - адрес для коммутатора в VLAN 10 ).

www.zyxel.com 45/218 2 Настройте шлюз на PC-2 как 192.168.20.1 ( Статический IP - адрес для коммутатора в VLAN 20 ). 2.2.4 Проверьте результат 1 Ping от PC-1 доходят до PC-2.

www.zyxel.com 46/218 2.2.5 Почему это не работает 1 У PC-1 нет доступа к PC-2: a. Убедитесь, что PC-1 и PC-2 находятся в разных подсетях . b. Убедитесь, что шлюз по умолчанию PC-1 и PC-2 соответствуют IP- интерфейсу коммутатора в соответствующих VLAN. c. Убедитесь, что нет политик маршрутизации, в к...

www.zyxel.com 47/218 2.3 Как настроить коммутатор на предоставление сервиса DHCP для VLAN В этом примере показано настройка конфигурации коммутатора на выделение динамических IP- адресов хостам в каждой VLAN. Иллюстрация 11 Предоставление сервиса DHCP в разных VLAN Примечание: Все сетевые IP - адрес...

www.zyxel.com 48/218 2.3.1 Настройка VLAN 10 1 С помощью ПК AdministratorPC создайте VLAN 10. Откройте web - интерфейс и перейдите в Menu > Advanced Application > VLAN > VLAN Configuration > Static VLAN Setup . Поставьте галочку в ACTIVE. Введите имя виртуальной сети Name и идентификатор...

www.zyxel.com 2 49/218 3 Создайте статический IP - адрес для коммутатора в VLAN 10 (IP- адрес для сервера DHCP в VLAN 10): Перейдите в Menu > Basic Setting > IP Setup > IP Configuration > IP Interface . Настройте статический IP- адрес Static IP Address: 192.168.10.1 для коммутатора в VLA...

www.zyxel.com 50/218 2.3.2 Настройка конфигурации VLAN 20 1 Создайте VLAN 20. Выполните аналогичную процедуру . Перейдите в Menu > Advanced Application > VLAN > VLAN Configuration > Static VLAN Setup . Поставьте галочку в ACTIVE . Введите имя виртуальной сети N ame и идентификатор VLAN G...

www.zyxel.com 2 51/218 3 Создайте статический IP - адрес Static IP Address для коммутатора в VLAN 20 ( это IP- адрес сервера DHCP в VLAN 20): Перейдите в Menu > Basic Setting > IP Setup > IP Configuration > IP Interface . Задайте статический IP- адрес Static IP Address: 192.168.20.1 для ...

www.zyxel.com 52/218 Примечание: В этом примере размер пула pool size равен 10 , а начальный IP- адрес 192.168.10.11, поэтому сервер DHCP может назначать динамические адреса в диапазоне от 192.168.10.11 до 192.168.10.20. 2 Настройте сервер DHCP в VLAN 20 : Перейдите в Menu > IP Application > D...

www.zyxel.com 54/218 3 Настройте PC-1 и PC-2 чтобы они работали как клиенты DHCP . Для нужно настроить IPv4 на “ Obtain an IP Address automatically ”. 2.3.4 Проверка результатов 1 Чтобы проверить, PC-1 может получить IP- адрес от коммутатора, нужно ввести в командной строке “ ipconfig ”. PC -1 получ...

www.zyxel.com 55/218 2 Чтобы проверить, PC - 2 может получить IP - адрес от коммутатора, нужно ввести в командной строке “ ipconfig ”. PC - 2 получит IP - адрес в диапазоне 192.168.20.11-192.168.20.20 и адрес шлюза 192.168.20.1. 2.3.5 Почему это не работает 1 Если некоторые устройства не могут получ...

www.zyxel.com 58/218 2.4.1 Настройка конфигурации коммутатора ядра сети 1 Откройте web- интерфейс , перейдите в Menu > Advanced Application > VLAN Mapping. Поставьте галочку в ACTIVE чтобы включить порт port 1 . 2 Перейдите в Menu > Advanced Application > VLAN Mapping > Configure . По...

www.zyxel.com 59/218 Примечание: Создайте Static VLAN только для Translated VLAN, и настройте оба порта как члены Translated VLAN. В противном случает пакеты от Translated VLAN , которые приходят на порт port 26 , НЕ будет пересылаться на порт port 1. 2.4.2 Настройка конфигурации коммутатора границы...

www.zyxel.com 61/218 4 Настройка Customer Switch-2: Перейдите в Menu > Advanced Application > VLAN > VLAN Configuration > VLAN Port Setup . Настройте port 1 PVID= как 1001 (VLAN 1001) и щелкните “ Apply ”. 2.4.3 Test the Results 1 От PC-1 ping доходят до PC-2.

www.zyxel.com 62/218 2 Настройте Mirroring для проверки значений VLAN ID/Priority в пакетах, которые приходят на порт port 1 коммутатора ядра сети чтобы убедиться, что это значение совпадает с исходным ( VLAN=100/Priority=0 ). Откройте Web- интерфейс и перейдите в Menu > Advanced Application >...

www.zyxel.com 64/218 5 Соедините другой ПК к порту port 2 коммутатора ядра . Откройте wireshark для мониторинга пакетов и настройте фильтр на “ icmp ”.

www.zyxel.com 65/218 Улучшение надежности сети 3.1 Как настроить стек коммутаторов для обеспечения высокой доступности сервера В этом примере для обеспечения высокой доступности сервера два коммутатора Switch - 1 и Switch - 2 объединяются в стек и работают как один логический коммутатор. Если один и...

www.zyxel.com 66/218 поле System Priority ( «мастером» стека будет тот коммутатор, у которого выше приоритет ) и щелкните “Apply”. Поставьте галочку в поле “Active” и щелкните “Apply”. Коммутатор Switch-1 перезагрузится. Примечание: В этом примере мы назначили коммутатору Switch-1 более высокий прио...

www.zyxel.com 67/218 Примечание: Обычно последние два порта коммутатора резервируются для стекирования. В коммутаторе XGS460032 это порты 31 и 32 (у других моделей эти порты для стекирования указаны в руководстве пользователя) . 4 Теперь Switch-1 и Switch-2 объединены в стек. В индикаторе стекирован...

www.zyxel.com 68/218 3.1.2 Настройке Link Aggregation в коммутаторе, который входит в стек 1 Подключитесь к коммутатору, который входит в стек . Откройте web- интерфейс и перейдите Menu > Advanced Application > Link Aggregation > Link Aggregation Setting . Активируйте T1 и T2. Выберите SLOT...

www.zyxel.com 70/218 3.1.4 Проверка 1 Настройте Link Aggegation между двумя сетевыми картами ( NIC) сервера и соедините эти порты к портам port 1/2 и 2/2 коммутатора в стеке . 2 Запустите ping с ПК на сервер (192.168.1.40). После нескольких ping попробуйте выключить Switch-1 (Master down). Сначала p...

www.zyxel.com 71/218 3.1.5 Почему не получается объединить коммутаторы в стек 1 Обычно для стекирования используются последние два порта коммутатора. Если для стекирования использовать другие порты, то коммутаторы не смогут работать в стеке . 2 Перед тестированием обязательно сохраните конфигурацию ...

www.zyxel.com 72/218 3.2 Как настроить RSTP в топологии ring В этом примере показано как настроить RSTP (Rapid Spanning Tree Protocol) в топологии ring ля резервирования сетевых соединений . Иллюстрация 13 Настройка RSTP в топологии ring Примечание: Все сетевые IP - адреса и маски подсети относятся ...

www.zyxel.com 75/218 8 Наконец , соедините коммутаторы Switch-2 и Switch-3 . 3.2.2 Проверка результатов 1 Проверьте состояние коммутатора Switch-1 : Перейдите в Menu > Advanced Application > Spanning Tree Protocol . Идентификаторы Root Bridge ID и Our Bridge ID должны совпадать . Это означает,...

www.zyxel.com 77/218 3.2.3 Почему это не работает 1 Если Root Bridge оказался не тот коммутатор, который вам нужен : a. Нужно уменьшить приоритет Spanning Tree этого устройства . b. Нужно увеличить приоритет Spanning Tree другого устройства . Коммутатор с САМЫМ НИЗКИМ приоритетом будет Root Bridge. ...

www.zyxel.com 78/218 3.3 Как настроить VRRP чтобы предоставить хостам резервированный шлюз Этот пример объясняет, как настроить резервирование шлюза redundancy. Протокол Virtual Router Redundancy Protocol (VRRP) позволяет двум шлюзам использовать один и тот же IP- адрес и в случае выхода из строя од...

www.zyxel.com 81/218 3.3.2 Настройка шлюза Gateway-B 1 Откройте web - интерфейс шлюза Gateway-B. 2 Перейдите в Advance Application > VLAN > VLAN Configuration > Static VLAN Setup . Создайте/отредактируйте VLAN чтобы только порт Port 23 был fixed port . Щелкните Add .

www.zyxel.com 82/218 3 Перейдите в Advance Application > VLAN > VLAN Configuration > Static VLAN Setup . Создайте/отредактируйте VLAN чтобы только порт Port 2 4 был fixed port . Щелкните Add . 4 Перейдите в Advance Application > VLAN > VLAN Configuration > VLAN Port Setup . Настрой...

www.zyxel.com 83/218 5 Перейдите в Basic Setting > IP Setup . Задайте IP - адрес для VLAN 1. Щелкните Add и выполните ту же операцию для VLAN 20. 6 Перейдите в Basic Setting > IP Setup . Настройте шлюз по умолчанию Default Gateway. Щелкните Apply . 7 Перейдите в IP Application > VRRP > C...

www.zyxel.com 84/218 3.3.3 Проверка результатов настройки 1 Убедитесь , что шлюз Gateway-A - это Master VRRP Router. Перейдите в IP Application > VRRP . VR Status должен быть Master . 2 Убедитесь , что шлюзы Gateway-B is the Backup VRRP Router. Перейдите в IP Application > VRRP . VR Status дол...

www.zyxel.com 85/218 3 Убедитесь, что шлюзы Gateway-A and Gateway-B записаны как default route (маршрут по умолчанию) в таблице Maintenance > Routing Table соответствующих USG . 4 Настройте хост со статическим IP- адресом . С хоста должны доходить ping на виртуальный IP- адрес 192.168.1.254 . 5 О...

www.zyxel.com 86/218 3.3.4 Почему это не работает 1 Если у хостов нет доступа к Интернету когда шлюз Gateway-A отключен от сети, то нужно проверить : a. IP- интерфейсы хостов и шлюза Gateway-B относятся к одной подсети и VLAN. b. Подключение порта port 23 или port 24 шлюза Gateway-B. c. Шлюз Gateway...

www.zyxel.com 87/218 3.4 Как настроить контроль полосы пропускания для ограничения скорости входящего или исходящего трафика В этом примере объясняется, как настроить контроль полосы пропускания для ограничения скорости входящего и/или исходящего трафика . В этом примере используются два компьютера ...

www.zyxel.com 88/218 3.4.2 Проверка результатов 1 Попробуйте загрузить файл с PC на FTP Server. Скорость передачи должна быть около 1.2 MB/s ( или 10240 Mb/s). 2 Попробуйте загрузить файл с FTP Server на PC. Скорость передачи должна быть около 2.4 MB/s (or 20480 Mb/s).

www.zyxel.com 89/218 3.5 Как настроить ACL для ограничения скорости трафика IP Иногда требуется ввести ограничения скорости для отдельных VLAN локальной сети, например, если в компании VLAN 10 предназначена для персонала, а VLAN 20 - для гостей, то ограничив скорость в VLAN 20, мы обеспечим больше п...

www.zyxel.com 90/218 3.5.1 Настройка VLAN и маршрутизации трафика Route Traffic 1 Настройте параметры VLAN (VLAN 10 и VLAN 20) на коммутаторах Switch1 и Switch-2 ( См. 2.1 Как настроить коммутатор на изоляцию трафика между отделами ). 2 Настройте маршрутизацию трафика route traffic на Switch-1 и Swi...

www.zyxel.com 91/218 3.5.2 Настройка Classifier 1 Настройте Classifier на коммутаторе Switch-2: Перейдите в Menu > Advanced Application > Classifier > Classifier Configuration . Настройте четыре 4 Classifier (по два Classifier для трафика download и upload в VALN 10 и в VLAN 20) Примечание:...

www.zyxel.com 93/218 3.5.3 Настройка the ACL ( правило политики Policy Rule) 1 Настройка Policy Rule на Switch-2: в разделе 3.5.2 мы создали четыре Classifier. Чтобы найти их в окне Policy Rule перейдите в Menu > Advanced Application > Policy Rule . 2 Для Policy Rule трафика download в VLAN 10...

www.zyxel.com 95/218 Bandwidth Metering =10240 kbps. Включите Metering и настройте действие Out-of-profile action на “ Drop the packet ”. Нажмите “Add”. 3.5.4 Проверка результатов 1 Перейдите в Menu > Advanced Application > Classifier . Проверьте значение “Count”. Если трафик соответствует cla...

www.zyxel.com 98/218 3.6 Как внедрить VRRP с несколькими интерфейсами маршрутизации и HA-pro , используя коммутатор Zyxel корпоративного класса В предыдущей главе мы рассказали о VRRP и привел пример его настройки для резервирования, но этот пример относился к компании, у которой два интернет - пров...

www.zyxel.com 100/218 3.6.1 Настройка конфигурации Коммутатор L3 Switch: 1. Откройте web- интерфейс switch-1 (Master) 2. Перейдите в Advanced Application > VLAN > VLAN Configuration >Static VLAN Setup 3. Создайте VLAN 10 и VLAN 100 для хостов . VLAN 10:

www.zyxel.com 101/218 VLAN 100: 4. Перейдите к Basic Setting > IP Setup > IP Configuration 5. Настройте IP- интерфейс в VLAN 1 для uplink. 6. Настройте IP - интерфейс в VLAN 10 и VLAN 100 для хостов . VLAN 10:

www.zyxel.com 104/218 11. Перейдите в Advanced Application > VLAN > VLAN Configuration >Static VLAN Setup 12. Создайте VLAN 10 и VLAN 100 для хостов . VLAN 10: VLAN 100: 13. Перейдите в Basic Settings > IP Setup > IP Configuration

www.zyxel.com 110/218 9. Перейдите в Advanced Application > VLAN > VLAN Configuration> VLAN Port Setting 10. Настройте PVID на портах port 10 и 11 Шлюз Gateway:

www.zyxel.com 111/218 1. Откройте Web - интерфейс USG310-1 (Master). 2. Перейдите в Configuration > Device HA > Device HA Pro 3. Настройте device HA-pro на USG310-1, Active/Passive device management IP и пароль можно менять в зависимости от ваших настроек. Щелкните “Apply & switch to Devic...

www.zyxel.com 114/218 3.6.2 Проверка Коммутатор L3 Switch (VRRP): 1. Откройте web- интерфейс Switch-1 (Master). 2. Перейдите в IP Application > VRRP , на следующей иллюстрации показано, что VRRP работает , потому что у коммутатора switch-1 есть доступ к IP - интерфейсу шлюза . 3. Откройте web - и...

www.zyxel.com 115/218 2. Перейдите в Configuration > Device HA , следующая иллюстрация относится к успешной настройке Device HA Pro. 3.6.3 Почему это не работает ? 1. У коммутатора в VRRP uplink gateway должен стоять IP - адрес USG. 2. Нужно задать VLAN member для коммутатора downlink switch. 3.7...

www.zyxel.com 117/218 Примечание: В этом примере два XGS4600 – это коммутаторы edge, а два GS2210 – коммутаторы заказчика . 3.7.1 Настройка конфигурации коммутатора Edge 1 Настройте Edge Switch-1 : Откройте web- интерфейс . Перейдите в Advanced Application > Layer 2 Protocol Tunneling . Поставьте...

www.zyxel.com 118/218 2 Настройте Edge Switch-1 : На той же странице поставьте галочку в “ STP ” и настройте “ Mode ” на “ Access ” для порта 26 , который подключен к коммутатору заказчика . 3 Настройте Edge Switch-1 : На той же странице настройте “ Mode ” на “ Tunnel ” для порта 28 , который подклю...

www.zyxel.com 119/218 Примечание: Destination MAC Address может быть MAC- адресом unicast или multicast. 1. Если unicast MAC- адрес: убедитесь, что такого MAC - адреса НЕТ в таблице MAC - адресов коммутаторов сети провайдера . 2. Если multicast MAC- адрес: убедитесь, что такого MAC - адреса НЕ испол...

www.zyxel.com 120/218 Примечание: Сервисы L2PT нужно активировать для поддерживаемых протоколов только для портов access port . 3.7.2 Настройка конфигурации коммутатора заказчика 1 Настройте Customer Switch-A: Откройте Web - интерфейс. Перейдите в Menu > Advanced Application > Spanning Tree Pr...

www.zyxel.com 121/218 Примечание: Необязательно включать STP на коммутаторах потому они только перенаправляют пакеты STP по туннелю . 2 Настройте Customer Switch-A : Откройте web - интерфейс . Перейдите в Menu > Advanced Application > Spanning Tree Protocol > RSTP . Поставьте галочку в “ Ac...

www.zyxel.com 122/218 4 Настройка Customer Switch-B : Откройте web - интерфейс . Перейдите в Menu > Advanced Application > Spanning Tree Protocol > RSTP . Поставьте галочку в “ Active ”. Активируйте порт port 10 и щелкните “ Apply ”. 3.7.3 Проверка результатов настройки

www.zyxel.com 124/218 противном случае инкапсулированные пакеты не будут распознаны при их пересылке между коммутаторами edge. Развертывание сети IPTV 4.1 Введение в IGMP Для проектирования сети IPTV важно знать 3 важные концепции Zyxel IGMP (Internet Group Management Protocol) и IGMP Snooping. 4.1....

www.zyxel.com 125/218 этому порту . Это определяет, должны ли другие подключенные к этом порту хосты оставаться в определенной группе multicast. Это ускоряет процесс leave. Normal leave : В режиме normal leave mode коммутатор при получении сообщения IGMP leave message от хоста, подключенного к порту...

www.zyxel.com 126/218 Иллюстрация 17 Настройка IGMP routing для клиентов multicast в разных VLAN Примечание: Все сетевые IP - адреса и маски подсети относятся только к этому примеру. Их нужно заменить на реальные IP - адреса и маски подсети вашей сети. В этом примере используется XGS4600 -32 (Firmwa...

www.zyxel.com 128/218 3 Настройте IGMP Routing: Откройте web - интерфейс и перейдите в Menu > IP Application > IGMP . Поставьте галочку в поле “Active” и выберите VLAN 10 и VLAN 20 как IGMP-v2. Выберите “Unknown Multicast Frame” как “ Drop ”. Щелкните “Apply”. 4.2.3 Проверка результатов 1 Запу...

www.zyxel.com 129/218 4.2.4 Почему это не работает 1 Для правильной маршрутизации потока IGMP VLAN коммутатора Switch- 2 (IGMP Router) должна содержать как MediaServer (VLAN 20), так и PC (Client) (VLAN 10). Если клиент не получает поток, то проверьте конфигурацию VLAN.

www.zyxel.com 130/218 4.3 Как настроить IGMP Snooping для клиентов multicast в одной LAN В этом примере показано, как настроить IGMP Snooping когда клиенты multicast и серверы steaming находятся в одной VLAN. Когда MediaServer ведет multicast- трансляцию потока , то коммутатор с помощью IGMP snoopin...

www.zyxel.com 131/218 Snooping . Поставьте галочку в поле “Active” и выберите Unknown Multicast Frame as Drop . Поставьте галочку в Querier . Щелкните “Apply”. 4.3.2 Проверка результатов 1 Запустите поток на MediaServer, используя using Multicast IP address 239.1.1.1. 2 С PC отправьте сообщение IGMP...

www.zyxel.com 132/218 Сетевая безопасность 5.1 Как настроить безопасность порта на ограничение числа подключенных к порту устройств В этом примере показано, как настроить безопасность порта на ограничение числа подключенных к порту устройств . На практике с помощью этой настройки можно ограничить чи...

www.zyxel.com 134/218 4 Откройте web- интерфейс Switch-1. Перейдите в Menu > Management > MAC Table > Search . В таблице MAC Address Table должны быть MAC- адреса PC-1 ( и Switch-2), но отсутствовать MAC- адрес PC-2. 5.1.3 Почему это не работает 1 MAC- адрес коммутатора Switch-2 должен быть...

www.zyxel.com 135/218 5.2 Как сконфигурировать MAC filter для блокировки ненужного трафика В этом примере объясняется, как настроить фильтр MAC- адресов для блокировки нежелательного трафика. Коммутатор Switch-1 блокирует пакеты, которые приходят от определенного устройства или идут на определенное ...

www.zyxel.com 137/218 5.2.3 Почему это не работает 1 Заданный на Switch -1 MAC- адрес для блокировки трафика должен быть такой же, как MAC- адрес у PC-1.

www.zyxel.com 138/218 5.3 Как настроить коммутатор для блокировки сканирования IP- адресов В этом примере с помощью Anti-ARP Scan блокируются попытки сканировать IP - адреса устройств в локальной сети . ARP Scanning – это механизм сканирования, при котором за короткое время направляется много запрос...

www.zyxel.com 140/218 5.3.2 Проверка результатов 1 Загрузите и инсталлируйте пакет IP Scanning на Host-A и Host-C. 2 Соедините Host-A и Host-B через беспроводную точку доступа . 3 Запустите на Host-A сканирование IP- адресов от 192.168.1.1 до 192.168.1.20. 4 У Host-A теперь не будет доступа к USG. 5...

www.zyxel.com 142/218 10 Откройте Web- интерфейс коммутатора . Перейдите в Advance Application > Anti- Arpscan . Теперь у порта Port должно быть состояние Err-disabled. Примечание: Если сконфигурировано Errdisable Recovery, то состояние порта Port 2 изменится на forwarding по истечению интервала ...

www.zyxel.com 143/218 Если этот порт в err-disable, то попробуйте увеличить значение в Port Threshold in Advance Application > AntiArpscan > Configure . 5.4 Как настроить коммутатор и сервер RADIUS для доступа к сети с помощью аутентификации 802.1x Port Authentication В этом примере показано, ...

www.zyxel.com 144/218 5.4.1 Настройка конфигурации коммутатора 1 Откройте Web- интерфейс коммутатора . 2 Перейдите в Advance Application > AAA > RADIUS Server Setup . Настройте IP - адрес сервера RADIUS и shared secret . Щелкните Apply . Примечание: shared secret должен соответствовать секрету...

www.zyxel.com 146/218 5.4.3 Проверка результатов 1 Проверьте доступ для User-A , User-B и устройства Guest . 2 Если вы используете Windows, щелкните кнопку Start button и в окне поиска введите services.msc . 3 В окне Services найдите сервис Wired AutoConfig . Его статус должен быть “ Started” . 4 Ще...

www.zyxel.com 147/218 5 Щелкните вкладку Authentication и поставьте галочку напротив “ Enable IEEE 802.1X authentication ”. В поле network authentication method должно стоять Microsoft: Protected EAP (PEAP) 6 Щелкните Additional Settings , выберите Specify authentication mode и задайте User authenti...

www.zyxel.com 148/218 7 Подключите устройство User-A к коммутатору . Для User-A появится всплывающее сообщение “ Additional information is needed to connect to this network. ” 8 Введите имя пользователя username ( User-A ) и пароль password ( zyxeluserA ), соответствующие настройкам профиля пользова...

www.zyxel.com 149/218 11 Введите username ( Guest ) и случайным образом подобранный пароль . 12 Устройства, использующие Guest credentials , не смогут обмениваться данными с USG и Private-Server . 5.4.4 Почему это не работает ? 1 Если коммутатор не предоставляет доступ пользователям с корректными cr...

www.zyxel.com 150/218 5.5 Как настроить коммутатор чтобы неавторизованные пользователи подключались к гостевой VLAN В этом примере показано, как настроить коммутатор чтобы направлять в гостевую VKAN пользователей, которые не прошли аутентификацию 802.1x port либо у них истек срок действия credential...

www.zyxel.com 152/218 Примечание: IP- адрес клиента и его secret должны соответствовать management IP и shared secret коммутатора . 2 Добавьте следующие профили клиентов в /etc/freeradius/users . Выйдите с сохранением файла . 3 Перезапустите сервис FreeRADIUS. 5.5.5 Настройка параметров User-A, User...

www.zyxel.com 153/218 2 Щелкните правой кнопкой по сетевому адаптеру и выберите Properties . Щелкните вклдаку Authentication tab и поставьте галочку в “ Enable IEEE 802.1X authentication ”. В network authentication method должно стоять “ Microsoft: Protected EAP (PEAP) ”. 3 Щелкните Additional Setti...

www.zyxel.com 154/218 5.5.6 Проверка результатов 1 Отсоедините и снова подсоедините PC к коммутатору . На PC появится всплывающее сообщение “ Additional information is needed to connect to this network .”

www.zyxel.com 157/218 5.5.7 Почему это не работает 1 Если на PC при подключении к коммутатору не выводится всплывающее сообщение аутентификации : a. Посмотрите, проходит ли с коммутатора Switch ping на Radius-Server.. b. Щелкните правой кнопкой сетевой адаптер и выберите Properties > Authenticati...

www.zyxel.com 159/218 5.6 Как настроить коммутатор и сервер RADIUS для предоставления доступа к сети по MAC - адресу устройства В этом примере показано, как настроить конфигурацию коммутатора так, чтобы доступ был только у машин с определенными MAC- адресами . С помощью MAC Authentication можно разр...

www.zyxel.com 160/218 2 Перейдите в Advance Application > AAA > RADIUS Server Setup . Настройте IP - адрес сервера RADIUS и задайте shared secret . Щелкните Apply . Примечание: shared secret должен соответствовать secret профиля клиента на сервере RADIUS. 3 Перейдите в Advance Application >...

www.zyxel.com 161/218 5.6.2 Настройка RADIUS-Server 1 Отредактируйте профиль клиента в /etc/freeradius/clients.conf . Выйдите с сохранением файла .

www.zyxel.com 162/218 Примечание: У клиента IP- адрес и секрет должны соответствовать management IP и shared secret коммутатора . 2 Добавьте следующие профили пользователей в /etc/freeradius/users . Имя пользователя Username нужно ввести в формате <Name Prefix><MAC Address of your device>...

www.zyxel.com 164/218 5.7 Как настроить коммутатор для предотвращения ARP spoofing В этом примере объясняется, как настроить коммутатор для защиты от сетевых атак ARP Spoofing, в которых злоумышленник использует IP- адрес одного из основных компонентов сети (например, сервера или шлюза). ARP Spoofin...

www.zyxel.com 165/218 5.7.1 Настройка конфигурации коммутатора 1 Откройте Web - интерфейс коммутатора . 2 Настройте DHCP Snooping ( см. 5.6.1 ). Примечание: Нужно включить DHCP Snooping до настройки ARP Inspection. 3 Перейдите в Advance Application > IP Source Guard > IPv4 Source Guard Setup &...

www.zyxel.com 166/218 5 Перейдите в Advance Application > IP Source Guard > IPv4 Source Guard Setup > ARP Inspection > Configure > VLAN . Введите Start VID и End VID. В этом диапазон PVID должны попасть порты, используемые для доступа . Щелкните Apply . 6 После ввода диапазона VID ниж...

www.zyxel.com 167/218 5.7.2 Проверка результатов 1 Подключите устройство, которому динамически назначается IP- адрес, к порту коммутатора, используемого для доступа. У этого устройства должен быть доступ к USG. 2 Когда устройство получит IP- адрес откройте web- интерфейс коммутатора . Перейдите в Ad...

www.zyxel.com 169/218 Иллюстрация 26 Поддельный сервер DHCP , подключенный через незащищенные порты, используемые для доступа Примечание: Все сетевые IP - адреса и маски подсети относятся только к этому примеру. Их нужно заменить на реальные IP - адреса и маски подсети вашей сети. Все интерфейсы пол...

www.zyxel.com 170/218 3 Перейдите в Advance Application > VLAN > VLAN Configuration > VLAN Port Setup . Настройте все используемые для доступа порта на PVID 1. Щелкните Apply . 4 Перейдите в Advance Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Config...

www.zyxel.com 171/218 5 Перейдите в Advance Application > IP Source Guard > IPv4 Source Guard Setup > DHCP Snooping > Configure > Port . Настройте все порты, используемые для доступа, как untrusted , а порты, к котором подключен USG или другие компоненты сети, должны быть trusted. Щел...

www.zyxel.com 172/218 7 После ввода диапазона VID ниже будет выведен список VID. выберите Yes для VLAN портов, используемых для доступа. Щелкните Apply . 5.8.2 Проверка результатов 1 Подключите поддельный Rogue-DHCP к одному из используемых для доступа портов . В LAN interface создайте следующий пул...

www.zyxel.com 175/218 5.9.1 Настройка конфигурации коммутатора 1 Откройте Web - интерфейс коммутатора . 2 Настройте ARP Inspection ( см. раздел 5.7.1 ). Примечание: Для использования Static Binding нужно включить DHCP Snooping и ARP Inspection. 3 Перейдите в Advance Application > IP Source Guard ...

www.zyxel.com 177/218 Иллюстрация 21 Настройка ACL на блокировку нежелательного трафика Примечание: Все сетевые IP - адреса и маски подсети относятся только к этому примеру, поэтому для вашей сети их нужно заменить на соответствующие реальные IP- адреса и маски подсети. В этом примере используется к...

www.zyxel.com 179/218 5.10.2 Настройка Classifier 1 Настройка Classifier: Перейдите в Menu > Advanced Application > Classifier > Classifier Configuration . Настройте Classifier для VLAN 20. Примечание: Подробнее о ACL см. 3.5 Как настроить ACL для ограничения скорости трафика IP . 2 Classif...

www.zyxel.com 182/218 5.10.4 Проверка результатов 1 ping PC-1 доходят до сервера Server. 2 Из - за настроек ACL с PC-2 (VLAN 20) ping не доходят до сервера Server.

www.zyxel.com 183/218 5.10.5 Почему это не работает 1 При настройке Classifier нужно правильно задать адреса отправителя и получателя трафика. Например, если создать policy rule только для source VLAN 20, но не для destination IP (Server IP: 192.168.1.150), то коммутатор будет блокировать весь трафи...

www.zyxel.com 184/218 5.11 Как с помощью ACL зеркалировать трафик, соответствующий определенному критерию Функция port mirroring дублирует трафик на порт мониторинга для его контроля без внесения дополнительной задержки. Она применяется для диагностики и для усиления контроля трафика. В некоторых си...

www.zyxel.com 185/218 В этом примере к коммутатору подключены другие коммутаторы и ПК . PC 1 используется для мониторинга трафика между PC2 и Интернетом . Обычно port 1 настраивается как порт мониторинга monitor port , а порт port 9 будет зеркалированным портом в обоих направлениях . При таком подхо...

www.zyxel.com 186/218 Активируйте порт port 1 и назначьте его Monitor Port. 3 Перейдите в Advanced Application > Classifier > Classifier Configuration > Classifier Global Setting . Настройте Match Order как “manual”, поставьте галочку в “Logging” и щелкните Apply. 4 Advanced Application >...

www.zyxel.com 188/218 5 Advanced Application > Classifier > Classifier Configuration . Поставьте галочку в Activate для N ame “Destination IP” и Weight 32766. Поставьте галочки в “Log” & “Count”. В Destination IP address введите IP - адрес PC 2, задайте Address Prefix “32” и затем щелкните...

www.zyxel.com 189/218 6 Advanced Application > Policy Rule. Поставьте галочку в Activate для Name “Mirror”. Выберите для classifiers как “Source IP” , так и “Destination IP”. Поставьте галочку в “Send the packet to the mirror port” для Outgoing Action и щелкните “Add” для создания . 5.11.2 Провер...

www.zyxel.com 191/218 5.11.3 Почему это не работает 1 В Advanced Application > Policy Rule , в поле Outgoing Action стоит “Send the packet to the mirror port”. mirror port здесь означает [Monitor Port] но НЕ [Mirrored Port] в Advanced Application > Mirroring . 5.12 Как разделить трафик с помощ...

www.zyxel.com 196/218 5.12.2 Проверка результатов 1 Client D может посылать ping на шлюз и у него есть доступ к Интернету .

www.zyxel.com 197/218 2 У Client D нет доступа к клиентам Client A, B и C. 5.12.3 Почему это не работает 1 L2 port isolation работает для отдельных портов, но не для VLAN, поэтому если порты настроены как изолированные между собой, они не могут обмениваться трафиком даже если они в одной VLAN.

www.zyxel.com 198/218 Внедрение VOIP 6.1 Как настроить VLAN для IP- телефона с помощью LLDP-MED В этом примере показано, как с помощью LLDP-MED настроить VLAN ID для IP- телефонов . Любой IP- телефон, подключенный к коммутатору, будет назначен в определенную VLAN в зависимости от порта коммутатора ....

www.zyxel.com 199/218 6.1.1 Настройка VLAN для IP- телефона 1 Настройте VLAN 100 на коммутаторе Switch ( см. 2.1 Как настроить коммутатор чтобы изолировать трафик разных отделов с помощью VLAN ). VLAN 100 создается для IP- телефона . 6.1.2 Настройка конфигурации коммутатора 1 Откройте web- интерфейс...

www.zyxel.com 201/218 6.1.3 Проверка результатов the Result 1 Перейдите в Menu > Management > MAC Table > Search. Посмотрите таблицу MAC- адресов . У IP- телефона MAC- адрес должен быть в VLAN 100. 2 Откройте web - интерфейс и перейдите в Menu > Management > Diagnostic > Ping test ...

www.zyxel.com 202/218 6.1.4 Почему это не работает 1 Если MAC- адрес IP- телефона не удалось назначить в VLAN 100, то проверьте, поддерживает ли IP- телефон LLDPMED. На коммутаторе должен быть включен LLDP-MED. 2 Поскольку IP- телефону назначен VLAN ID с помощью функции Network Policy в LLDP-MED, то...

www.zyxel.com 203/218 6.2 Как настроить коммутатор чтобы изолировать трафик VOIP от трафика данных В этом примере показано, как с помощью Voice VLAN можно отделить трафик голосовой трафик untagged VOIP от трафика данных untagged data. В отличие от традиционных приложений VOIP функция Voice VLAN отде...

www.zyxel.com 205/218 6.2.2 Настройка Voice VLAN 1 Откройте web- интерфейс и перейдите в Menu > Advanced Application > VLAN > VLAN Configuration > Voice VLAN Setup . Введите номер Voice VLAN (в данном примере это VLAN 100) . Щелкните “Apply”. 2 Настройте OUI Setup: Откройте web - интерфе...

www.zyxel.com 206/218 6.2.3 Проверка результатов 1 Перейдите в Menu > Management > MAC Table > Search. Убедитесь, в таблице MAC- адресов IP Phone назначен в VLAN 100. 2 Откройте Web- интерфейс и перейдите в Menu > Management > Diagnostic > Ping test . Убедитесь, что с коммутатора p...

www.zyxel.com 207/218 6.2.4 Почему это не работает 1 Если IP- телефона нет в voice VLAN, то проверьте его MAC- адрес. Обычно MAC- адрес указан на наклейке в основании IP- телефона . Этот MAC- адрес должен попадать в диапазон настроек Voice VLAN OUI. 2 Возможно, у IP- телефона неправильные настройки....

www.zyxel.com 209/218 устройства в in VLAN 100 могут обмениваться данными через коммутаторы Switch-1 и Switch-2. 6.3.2 Настройка Voice VLAN 1 Откройте web- интерфейс и перейдите в : Menu > Advanced Application > VLAN > VLAN Configuration > Voice VLAN Setup . Введите номер в поле Voice VL...

www.zyxel.com 210/218 Примечание : Коммутатор будет направлять весь трафик от устройств , у которых MAC- адрес в диапазоне cc:5d:4e: 00:00:00 - cc:5d:4e: ff:ff:ff , в Voice VLAN. 6.3.3 Настройка зеркалирования для проверки результатов 1 Для проверки результатов мы с помощью зеркалирования проверяем,...

www.zyxel.com 211/218 6.3.4 Проверка результатов 1 Подключите PC к коммутатору Switch-1. Запустите Wireshark для мониторинга пакетов . Настройте фильтр на “ arp || igmp ”. 2 Проверьте, доходят ли ping с коммутатора Switch-2 на IP- телефон : Откройте Web - интерфейс и перейдите в Menu > Management...

www.zyxel.com 213/218 6.4 Как настроить Voice VLAN на коммутаторе Zyxel Voice VLAN использует для отделения пакетов голосового трафика от пакетов других сервисов. Для улучшения качества телефонной связи голосовым пакетам назначается повышенный приоритет. IP- телефоны сегодня используются во многих о...

www.zyxel.com 216/218 Настройте номер Voice VLAN и приоритет чтобы у пакетов голосового трафика был более высокий приоритет . Номер Voice VLAN должен совпадать с номером VLAN, которая раньше для передачи голосового трафика . Задайте адрес OUI addresses. OUI – это относящиеся к вендору первые 3 байта...