Настройка D-link DES3200-26, rev.A1, rev.C1 + RADIUS Windows NPS


Прошивка и настройка D-link DES3200-26 С1


Начнём с описания ревизии C1. Прошивку для ревизии С1 можно скачать тут (в том числе и для других, в одной папке все прошивки, каждая подписана).

Скачиваем прошивку и складываем к себе на TFTP, можно использовать tftp64.exe под Windows, если других вариантов нет.

Для DES-3200 rev.C1 обновление до прошивок ветки 4.38 и выше следует производить через промежуточную прошивку 4.38.000

Обновление до 4.38:


sh switch
save
download firmware_fromTFTP 10.200.0.106 src_file DES3200R_4.38.B000.had dest_file DES3200R_4.38.B000.had
config firmware image DES3200R_4.38.B000.had boot_up
dir
del c:/runtime.had
reboot

Где 10.200.0.106 мой адрес tftp.

Обновление до 4.38:


download firmware_fromTFTP 10.200.0.106 src_file DES3200-26-C1_Run_4_51_B007.had dest_file DES3200-26-C1_Run_4_51_B007.had
config firmware image DES3200-26-C1_Run_4_51_B007.had boot_up
dir
del c:/DES3200R_4.38.B000.had
reboot

Прошивка D-link DES3200-26 A1


Обновление до 1.91:


sh switch
config firmware image_id 2 delete
download firmware_fromTFTP 10.200.0.106 DES-3200R_1.91.B07.had image_id 2
config firmware image_id 2 boot_up
save all
reboot

Прошивка D-link DGS3100-24tg


show switch
download firmware 10.200.0.106 DGS-3100-xx-3.60.45.ros
​

Бонус


Прошивка D-link DGS3024:


download firmware 10.200.0.106 DGS-3024_A4_v4.01B01.had
​

Прошивка коммутаторов d-link 3200-26


Сброс настроек:


reset config
reset system

Настройка учётной записи:


create account admin admilink
vS!b!r!-H0l0dn0
vS!b!r!-H0l0dn0
enable password encryption
​​

Конфигурируем сети:


config vlan vlanid 1 delete 1-28
create vlan management tag 100
create vlan vlanid 50
config vlan vlanid 100 add tagged 25-28
config vlan vlanid 100 add untagged 1-24
config ipif System ipaddress 10.10.0.221/24 state enable vlan management
create iproute default 10.10.0.1
​

Где ip коммутатора 10.10.0.221, а 10.10.0.1 основной шлюз. Указываем сервер времени и часовой пояс, разрешаем восстановление пароля, если забыли.

config sntp primary 10.200.0.2
config sntp secondary 83.172.56.202
enable sntp
config time_zone operator + hour 7 min 0
enable command logging
enable password_recovery
enable clipaging
enable web 80
enable ssh
enable telnet 23
​

Настраиваем snmp на наш community "tokb-v2", отключая дефолтные, stp в моём случае не используется, ставлю защиту на портах, отключаю lldp.

delete snmp community public
delete snmp community private
delete snmp user initial
delete snmp group initial
delete snmp view restricted all
delete snmp view CommunityView all
delete snmp group ReadGroup
delete snmp group WriteGroup

enable snmp
create snmp view CommunityView 1 view_type included
create snmp group Readers v1 read_view CommunityView notify_view CommunityView
create snmp group Readers v2c read_view CommunityView notify_view CommunityView
create snmp community tokb-v2 view CommunityView read_only

disable stp
enable loopdetect
config loopdetect ports 1-24 state enable

enable bpdu_protection
config bpdu_protection ports 1-24 mode shutdown state enable

disable lldp

config filter dhcp_server ports 1 - 24 state enable
config filter dhcp_server add permit server_ip 10.10.0.1 ports 26
config filter dhcp_server add permit server_ip 10.200.0.1 ports 26

Указываем настройки RADIUS:


Где 10.10.0.2 первый сервер ААА, 172.31.200.2 — второй сервер.

create authen server_host 10.10.0.2 protocol radius port 1812 key "HawAiRules%7334" timeout 3 retransmit 1
config authen server_group radius delete server_host 0.0.0.0 protocol radius
create authen server_host 172.31.200.2 protocol radius port 1812 key "HawAiRules%7334" timeout 5 retransmit 2
config authen server_group radius delete server_host 0.0.0.0 protocol radius
config authen server_group radius add server_host 172.31.200.2 protocol radius
config authen server_group radius add server_host 10.10.0.2 protocol radius

config authen_login default method local
create authen_login method_list_name rad_ext
config authen_login method_list_name rad_ext method radius
config authen_enable default method local_enable
create authen_enable method_list_name rad_ext_ena
config authen_enable method_list_name rad_ext_ena method radius
config authen application console login default
config authen application console enable default
config authen application telnet login method_list_name rad_ext
config authen application telnet enable method_list_name rad_ext_ena
config authen application ssh login method_list_name rad_ext
config authen application ssh enable method_list_name rad_ext_ena
config authen application http login default
config authen application http enable default
config authen parameter response_timeout 0
config authen parameter attempt 3
enable authen_policy
disable web
disable telnet

save all​

Настройка RADIUS (NPS на Windows Server 2016)


Считаем, что роль сервера политик сети уже установлена.

Запускаем сервер политик сети -> Политики -> Сетевые политики-> Новый документ.

Создаём по аналогии:


Как видно из скриншота, у нас создана отдельная группа в AD, Switches-Write — пользователи, входящие в эту группу, получают права администратора на коммутаторах и могут вносить изменения в конфигурацию.

Так как коммутаторов у нас много и вендоры разные, мы создаём RADIUS клиентов с наименование вендора, в нашем случае D-link*, по имени и будут применяться правила.


Формируем атрибуты «Зависящие от поставщика», указываем код поставщика «171», и права доступа цифра «5».


Для группы чтения конфигурации указываем права доступа цифра «4» и создана отдельная группа в AD, Switches-Read.


Создаём общий секрет для каждого вида коммутаторов.


Далее создаём RADIUS клиента, с указанием правильного имени, указываем IP-адрес коммутатора, выбираем общий секрет из выпадающего меню.


Имя поставщика оставляем «RADIUS стандарт».

В домене обязательно создаём учётку с логином «enable», ставим галочку «Срок действия пароля не ограничен».

Добавляем пользователя в группу «Switches-Write».

При подключении по SSH и ввода логина и пароля, для получения администратора используйте команду «enable admin».

P. S. Доменный логин не может быть более 15 символов, я с эти столкнулся!
Увидел по логам, что на радиус сервер отправляется только первые 15 символов.

Список используемых источников:



Полезные ссылки:





Читайте также:

Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud — в нашем Telegram-канале

Комментарии (2)


  1. sirmax123
    17.07.2024 18:11
    +1

    Обожаю такие "статьи" (нет конечно)
    >Формируем атрибуты «Зависящие от поставщика», указываем код поставщика «171», и права доступа цифра «5».

    Что за магические цифры? откуда они? почему такие а не другие? Где словари VSA брать? как подкючать?

    Половина команд в статье лишняя и не имеет отношения к настройки авторизации через радиус (гордо назвали SSO), вторая половина не пояснена, в стиле хаутушек 2000-х, скопируй и может заработает. А если нет то я статью не для человеков а заради рекламы сделал


    Ну и вопрос "и зачем тут винда" оставим за кадром?


  1. Vindex
    17.07.2024 18:11

    Статья точно имеет отношение к хабу D?