» 3com 4500

Коллеги доброе утро. Перед созданием темы, по форуму отфильтровал, мануалы скачал, но всё ровно не пойму.

До меня был создал стек из двух 3com 4500 50-port. Unit1 и Unit2. В стеке управляются они через один IP. Этот IP мне известен. Могу зайти только под monitor\monitor, посмотрел, оба свитча работают. Тут огромная избыточность, Unit2 я отключил. Теперь я не знаю его IP адреса, подключаюсь к нему через putty, зайти так же не могу, все существующие пароли он не принимает. Для восстановления пароля рекомендуют recover\recover их он тоже не принимает.

Зайти в boot menu могу, там пароль стандартный. Можно как-то от сюда изменить пароль?) Читая мануалы, наткнулся на загрузку default конфигурации, через boot-menu. Врозе загрузился, даже создал пользователя, даже могу посмотреть system-view; local-view; как я понимаю я могу управлять свитчем, но не могу понять, как сделать так что бы загрузка переключилась на рабочий конфигурационный файл, у меня теперь всегда в деволтном загрузка идёт, хочу попробовать зайти под созданным пользователем. Учитывая что я могу управлять свитчем, я не смог найти инструкции где задать ему IP адрес. Ещё есть вариант вытащить конфигурационный файл, и в нём поиграться с паролями или пользователями, но не пойму как это сделать. Так же хочу спросить как прошить его? Точнее нужно поднимать TFTP сервер для прошивки, я так понимаю надо на то же машине откуда и подключаешься к свитчу его поднимать?) Кто знаком с 3Com и не только, подскажите пожалуйста.

Цитата:

Для восстановления пароля рекомендуют recover\recover их он тоже не принимает.

это работает если не отключен Password Recovery
попробуй
Логин: 3comcso, пароль RIP000

Valery12

Спасибо, пробовал, не подходит. Вы случайно не знаете как задать ему IP, Маску, и создать нового юзера с правами администратора, если такое вообще возможно конечно.

попробовал обратно его подоткнуть к Unit1 он уже не подцепился.

Я где-то прочитал, что если свитч объединить в стек к другому свитчу ( у которого есть IP, и от которого есть пароль) то второй, перетянет его настройки, кроме IP как выяснилось. У меня есть 3com 4500 26 порт. Сейчас пытаюсь сделать стек, но пока не выходит.

Kacblm
Цитата:

я так понимаю надо на то же машине откуда и подключаешься к свитчу его поднимать?

Неправильно понимаешь. Это может быть любой TFTP сервер в той сети, на которую настроен свитч
Цитата:

я не смог найти инструкции где задать ему IP адрес

Плохо искал

Код: <SwitchA> system-view
[SwitchA] interface Vlan-interface 1
[SwitchA-Vlan-interface1] ip address 192.168.1.1 255.255.255.0
[SwitchA-Vlan-interface1] quit

vlary

Спасибо большое. У меня ещё мышление на soho уровне, что где-то там на заднем плане надо прописать IP и всё заработает.

Правда под ново созданным пользователем тоже не пускает (( и monitor\monitor не работает. Может после создание пользователя нужно сохранить настройки?)

Буду дальше пробовать создать пользователя и поменять прошивку.

Kacblm
Цитата:

Может после создание пользователя нужно сохранить настройки?

Так вообще конфиг после изменения надо сохранять. Там и команда save есть.
А иначе после перезагрузки все опять слетит.

Цитата:

Правда под ново созданным пользователем тоже не пускает

Посмотри юзеров командой display local-user
В принципе там изначально admin (пустой пароль), manager (пароль manager) и monitor (пароль monitor, в режим system не заходит)

vlary

Приветствую. Получилось загрузиться с дефолтной настройкой.

Для начала я установил tftp-server. Далее в boot-menu посмотрел какие файлы лежат на свитче, там был файл .cfg соответственно настройки и файл .def это дефолтные настройки, я через tftp слил .def поменял у него расширение на .cfg и залил обратно, с заменой старого .cfg и перезагрузил свитч. При входе он спросил логин пароль, как понятно из инструкции это admin и пустой пароль, далее меняем пароль на новый и радуемся жизни.

Для прошивки так же заливаем через tftp-сервер файлы с расширением .app ; .web; .btm. вроде все.

Спасибо всем за помощь, и самое главное за желание помочь.

Коллеги доброе утро!

Появился ещё один вопрос, все вышеописанные действия были проделаны для того что бы настроить port security на данном свитче. И вот что-то не получается. Нужна Ваша помощь.

Хочу настроить port-security на коммутаторе 3com 4500. У меня есть мануалы по нему, а так же есть по 5500 (тут больше написано, и вроде как всё работает)
Я могу могу настроить port-security на 1 порт, вот что я делаю:

System-view
port security enable
interfase ethernet 1/0/1
port security max-mac-count 1
port security port-mode autolearn
mac address security 0000-0000-0000 vlan 1

После этого, компьюетр с маком 0000-0000-0000 может отправлять пакеты только через этот порт, на всех остальных портах он блокируется.
Исходя из этого у меня вопрос, как быть если компьютер поменялся и нужно сменить МАС-адресс? при попытке сделать undo mac address security 0000-0000-0000 vlan 1 нечего не получается, работает только undo mac address но это значит что все адреса слетят. И как быть если на 1 порту 3 или 4 МАС-адреса ? То есть на друком конце стоит свитч, к которому подключены 3 пользователя и принтер. Как ограничить доступ к сети только эти 4-ом МАС адреса и никаким другим методами port-security? И последний вопрос, из описания не совсем понимаю, что значит функция mac-authentication? Чем отличается от port security? Спасибо.

по логике
port security max-mac-count 1
port security port-mode autolearn
означает допускается только один мак на порту, первый мак который на нем появится будет сохранен (autolearn) и другие пойдут лесом, undo mac address удалит сохранненые за портом маки и процесс "autolearn" повторится, закрепив за портом новые маки

Цитата:

И как быть если на 1 порту 3 или 4 МАС-адреса ? То есть на друком конце стоит свитч, к которому подключены 3 пользователя и принтер. Как ограничить доступ к сети только эти 4-ом МАС

значит нужно сделать port security max-mac-count 3 или 4

Цитата:

что значит функция mac-authentication?

это настройка аутентификации через внешний радиус сервер

Valery12

Я вчера уже наверное устал, и что-то делал не так. Сегодня всё получилось. Спасибо большое. После просмотра MAC адреса на порту, его можно убрать командой undo mac-addres interface ethernet 1/0/1 0000-0000-0000 vlan 1.

Вопрос в другом в мануалах написана команда

mac address security 0000-0000-0000 vlan 1

если у нас включен port security колл-во запоминающих мак-адресов к примеру 1, и режим безопасности autolearn, то необходимость в данной команде отпадает? (mac address security 0000-0000-0000 vlan 1 ) я так понимаю эта команда для того что бы не ждать пока к порту подключиться устройство и порт выучит МАС адрес, а сразу прописать мак известного устройства на этот порт верно?)

Цитата:

если у нас включен port security колл-во запоминающих мак-адресов к примеру 1, и режим безопасности autolearn, то необходимость в данной команде отпадает? (mac address security 0000-0000-0000 vlan 1 ) я так понимаю эта команда для того что бы не ждать пока к порту подключиться устройство и порт выучит МАС адрес, а сразу прописать мак известного устройства на этот порт верно?)

да коммутатор запомнит первый мак который появится на порту, но в принципе должен работать и вариант без обучения

port security max-mac-count 1
mac address security 0000-0000-0000 vlan 1

тогда нужно будет обязательно прописывать вручную.

Valery12

Спасибо большое. Обязательно попробую. Далее по плану объединение в стек но в инструкциях много об этом написано, а если не справлюсь, то знаю, что здесь мне помогут. Спасибо Вам большое.

Добавлено:

Цитата:

да коммутатор запомнит первый мак который появится на порту, но в принципе должен работать и вариант без обучения

Попробовал сделать без обучения.

display port-security interface Ethernet1/0/10

Ethernet1/0/10 is link-down
Port mode is noRestriction
NeedtoKnow mode is disabled
Intrusion mode is no action
Max mac-address num is 1
Stored mac-address num is 0
Authorization is permit
Guest VLAN is --

mac-address security 0012-8c2d-f2b4 vlan 1

ругается

Security MAC address can only be added at port of autolearn mode when security is enabled !

Получается что port-mode нужно обязательно задавать. А остальные режимы относятся к 802.1х и RADIUS обслуживанию.

Valery12

Добрый день.

Создал стек из 2-х свитчей 3COM 4500 24 и 48, Unit1 и Unit2 соответственно. Пытался создать через CLI но что-то не получалось, потом через web интерфейс назначил определённым портам значение Fabric. И стек создался, управляю по одному IP.

Вернулся к первоначальной задаче, обеспечения безопасности периметра сети от физического проникновения, то есть к port-security.

Как я выяснил прописать допустимое колл-во MAC адресов можно (port security max-mac-count 1 ) а вот добавить mac в режиме secure (mac-address security 0012-8c2d-f2b4 vlan 1 ) без добавления port-mode autolearn нельзя.

Хорошо, что может быть легче?) Задаём колл-во допустимых MAC адресов, задаём port-mode, делам mac-address secure) и вроде готово, но есть одно большое НО.

При создании port-mode autolearn железка ругается вот так

This mode can not be configured, please undo all fabric-port first.

получается решим autolearn нельзя использовать в стеке?)

Конечно можно использовать режим mac-address static и всё, тогда port-mode конечно же не нужен. Но всё же может есть какое-то решение заставить его автоматически учить адреса в стеке?)

Конечно стек я создал ради интереса, если пробовать на свитче не объединённого в стек, то port-mode autolearn работает прекрасно, я могу их разъединить. Кстати как правильно это сделать? Просто на втором свитче поменять значение порта которым он соединён с первым свитчем на Access?

Чего-то не получается. Я оболтус, думал задав mac-address static то этот порт будет доступен только этому МАК. На деле получается что с этот МАК может жить на этом порту. Но машины с другими МАКами спокойно подключаются к порту и обмениваются пакетами. О безопасности говорить вообще не приходится. Походу придётся разрывать стек, и всех в autolern загонять и Mac-addres Security делать.

я не совсем понял, все эти манипуляции делаются на портах доступа или на транковых и фабрик?

Valery12

на портах доступа конечно! Interface ethernet 2/0/1 к примеру. У нас стандартный один vlan1.
Нечего понять не могу почему в стеке 3com не даёт прописывать port-mode autolearn и mac-address secure.

честно говоря не знаю, никогда их в стек не соединял.
В составе 3com network director есть switch manager (причем помоему бесплатный), может через него попробовать?

Valery12

Есть Device Manager я думаю вы его имели ввиду. Да там есть такие плюшки по настройке. Но как обычно они не работают. То есть выбираю порт, выбираю настройки жму apply а железка ругается Configuration failed. Буду ковырять дальше, если без результатов то попробую без стека. Спасибо Вам.

Добавлено:
Это я что-то ступил.

Получается всё очень просто!

[4500]system-view
[4500]port-security enable
[4500]Interface ethernet 1/0/1
[inteface ethernet 1/0/1]port-security port mode secure
[inteface ethernet 1/0/1]mac-address 0000-0000-0000 vlan 1

В данной схеме port mode secure Запрещает все адреса кроме тех которые мы прописали на порт руками. А прописать мы можем dinamic and static адреса. Вроде бы этого функционала мне хватит. Спасибо