Simple basic setup of SONiC OS for swicth Celestica Seastone DX010, 32-port 100G in L2 mode, and simple ACL restriction for SSH managemnt.

In continuing to Hardware switch with stateless firewall rules. Seastone DX010. SONiC OS, SONiC Notebook.

Conditions. Two Celestica DX010 switches (Celestica1, Celestica2) are connected via a 100G (4x25G) uplink connection located in different data centres.

Task. Manage the settings of the Celestica2 from the console of the Celestica1 switch, but not vice versa.

Upgrade firmware from WiKi

SONiC / Supported devices platforms - Celestica DX010 #37

 

$ scp ./sonic-broadcom.bin scp://admin@sonic_ip
$ ssh admin@sonic_ip
admin@sonic:~$ sudo sonic-installer install sonic-broadcom.bin
New image will be installed, continue? [y/N]: y
efi not supported - exiting without verification

Installing image SONiC-OS-master.576207-99e0e1ade and setting it as default...
Setup SWAP memory
Command: mkswap /host/swapfile
Setting up swapspace version 1, size = 1024 MiB (1073737728 bytes)
no label, UUID=c7e49ce7-321d-4a01-9af6-09123874b547

Command: swapon /host/swapfile

Command: bash ./sonic-broadcom.bin
Verifying image checksum ... OK.
Preparing image archive ... OK.
Installing SONiC in SONiC
ONIE Installer: platform: x86_64-broadcom-r0
onie_platform: x86_64-cel_seastone-r0
Removing old SONiC installation /host/image-master.571486-a2b3ca87a
Installing SONiC to /host/image-master.576207-99e0e1ade
....
Command: sync

Command: sync

Command: sync

Command: sleep 3

Done

admin@sonic:~$ sudo reboot

Now the user is admin, password: "YourPaSsWoRd".
Managemnet sonic_ip is obtained from the local DHCP server.

You can back up the sonic configuration on your local PC

$ scp -r admin@sonic_ip:/etc/sonic/ ./sonic

Hardware switch with stateless firewall rules. Seastone DX010. SONiC OS.

⌛ Нові часи швидкостей 📶 і нове обладнання приходиться опановувати.

Так опановую налаштування 100Gb обладнання 🔨 на прикладі "Celestica Seastone DX010, 32-Port 100G QSFP28 Onie Switch" з операційною системою SONiC OS.

🚆 Великі швидкості передачі - великі вимоги до часу ⛳ обробки мережевих пакетів. Для пришвидшення обробки використовуються спеціальні апаратні акселератори (ASIC), наприклад,  Broadcom Tomahawk ASIC.

🚀 ASIC своєю чергою можуть мати свої обмеження 🚧, такі, наприклад як stateless firewall правила в ACL

stateless firewall

statefull firewall

SONiC Notebook

Software for Open Networking in the Cloud (SONiC)

This repository contains documentation, Wiki, master project management, and website for the Software for Open Networking in the Cloud (SONiC).

Documentation covers project wide concerns such as the getting started guide, faq, general requirements for contribution, developer's guide, governance, architecture, and so on. It also contains links to download and install SONiC and links to all the source. See SONiC Wiki for complete information.

Використання IPSEC та включений захист DoS (Blat Attack) в керованих маршрутизаторах.

Так увімкнув функціонал захист DoS (DoS-атака) на керованому маршрутизаторі необхідно уявляти як і на що це впиває.
Я випадково заблокував роботу VPN IPSEC між двома філіями, увімкнув усі типу захисту DoS у керованому маршрутизаторі L2.
Проаналізував з часом що було зроблено з'ясував що блокування  IKE Phase 2 було через захист DoS Blat Attack.
Blat Attack - різновид DоS атаки в якому порт джерела дорівнює порту призначення. 
А так як початкові фази IKE використовують для з'єднання симетричний порт UDP 500 як у відправника так і у отримувача, то це як раз ця ситуація.
Тому треба захист DoS Blat Attack виключити щоб запрацював VPN IPSEC.

DoS Defend, L2 Management switch, TP-Link JetStream 24-Port Gigabit L2 Managed Switch

T2600G-28TS

У використаній конфігурації порт ISP , і  порт WAN програмного шлюзу pfSense підключений до маршрутизатора L2, з організацією окремого VLAN.

Комутатор TP-Link Easy Smart Switch TL-SG1016DE те що потрібно знати про (default) VLAN1

Є така лінійка комутаторів від компанії TP-Link як Easy Smart Switch.

Все б не погано якби продавець попереджував про обмеження "початкової" лінійки, Easy Smart Switch, і про те що таких обмежень не має у лінійках для корпоративного рішення.

Почалося з того що було придбано 16-портовий гігабітний комутатор серії Easy Smart TL-SG1016DE.

Вивчаючи можливості застосування в своїй корпоративній мережі, з'ясувалося що якщо увімкнуто режим 802.1Q VLAN Configuration, то кожному з портів є можливість назначити VLAN ID тільки  у проміжку від 2 до 4092. А де №1 ?