AXIS T8504-E Outdoor PoE Switch

Перейти: Документация Axis

Информация об этом руководстве

Цели

AXIS T8504–E — это коммутатор PoE для уличного применения. Основными преимуществами этого продукта являются его возможности использования вне помещений и возможность расширить максимальный охват сети на дополнительные 100 метров (в общей сложности до 200 метров) между коммутатором и запитываемыми устройствами при одновременном обеспечении до 2 портов на 60 Вт и 2 портов на 30 Вт для сетевых устройств PoE.

Это руководство содержит информацию о том, как управлять AXIS T8504–E через AXIS IPv4/IPv6, VLAN, RADIUS, TACACS+, веб-интерфейс, SNMP и SHH.

Целевая аудитория

Это руководство пользователя предназначено для сетевых администраторов, руководителей и специалистов по установке, имеющих следующие знания:

  • Основные понятия и терминология сетей

  • Топология сети, включая VLAN

  • Сетевые протоколы

  • Протоколы проверки подлинности пользователей, включая RADIUS и TACACS+

Дополнительные сведения см. в следующей документации:

  • Руководство по установке продукта

  • RFC3621 SNMP MIB и закрытая база MIB

  • Создание сертификата для защищенного веб-сервера T8504–E

Сокращения

Сокращение

Описание

8021.Q

То же, что и VLAN

DES

Стандарт шифрования данных

DGW

Шлюз по умолчанию

DHCPv4

Протокол динамической настройки хостов IPv4

DHCPv6

Протокол динамической настройки хостов IPv46

IPv4

IP-адрес длиной 32 бита

IPv6

IP-адрес длиной 128 бит

MD5

Алгоритм выборки сообщений

MDI

Интерфейс, зависящий от среды передачи данных

MIB

Информационная база управления

PoE

Питание по сети передачи данных (Power over Ethernet)

RADIUS

Служба удаленной проверки подлинности звонящего

SFP

Оптоволоконный интерфейс, разъем малого форм-фактора

SHA

Алгоритм выборки сообщений

SNMP

Простой протокол сетевого управления

SSH

Протокол безопасной оболочки

SSL

Протокол безопасных соединений

SysLog

Системный журнал

TACACS+

Контроллер доступа к терминалу типа «доступ-контроль»

TFTP

Элементарный протокол передачи файлов

TLS

Протокол безопасности транспортного уровня

VLAN

Виртуальная локальная сеть

Общая информация

Функции

Ряд функций предоставляется через управление сетью системы.

  • Простое обновление программного обеспечения во время его выполнения без влияния на активные порты PoE

  • Настройка и мониторинг в режиме реального времени с использованием графического представления удаленного устройства

  • Отображение состояния системы

  • Отчеты SysLog о событиях PoE, недопустимом удаленном доступе пользователей, исходном адресе DHCPv4/v6 и т. д.

  • Ловушки SNMP, сообщающие о различных событиях PoE, таких как установка или удаление запитываемого от PoE устройства

Сетевые возможности коммутатора Ethernet

  • Четыре закрытых от атмосферных воздействий порта RJ45 Ethernet с поддержкой скорости 10 Мбит, 100 Мбит, полудуплексной и полнодуплексной скорости Ethernet в 1000 Мбит/с

  • Один герметичный порт SFP Ethernet с защитой от атмосферных воздействий

  • Внутренний механизм поиска MAC-адресов 8K

  • VLAN — режимы "Access" (Доступ), "Trunk" (Магистральный канал) и "Filtered Trunk" (Магистральный канал с фильтром)

  • Auto-MDIX

  • Крупные кадры на 10 КБ

Функции PoE

Доступны следующие параметры PoE:

  • Два порта PoE 4Pair, которые обеспечивают мощность до 60 Вт на порт

  • Два порта IEEE 802.3at PoE обеспечивают мощность до 30 Вт на порт

  • Включение/отключение PoE для включения или отключения выходной мощности портов PoE. Передача данных Ethernet всегда включена.

  • Удаленный сброс устройства для сброса подключенного запитываемого устройства. Устройство временно выключается, а затем снова включается.

Поддерживаемые сетевые протоколы

Поддерживаются следующие сетевые протоколы:

  • IPv4 — 32-битный IP-адрес (статический/DHCPv4)

  • IPv6 — 128-битный IP-адрес (статический/DHCPv6)

  • VLAN — режимы "Access" (Доступ), "Trunk" (Магистральный канал) и "Filtered Trunk" (Магистральный канал с фильтром)

Доступ пользователей и безопасность

Параметры доступа

Вы можете получить доступ к устройству через различные интерфейсы:

  • Веб-интерфейс в веб-браузере — для просмотра состояния PoE устройства, состояния сети, конфигурации устройства и информации о производителе устройства

    HTTP — это удобный веб-интерфейс для выполнения настроек.

    HTTPS-TLS — это удобный защищенный веб-интерфейс для выполнения настроек.

  • SNMP через приложение диспетчера SNMP — для мониторинга устройства по сети (MIB-II RFC1213) и для мониторинга или настройки функций PoE устройства (RFC3621)

    SNMPv2c для незащищенного управления SNMP

    SNMPv3 для безопасного и зашифрованного управления

    RFC1213 MIB-II для сетевой статистики

    RFC3621 для MIB PoE SNMP

    Расширение закрытой базы MIB для MIB RFC3621 PoE

    Различные инфраструктурные и сетевые MIB, такие как IP-MIB, TCP-MIB, UDP-MIB и т. д.

  • SSH через SSH-клиент — для просмотра отчета о питании PoE устройства, состояния сети, конфигурации устройства и информации о производителе; для обновления программного обеспечения, включения или отключения функции PoE и для проверки связи с удаленными сетевыми устройствами

Удаленная проверка подлинности пользователя

Доступом пользователей можно управлять следующими способами:

  • Локально — имя пользователя и пароль управляются устройством локально.

  • RADIUS — имя пользователя и пароль аутентифицируются сервером RADIUS по сети

  • TACACS+ — имя пользователя и пароль аутентифицируются сервером TACACS+ по сети

Протоколы безопасности

Веб-HTTP и -HTTPS, SNMPv2, SNMPv3 и SSH, используемые для доступа к устройству, обеспечивают различные уровни безопасности. Кроме того, RADIUS и TACACS+, используемые для удаленной проверки подлинности пользователей, обеспечивают различные уровни безопасности.

SNMPv1 и SNMPv2 используют строку доступа для проверки подлинности Get/Set/Trap. SNMPv1 и SNMPv2 считаются незащищенными протоколами, поскольку пароль строки доступа может быть легко перехвачен любым сетевым устройством.

SNMPv3 решает проблемы безопасности SNMPv1/v2, добавляя уровень проверки подлинности и шифрования поверх пакетов SNMP.

IP-адрес устройства, имя пользователя и пароль по умолчанию

Устройство поставляется со следующими заводскими именами пользователя и паролями по умолчанию:

IPv4-адрес устройства по умолчанию
IP = 192.168.0.254
Маска = 255.255.255.0

Веб-HTTP/HTTPS и SSH
Имя пользователя = root
Пароль = см. пароль по умолчанию на наклейке, размещенной на устройстве

SNMPv2
Строка имени и пароля GET = public
Строка имени и пароля SET = write
Строка доступа Read = public
Строка доступа Write = write
Строка доступа Trap = public

SNMPv3
Имя пользователя = admin
Пароль для проверки подлинности (MD5) = password
Пароль конфиденциальности (DES) = password
Режим проверки подлинности и шифрования = MD5+DES

Уведомления по SNMPv3
Username = trap
Пароль для проверки подлинности = password
Пароль конфиденциальности = password
Режим проверки подлинности и шифрования = нет

Сведения о восстановлении имени пользователя и пароля см. в разделе Восстановление имени пользователя и пароля.

Восстановление имени пользователя и пароля

Примечание.

Процедуру восстановления можно выполнять только из локальной сети, но не через Интернет или из другой IP-сети. У пользователя должна быть возможность выключить питание устройства при необходимости. Все PoE-порты должны быть отключены, а устройство должно иметь только один активный канал Ethernet.

Примечание.

Возможно, потребуется добавить клиентскую службу Telnet в Windows 7 или Windows 8.

Примечание.

Вся процедура восстановления — от подачи питания на устройство до применения имени пользователя и пароля — должна занимать менее 120 секунд.

  1. Отключите все PoE-порты от устройства, за исключением одного кабеля Ethernet. Должен быть активен только один отдельный порт Ethernet.

  2. Выключите межсетевой экран или включите UDP-порт 514. Затем запустите на вашем компьютере SysLog-сервер, поддерживающий протокол IPv4.

  3. Выключите устройство. Подождите 10 секунд, затем снова включите устройство.

  4. Приблизительно через 15 секунд отобразится сообщение SysLog. Определите локальный IPv6-адрес устройства. Локальный IPv6-адрес всегда начинается с FE80.

  5. Откройте командное окно на своем компьютере.

    • В Windows 7 перейдите в меню Start (Пуск) и введите cmd.

    • В Windows 8 нажмите клавишу Windows и клавишу R, а затем введите cmd.

  7. Введите команду ipconfig, чтобы определить индекс виртуального интерфейса локального IPv6-адреса. Индекс виртуального интерфейса обозначается числом после знака %. Пример: fe80::9c39:db8b:62de:7bv4%17

  8. Подготовьте SSH-соединение, введя Telnet [локальный IPv6-адрес устройства][%номер виртуального интерфейса] 2525, но не нажимайте клавишу Enter (Ввод). Пример: Telnet fe80::9c39:db8b:62de:7bv4%17 2525

  9. Выключите устройство. Подождите 10 секунд, затем снова включите устройство.

  10. Подождите 30 секунд, а затем нажмите клавишу Enter (Ввод), чтобы запустить сеанс связи Telnet на TCP-порте 2525.

  11. Введите axispasswordrecovery в качестве имени пользователя и axispasswordrecovery в качестве пароля. Отобразится параметр восстановления всего устройства до полных заводских установок, включая конфигурацию сети устройства.

  12. Нажмите клавишу Y, чтобы восстановить устройство. Устройство перезапустится с IPv4-адресом по умолчанию в виде 192.168.0.254. Введите root в качестве имени пользователя и используйте пароль по умолчанию, напечатанный на наклейке, размещенной на устройстве.

Настройка при первом запуске

При настройке устройства в первый раз выполните следующие действия:

  1. Настройте сетевой интерфейс Ethernet компьютера, задав следующие параметры IPv4:

    Адрес IPv4 компьютера: 192.168.0.40

    Маска IPv4 компьютера: 255.255.255.0

  2. Подключите сетевой интерфейс Ethernet компьютера к любому из портов Ethernet устройства.

  3. Откройте веб-браузер и введите 192.168.0.254 в поле адреса.

  4. Войдите в систему, введя имя пользователя и пароль по умолчанию. См. IP-адрес устройства, имя пользователя и пароль по умолчанию.

  5. Настройте устройство. Рекомендуется изменить имена пользователей и пароли на значения, отличные от значений по умолчанию.

Идентификация устройства в IP-сети

Чтобы найти устройство в IP-сети, устройство отправляет сообщение IPv4 SysLog #0 в широковещательном формате 255.255.255.255 при включении питания. Любой сервер SysLog, подключенный по локальной сети, получает это сообщение SysLog. То же сообщение SysLog также отправляется на дополнительные серверы SysLog 1 и 2, если они настроены.

Устройство отправляет сообщение дважды. Это необходимо для того, чтобы сообщение SysLog было получено серверами SysLog независимо от конфигурации сети. Сообщение сначала отправляется до настройки VLAN, а затем после завершения настройки VLAN.

Сообщение SysLog #0 содержит всю информацию, необходимую для обеспечения доступа к устройству по сети.

Пример: MsgID#000 - System UP. APP:v3.51.06 BOOT:v3.16 RST:Power-On BOOT:0=[APP OK] Host:axis-00055A034B49 MAC:00:05:5a:03:4b:49 VLAN:YES VLAN_MNGR:5 VLAN_UPLINK_PORT:3 VLAN_UPLINK_MODE:TRUNK DHCPv4:No IP1v4:192.168.0.254/24 DHCPv6:No IP1v6:2345::205:5AFF:FE03:4B49/64 IP2v6:FE80::205:5AFF:FE03:4B49/64

Поле

Значение

Описание

MsgID#000 - System UP

Номер сообщения SysLog

APP:

v3.51.06

Версия программного обеспечения устройства

BOOT:

v3.16

Загрузочная версия устройства, используемая для обновления программного обеспечения

RST:

Power-On

Причина сброса

BOOT:

0=[APP OK]

Host:

axis-00055A034B49

Слово axis, за которым следует MAC-адрес устройства

MAC:

00:05:5a:03:4b:49

MAC-адрес устройства

VLAN:

YES

Состояние VLAN: включено или отключено

VLAN_UPLINK_PORT:

3

Номер порта Ethernet, используемый для управления устройством

VLAN_UPLINK_MODE:

TRUNK (МАГИСТРАЛЬНЫЙ КАНАЛ)

Порт управления настроен как "Access" (Доступ) или "Trunk" (Магистральный канал)

DHCPv4:

No

DHCPv4: "Да" или "Нет"

IP1v4:

192.168.0.254/24

IPv4-адрес устройства

DHCPv6:

No

DHCPv6: "Да" или "Нет"

IP1v6:

2345::205:5AFF:FE03:4B49/64

IPv6-адрес устройства

IP2v6:

FE80::205:5AFF:FE03:4B49/64

Локальный IPv6-адрес устройства

Веб-интерфейс

Меню веб-интерфейса

Состояние

Перейдите в меню Status (Состояние), чтобы просмотреть состояние устройства. Страница обновляется автоматически каждые несколько секунд.

Примечание.

Сетевое подключение Ethernet постоянно включено, независимо от конфигурации PoE (включено или отключено).

ПараметрОписание
Синий символ — питание PoE подается
Серый символ — питание PoE отсутствует
Синий символ — PoE-порт включен
Серый символ — PoE-порт отключен
Синий символ — канал Ethernet включен
Серый символ — канал Ethernet отсутствует
Синий символ — модуль SFP вставлен в порт канала восходящей связи
Серый символ — в порте канала восходящей связи модуль SFP отсутствует
СетьСообщает о скорости соединения по каналу Ethernet (10/100/1000 МБ), а также о том, работает ли сетевое подключение
СостояниеСообщает о состоянии PoE-порта: активирован, отключен, используется для подачи питания и т. д.
Потребление электроэнергииСообщает о фактическом потреблении энергии и максимальной мощности, которую можно передать
Сброс PoEНажмите кнопку Reset (Сброс), чтобы отключить питание PoE-порта и восстановить питание PoE.
Примечание.

Порт PoE, отключенный протоколом SSH или SNMP, будет включен после сброса PoE.

Общее энергопотреблениеСообщает о совокупной мощности, потребляемой всеми портами PoE, а также о потребляемой мощности в процентах по сравнению с возможностями внутреннего источника питания.

Основные сведения

Перейдите в раздел Basic (Основные сведения), чтобы просмотреть основные сведения о продукте.

Используемый IP-адрес –
Перейдите в раздел IP address in use (Используемый IP-адрес) для просмотра сведений об адресах IPv4 и IPv6, масках, шлюзах по умолчанию и серверах доменных имен (DNS).
Информация о проекте –
Перейдите в раздел Product information (Информация о продукте) для просмотра общей информации о продукте, такой как имя устройства, серийный номер, версия программного обеспечения и версия встроенного ПО PoE, а также информации о модуле SFP, такой как тип SFP, поставщик, номер по каталогу и серийный номер.
Конфигурация сети –
Перейдите в раздел Network configuration (Конфигурация сети), чтобы включить или отключить DHCP, настроить параметры IPv4, IPv6 и сетевое имя хоста. Имя хоста используется как IPv4, так и IPv6 для регистрации имени устройства на DHCPv4/v6-сервере. Обратите внимание, что IPv6 использует терминологию FQDN в качестве имени хоста.
Сетевые службы, IPv4/IPv6 –
Перейдите в раздел Network services IPv4/IPv6 (Сетевые службы, IPv4/IPv6), чтобы настроить серверы DNS и SysLog.
Настройка PoE –
Перейдите в раздел PoE configuration (Настройка PoE), чтобы настроить питания порта PoE. Четыре схемы питания PoE предусматривают разное распределение питания между четырьмя PoE-портами. Все четыре способа соответствуют максимальной мощности устройства.

  • 60 Вт: обеспечивает мощность по четырем парам внутри кабеля Ethernet. Каждая пара обеспечивает до 30 Вт.

  • 30 Вт: Обеспечивает мощность по двум парам из четырех, расположенным внутри кабеля Ethernet

  • 15,4 Вт: Обеспечивает мощность по двум парам из четырех, расположенным внутри кабеля Ethernet

  • – –: Питание PoE отсутствует. Порт Ethernet включен и функционирует, но питание PoE отключено.

Безопасность

Настройка безопасности

Перейдите в раздел Security configuration (Настройка безопасности), чтобы настроить имя пользователя и пароль устройства для доступа к удаленной сети или SSH.

Примечание.

В полях имени пользователя и пароля можно использовать только символы ASCII: 33–90 и 94–122.

HTTPS

Перейдите в раздел HTTPS, чтобы указать, какой протокол следует использовать: HTTP или HTTPS (безопасный веб-протокол). При включенном протоколе HTTPS для шифрования сетевого трафика используется TLSv1.2.

Примечание.

Чтобы отключить предупреждение, отображающееся при доступе к устройству через HTTPS, добавьте правило исключения в веб-браузер, которое будет сообщать веб-браузеру, что этот веб-сайт является легальным, или загрузите самозаверяющий сертификат/сертификат, подписанный ЦС, устройства.

RADIUS/TACACS+

Протоколы RADIUS/TACACS+ позволяют пользователям проходить дистанционную проверку подлинности, когда пользователь получает доступ к устройству через Интернет или SSH. После этого имя пользователя и пароль проходят проверку подлинности сервера RADIUS/TACACS+.

Преимущество использования RADIUS/TACACS+ заключается в том, что имя пользователя и пароль просто обновить, особенно если необходимо управлять большим числом сетевых устройств.

Недостаток использования RADIUS/TACACS+ заключается в том, что устройство становится недоступным, если оба сервера RADIUS/TACACS+ не работают. Можно включить параметр Local login fallback (Резервный локальный вход в систему), что позволит устройству использовать свое локальное имя пользователя и пароль в случае отсутствия ответа от серверов RADIUS/TACACS+.

Общие параметры RADIUS/TACACS+
ПараметрОписание
Включение проверки подлинностиУкажите, следует ли включить или отключить протокол RADIUS/TACACS+. Когда RADIUS/TACACS+ отключены, используются локальные имя пользователя и пароль.
Включение резервного локального входа в системуКогда резервный локальный вход в систему включен, локальные имя пользователя и пароль будут использоваться в случае отсутствия ответа от серверов RADIUS/TACACS+. Это может произойти, если серверы не работают или в случае проблем с сетью.
Протокол аутентификацииВыберите протокол RADIUS или протокол TACACS+.
Общий секретНеобходимо настроить одну и ту же строку закрытого ключа как на устройстве, так и на сервере RADIUS/TACACS+.
IP-адрес основного сервераНастройте основной IPv4-адрес, IPv6-адрес или имя хоста, которые будут использоваться для доступа к основному серверу RADIUS/TACACS+.
IP-адрес дополнительного сервераНастройте дополнительный IPv4-адрес, IPv6-адрес или имя хоста, которые будут использоваться для доступа к основному серверу RADIUS/TACACS+.
Тайм-аут (в сек.)Настройте время ожидания ответа.
Дополнительные параметры RADIUS
ПараметрОписание
UDP-порт проверки подлинностиНастройте порт UDP, используемый RADIUS-сервером.
Дополнительные параметры TACACS+
ПараметрОписание
TCP-порт проверки подлинностиНастройте порт TCP, используемый сервером TACACS+.
Примечание.

Программное обеспечение версии 3.51.06 поддерживает только доступ к серверам RADIUS и TACACS+ через IPv4 с адресом IPv4 или именем хоста, которые будут разрешены DNS-сервером.

Тестирование RADIUS/TACACS+

Перейдите ы раздел Test RADIUS/TACACS+ (Тестирование RADIUS/TACACS+), чтобы проверить конфигурацию RADIUS/TACACS+ перед ее активацией.

Примечание.

Во время тестирования параметр Enable authentication (Включить проверку подлинности) должен быть отключен.

  1. Настройте все параметры RADIUS/TACACS+. При этом параметр Enable authentication (Включить проверку подлинности) должен быть отключен.

  2. Сохраните конфигурацию. В противном случае параметры будут восстановлены до сохраненных значений после каждого тестирования, а любые несохраненные значения будут удаляться.

  3. Введите имя пользователя и пароль.

  4. Нажмите Test configuration (Протестировать конфигурацию). Появится ожидающее сообщение с текстом ОК или СБОЙ.

  5. При необходимости измените и сохраните конфигурацию и проверьте ее еще раз.

  6. После получения положительного результата тестирования включите параметр Enable authentication (Включить проверку подлинности). Сохраните конфигурацию, которая активирует конфигурацию RADIUS/TACACS+.

Конфигурация VLAN

Проверка работоспособности конфигурации VLAN выполняется при подаче питания на устройство и при отправке запроса на изменение конфигурации VLAN через Интернет. Проверка работоспособности позволяет убедиться в том, что устройство остается управляемым по сети после применения конфигурации VLAN. В случае если новая конфигурация VLAN может сделать устройство неуправляемым, на веб-странице для подачи запросов через Интернет отобразится сообщение об ошибке. При обнаружении проблемы во время подачи питания конфигурация устройства будет восстановлена до заводских установок.

Включение VLAN и порт управления
ПараметрОписание
Включить VLANАктивация или деактивация функции VLAN.
Управляющий порт канала восходящей связиЭтот параметр не влияет на фактический трафик VLAN. Управляющий порт канала восходящей связи помогает устройству проверить, может ли новая конфигурация VLAN блокировать управление устройством через VLAN с этого порта. При обнаружении возможных конфликтов выводится сообщение об ошибке, а новая конфигурация VLAN отклоняется.
Идентификатор управления VLANУкажите идентификатор VLAN, который будет использоваться для управления устройством, если VLAN включена.
Конфигурация портов VLAN
ПараметрОписание
Режим VLANУстановите для режима VLAN значения "Access" (Доступ) или "Trunk" (Магистральный канал) для каждого порта Ethernet.
Доступ — VLAN используется только внутри устройства, чтобы разделить или ограничить доступ к пакету только для конкретных портов. Все входящие пакеты с разметкой VLAN, полученные через порт доступа к VLAN, удаляются. Разметка VLAN добавляется в пакет устройства для входящих пакетов VLAN с режимом Access. Внутренняя разметка VLAN устройства отделяется для исходящих пакетов VLAN с режимом Access.
Магистраль — все пакеты Ethernet имеют разметку VLAN. Любые пакеты VLAN без разметки, полученные через магистральный порт VLAN, удаляются.
Идентификатор VLAN в режиме AccessЗадайте идентификатор VLAN, который будет использоваться при настройке порта в режиме Access. Внутренний порт управления устройством работает только в режиме Access. Доступ к нему можно получить только из одного идентификатора управления VLAN.
TRUNK (МАГИСТРАЛЬНЫЙ КАНАЛ) — фильтрация неизвестной VLANНастройте порт магистрального канала VLAN как отфильтрованный или нефильтрованный.
Enabled (Включено) — только поток данных от некоторых идентификаторов VLAN, указанных в списке VLAN в режиме Trunk, проходит через порт магистрального канала VLAN. Весь остальной трафик с разметкой VLAN удаляется.
Disabled (Отключено) — поток данных от всех идентификаторов VLAN проходит через порт магистрального канала VLAN.
Сети VLAN магистрального каналаСписок идентификаторов VLAN, которые могут проходить через порт магистрального канала VLAN, если параметр TRUNK — Filter unknown VLAN (TRUNK — фильтрация неизвестной VLAN) включен.
Конфигурация SNMP

Перейдите в меню SNMP configuration (Конфигурация SNMP), чтобы настроить параметры, применимые к SNMPv2c и SNMPv3.

SNMPv2c
ПараметрОписание
Активировать SNMPv2cВключение или отключение поддержки SNMPv2c.
Строка доступа только для чтенияНастройте строку доступа GET для SNMPv2c. Пример: общедоступно.
Строка доступа только для записиНастройте строку доступа SET для SNMPv2c. Пример: закрыто.
Строка доступа ловушкиНастройте строку доступа ловушки для SNMPv2c. Пример: общедоступно.
Информация о системе (MIB-II, v2c/v3)
ПараметрОписание
Системный контактНастройте строку идентификатора объекта для системного контакта SNMP MIB-II. Пример: Иван.
Название системыНастройте имя системы для SNMP MIB-II. Пример: Мое устройство.
Расположение системыНастройте расположение системы для SNMP MIB-II. Пример: университет.
PoE MIB (RFC3621, v2c/v3)
ПараметрОписание
Включить уведомленияВключить или отключить следующие отчеты о PoE-ловушках:

  • Питание PoE подано на запитываемое устройство/отключено от него

  • Общее энергопотребление устройства превышает значение xy% от максимальной мощности устройства

  • Общее энергопотребление устройства было восстановлено до менее чем xy% от общей мощности устройства

Уведомление об превышении потребляемой мощности (1–99 %)Если этот параметр включен, то пользователь будет получать уведомление, когда общее энергопотребление устройства (xy%) в процентах от максимальной мощности устройства будет превышать указанное значение или будет ниже его.
SNMPv3
ПараметрОписание
Активировать SNMPv3Включение или отключение поддержки SNMPv3.
Имя пользователяНастройте строку имени пользователя SNMPv3.
Пароль для проверки подлинностиНастройте пароль SNMPv3, который будет использоваться MD5/SHA.
Пароль конфиденциальностиНастройте пароль SNMPv3, который будет использоваться DES/AES.
Режим проверки подлинности и шифрованияНастройте режим проверки подлинности и шифрования SNMPv3.
Нет — проверка подлинности и шифрование не выполняются, что означает отсутствие защиты.
MD5 — проверка подлинности MD5 без шифрования. Пакет можно изменить и легко проанализировать с помощью средств сетевого прослушивания.
SHA — проверка подлинности SHA без шифрования.
MD5 + DES — проверка подлинности MD5 и шифрование DES
SHA + DES — проверка подлинности SHA и шифрование DES
MD5 + AES — проверка подлинности MD5 и шифрование AES
SHA + AES — проверка подлинности SHA и шифрование AES
Уведомления SNMPv3 (ловушка)
ПараметрОписание
Имя пользователяНастройте строку имени пользователя для уведомлений SNMPv3.
Пароль для проверки подлинностиНастройте пароль уведомлений SNMPv3, который будет использоваться MD5/SHA.
Пароль конфиденциальностиНастройте пароль уведомлений SNMPv3, который будет использоваться DES/AES.
Режим проверки подлинности и шифрованияНастройте режим проверки подлинности и шифрования для уведомлений SNMPv3.
Нет — проверка подлинности и шифрование не выполняются, что означает отсутствие защиты.
MD5 — проверка подлинности MD5 без шифрования. Пакет можно изменить и легко проанализировать с помощью средств сетевого прослушивания.
SHA — проверка подлинности SHA без шифрования.
MD5 + DES — проверка подлинности MD5 и шифрование DES
SHA + DES — проверка подлинности SHA и шифрование DES
MD5 + AES — проверка подлинности MD5 и шифрование AES
SHA + AES — проверка подлинности SHA и шифрование AES
Удаленные диспетчеры ловушек SNMP IPv4/IPv6 (v2c/v3)
ПараметрОписание
Диспетчер ловушек #1Настройте первое имя IPv4/IPv6/DNS удаленного диспетчера сервера SNMP, получающего отчеты ловушек устройства, такие как холодный запуск и т. д.
Диспетчер ловушек #2Настройте второе имя IPv4/IPv6/DNS удаленного диспетчера сервера SNMP, получающего отчеты ловушек устройства, такие как холодный запуск и т. д.

Обслуживание

Сброс –
Существуют четыре способа сброса параметров:

  • Do a safe restart without losing PoE power (Выполнить безопасный перезапуск без потери питания PoE) — выполняет сброс внутренних диспетчеров сети и внутренних коммутаторов Ethernet (сеть будет отключена в течение нескольких секунд) без изменений питания PoE. Запитываемые устройства продолжают нормально работать, как если бы сброс не выполнялся.

  • Do a safe restart (Выполнить безопасный перезапуск) — выполняет сброс внутреннего диспетчера сети, внутреннего PoE-контроллера и внутреннего коммутатора Ethernet.

  • Restore the factory values but keep the IP settings (Восстановить заводские значения, но сохранить настройки IP) — выполняет сброс конфигурации устройства на заводские установки; при этом сетевая конфигурация IPv4/IPv6 остается неизменной. VLAN и RADIUS/TACACS+ отключены. Возможность доступа к устройству по сети, как и раньше, сохраняется.

  • Restore all factory values (Восстановить все заводские установки) — выполняет восстановление настроек устройства до полных заводских установок. Для IP-адреса устройства задано значение 192.168.0.254 и VLAN отключена.

Обновление встроенного ПО –
При обновлении встроенного ПО происходит обновление только внутреннего диспетчера сети. Встроенное ПО PoE не изменяется. Процесс обновления может занять до 10 минут. В ходе этого процесса сетевая коммутация не прерывается, однако устройством управлять нельзя. Функция PoE остается активной, но передача сетевого трафика может прерваться на несколько секунд.
Конфигурация продукта –
Перейдите в раздел Product configuration (Конфигурация продукта), чтобы скачать или загрузить файл конфигурации продукта. Эту функцию можно использовать для резервного копирования конфигурации устройства, изменения конфигурации устройства в автономном режиме или создания основного файла конфигурации, чтобы легко настроить несколько устройств.

Последовательный интерфейс SSH

Интерфейс SSH разработан для различных задач обслуживания, таких как обновление встроенного ПО PoE и т. д. Это удобный интерфейс для ИТ-руководителей, знакомых с SSH. Чтобы упростить использование SSH, интерфейс SSH управляется с помощью меню.

SSH защищен паролем и использует те же имя пользователя и пароль, что и для веб-доступа.

SSH поддерживает проверку подлинности с помощью имени пользователя и пароля по протоколам RADIUS и TACACS+.

Примечание.

Только один удаленный пользователь может получить одновременный доступ к устройству через SSH. Если второй удаленный пользователь SSH попытается получить доступ к устройству, когда первый пользователь SSH активен, то второй пользователь SSH получит сообщение с запросом подключиться через SSH позже.

Примечание.

Неактивные сеансы SSH (без нажатия клавиш удаленным пользователем) завершаются автоматически через три минуты.

Для удобства идентификации устройства, к которому осуществляется доступ, строка hostname (имя хоста) отображается справа от заголовка "Главное меню". Это особенно полезно, когда у пользователя есть несколько устройств.

Меню "Вид"

View menu (Меню "Вид") содержит информацию о состоянии портов PoE, сетевые параметры и сведения об устройстве.

Элемент меню

Описание

1. Просмотр состояния PoE-портов

Перейдите к этому пункту меню, чтобы получить следующую информацию:

  • Сеть — информация о скорости соединения Ethernet (10/100/1000) и типе соединения HD/FD

  • PoE — информация о потреблении энергии для каждого подключенного устройства

  • Общая мощность — информация об общем потреблении энергии для всех запитываемых устройств, подключенных к активным портам PoE. Также показывает максимальную доступную мощность.

  • Источник питания — информация о напряжении внутреннего источника питания для устройства

2. Просмотр сетевых параметров

Перейдите к этому пункту меню, чтобы получить следующую информацию:

  • Использование сетевых параметров IPv4 — показывает, активирован ли или выключен протокол DHCPv4. Кроме того, здесь показаны используемые по умолчанию IPv4-адрес, маска IPv4 и шлюз IPv4.

  • Использование сетевых параметров IPv6 — показывает, активирован ли или выключен протокол DHCPv6. Кроме того, здесь показаны используемые по умолчанию IPv6-адрес, префикс IPv6 и шлюз IPv6. IPv6 может сообщать о нескольких IPv6-адресах, автоматически получаемых в дополнение к статическим адресам/адресам DHCPv6 IPv6.

  • Используемые сетевые параметры DNS — информация об используемых IP-адресах сервера доменных имен IPv4/IPv6, настраиваемых статически или получаемых через DHCPv4/DHCPv6.

  • Дополнительные сетевые параметры — информация о MAC-адресе устройства

3. Просмотр информации об устройстве

Перейдите к этому пункту меню, чтобы получить сводные данные о производителе устройства:

  • Номер по каталогу — информация о рыночном номере по каталогу устройства (T8504–E)

  • С/Н — информация о серийном номере устройства из шести цифр

  • Номер изделия — информация о заводском номере устройства (только для внутреннего использования)

  • Версия приложения — информация о версии программного обеспечения сетевого диспетчера

  • Версия загрузки — информация о версии загрузки сетевого диспетчера

  • Встроенное ПО — версия встроенного ПО PoE

  • Простой системы — информация о времени, прошедшем с момента сброса или запитывания устройства

  • Время по Гринвичу (GMT) — информация о времени GMT устройства, полученном с NTP-сервера. Если устройство не может получить NTP-время от NTP-сервера, отображается сообщение "incorrect" (неверно).

  • Местное время системы — информация о местном времени устройства (GMT + сдвиг поясного времени). Если устройство не может получить NTP-время от NTP-сервера, отображается сообщение "incorrect" (неверно).

Меню настройки и обслуживания

Перейдите в раздел Configuration and maintenance menu (Меню настройки и обслуживания), чтобы настроить или сбросить устройство или обновить программное обеспечение.

Элемент меню

Описание

1. Включение/отключение порта PoE

Включение или отключение порта PoE. Канал Ethernet остается включенным даже при отсутствии питания.

2. Скачать сертификат WEB SSL с TFTP-сервера (сбросить только веб-сервер)

Скачивание самозаверяющего сертификата или сертификатов, подписанных центром сертификации, с TFTP-сервера, чтобы обеспечить безопасный просмотр веб-страниц на устройстве с подтверждением безопасности веб-браузером (зеленый замок в строке URL-адреса веб-браузера)

3. Обновление прошивки PoE-устройства (сброса устройства)

Обновление прошивки PoE. Файлы обновлений скачиваются с TFTP-сервера. Функция PoE недоступна при обновлении встроенного ПО (примерно 5–10 минут).

4. Восстановить заводские установки на устройстве (без конфигурации IP)

Сброс конфигурации устройства до заводских установок без изменения конфигурации сети IPv4/IPv6. Это обеспечивает возможность доступа к устройству по сети, как и раньше.

5. Восстановить полные заводские установки на устройстве

Сброс всего устройства до полных заводских установок.

6. Сбросить только диспетчер сети

Сброс только внутреннего диспетчера сети, отвечающего за интерфейсы управления сетью, такие как Web, SSH, SNMP и т. д. Внутренний коммутатор Ethernet также сбрасывается; сеть будет недоступна в течение нескольких секунд. Только питание через PoE остается неизменным. Запитываемые устройства продолжают нормально работать, как если бы сброс не выполнялся.

7. Сбросить устройство

Сброс всего устройства, включая внутренний диспетчер сети, PoE-контроллер и внутренний коммутатор Ethernet.

8. Включить/отключить автопроверку связи со шлюзом по умолчанию для обеспечения сетевого подключения

Включение или выключение автопроверки связи со шлюзом по умолчанию. Если эта функция включена, устройство проверяет работоспособность сети с помощью команды ping для шлюза по умолчанию каждые 12 секунд (IPv4 DGW или IPv6 DGW). После 10 последовательных сбоев проверки связи с помощью команды ping модуль управления сетью сбрасывается, не влияя на порты PoE.

Проверка подключения удаленного хоста с помощью команды ping

Перейдите в раздел Ping remote host (Проверка подключения удаленного хоста с помощью команды ping), чтобы проверить работоспособность подключения к сети.

Мониторинг и настройка SNMP

С помощью стандартных средств управления сетью сторонних производителей, таких как HP Openview, IBM Tivoli, SNMPc и так далее, можно контролировать и администрировать несколько устройств.

Активация SNMP

Интерфейс диспетчера сети поддерживает протоколы SNMPv1, SNMPv2 и SNMPv3. Устройство принимает и отвечает на пакеты SNMPv1, но поскольку протокол SNMPv1 устарел, ловушки SNMP и уведомления передаются по протоколу SNMPv2 или SNMPv3 либо по обоим.

Примечание.

Из-за соображений безопасности устройство поставляется с отключенными протоколами SNMPv2 и SNMPv3. Прежде чем включать SNMP, рекомендуется изменить строки доступа SNMP.

Чтобы включить SNMP:

  • Перейдите в раздел Security > SNMMP configuration (Безопасность > Конфигурация SNMMP) и включите SNMPv2 или SNMPv3.

  • Убедитесь в том, что строки доступа SNMPv2 соответствуют вашим настройкам диспетчера SNMP.

  • Убедитесь, что имя пользователя, пароль для проверки подлинности, пароль конфиденциальности и методы шифрования SNMPv3 соответствуют вашим настройкам в диспетчере SNMP.

Чтобы включить ловушки:

  • Перейдите в раздел Remote IPv4/IPv6 SNMP trap managers (Удаленные диспетчеры ловушек IPv4/IPv6 SNMP) и настройте IP-адрес удаленного диспетчера.

  • Убедитесь, что имя пользователя для отправки уведомлений, пароль для проверки подлинности, пароль конфиденциальности и методы шифрования SNMPv3 соответствуют настройкам диспетчере ловушек SNMP.

  • Перейдите в базу MIB PoE и включите PoE-уведомления для получения уведомлений об изменении состояния порта PoE, превышении или падении потребляемой мощности ниже определенного уровня и т. д.

Базы данных MIB SNMP

Диспетчер SNMP поддерживает несколько баз данных MIB.

Сетевые базы данных MIB –
Для предоставления сетевой статистики можно использовать различные сетевые базы данных MIB, такие как RFC1213 MIB-II. Обратите внимание, что эти базы данных MIB не предназначены для использования с целью настройки сети по протоколу SNMP.
RFC3621 –
База данных MIB технологии Power over Ethernet (PoE), которая обеспечивает различные возможности PoE. См. RFC3621 PoE MIB.
Закрытая база MIB –
Расширяет функциональные возможности PoE за пределы RFC3621 PoE MIB. См. Закрытая база MIB.

RFC3621 PoE MIB

База данных RFC3621 PoE MIB расположена в дереве 1.3.6.1.2.1.105 SNMP MIB. База данных MIB разделена на три раздела.

Параметры порта –
Первый раздел отвечает за порты PoE и предоставляет такие функции, как включение и отключение портов, чтение состояния портов, их класса и т. д. Доступ к каждому идентификатору объекта осуществляется как к таблице, состоящей из двумерных массивов данных.
Основные параметры питающего оборудования –
Второй раздел отвечает за источник питания, который обеспечивает подачу питания группе PoE-портов. С его помощью можно считывать общее энергопотребление, состояние блока питания и т. д.
PoE-ловушки –
Третий раздел включает и выключает PoE-ловушки, отправляемые удаленным SNMP-диспетчерами.

Закрытая база MIB

В закрытой базе MIB SNMP поддерживаются следующие SNMP-идентификаторы объектов:

Имя идентификатора объекта

Тип (чтение/запись)

Описание

poePortConsumptionPower

R

Энергопотребление порта PoE (Вт)

poePortMaxPower

R

Максимальная доступная мощность на порте PoE (Вт)

poePortType

R

Тип порта PoE — две пары, 30 [Вт], четыре пары, 60 [Вт]

mainVoltage

R

Напряжение блока питания устройства (Вольт)

Сообщение SysLog

Устройство отправляет различные отчеты о событиях на внешний хост IPv4/IPv6, на котором запущено системное приложение SysLog. Хост IPv4/IPv6 регистрирует события для дальнейшего использования. Настройте IP-адрес SysLog-сервера, перейдя на веб-страницу "Unit Configuration" (Настройка устройства), если необходимо отправлять события SysLog.

Существует три категории событий журнала:

Широковещательная рассылка событий IPv4 SysLog –
Эти события журнала перехватываются любым сервером SysLog в локальной сети независимо от конфигурации SysLog устройства. Это облегчает обнаружение IP-адреса устройства в сети и отчетность по основным событиям, таким как восстановление работы устройства после сбоя питания и т. д.
PoE-ловушки RFC3621 –
PoE-ловушки RFC3621 также передаются в виде SysLog-сообщений, что упрощает чтение таких событий для удаленного пользователя.
Специализированные события в SysLog –
Эти события журнала содержат потенциальные сбои или потенциальные нарушения системы безопасности, например когда удаленный пользователь пытается получить доступ с помощью неверного имени пользователя через Интернет/SSH и т. д.

Типы сообщений SysLog

Идентификатор сообщения

Описание

Предоставленные сведения

Комментарии

0

System UP (Система ВКЛ.) — передается, когда питание подается на устройство или когда внутренний сетевой диспетчер сбрасывает сам себя.

  • Версия программного приложения

  • Версия загрузки

  • Причина сброса

  • Состояние загрузки

  • Имя хоста устройства

  • MAC-адрес устройства

  • VLAN (Yes/No) (Виртуальная локальная сеть Да/Нет)
     — если значение "Yes" (Да), то также предоставляется идентификатор виртуальной локальной сети. Идентификатор VLAN используется для управления устройством. Какой порт настроен в режиме "Access" (Доступ) или "Trunk" (Магистральный канал) и настроен ли он.

  • IPv4-адрес (статический/HDCPv4)

  • Весь IPv6-адрес (статический/DHCPv6)

Сообщение отправляется в широковещательном формате 255.255.255.255 на любой сервер SysLog, подключенный через локальную сеть и к SysLog-серверу 1 и 2.

1

PoE port status changed (Состояние PoE-порта изменено) — отправляется при изменении состояния порта PoE (например, при установке или удалении устройства).

Новое состояние PoE, определенное в RFC3621 (поиск, подача питания, сбой и т. д.)

RFC3621 SNMP PoE MIB, эквивалентный ловушке отчет SysLog

2

PoE power usage exceeds xy% out of power supply maximum power (Энергопотребление PoE превышает значение xy% от максимальной мощности источника питания) — отправляется, когда энергопотребление PoE превышает установленное значение.

Потребление электроэнергии в процентах от максимальной мощности источника питания

RFC3621 SNMP PoE MIB, эквивалентный ловушке отчет SysLog

3

PoE power usage is less than xy% out of power suply maximum power (Энергопотребление PoE меньше xy% от максимальной мощности источника питания) — отправляется, когда энергопотребление PoE опускается ниже заданного значения.

Потребление электроэнергии в процентах от максимальной мощности источника питания

RFC3621 SNMP PoE MIB, эквивалентный ловушке отчет SysLog

6

(Default configuration) Конфигурация по умолчанию) — отправляется при восстановлении устройства до конфигурации по умолчанию

При восстановлении устройства до конфигурации по умолчанию IP-адрес сервера SysLog не меняется.

7

Unit configuration changed (Конфигурация устройства изменена) — отправляется при изменении конфигурации устройства.

9

(PoE controller reset) Сброс контроллера PoE — отправляется при сбросе контроллера PoE.

10

(PoE controller has no firmware) На контроллере PoE нет прошивки — отправляется, когда встроенное ПО контроллера PoE удаляется или повреждается.

11

(Invalid SSH) Недопустимый SSH — отправляется, когда удаленный пользователь пытается получить доступ к устройству по SSH с неверным именем пользователя или паролем.

IPv4/IPv6-адрес удаленного пользователя

12

DHCPv4 — отправляется только при первом получении адреса DHCPv4 посредством переключения со статического адреса на DHCPv4 или при подаче питания.

  • Имя хоста устройства

  • MAC-адрес устройства

  • Адрес DHCPv4

Сообщение отправляется в широковещательном формате 255.255.255.255 на любой сервер SysLog, подключенный через локальную сеть и к SysLog-серверу 1 и 2.

13

DHCPv6 — отправляется только при первом получении адреса DHCPv6 посредством переключения со статического адреса на DHCPv6 или при подаче питания.

  • Имя хоста устройства

  • MAC-адрес устройства

  • Адрес DHCPv6

Сообщение отправляется в широковещательном формате 255.255.255.255 на любой сервер SysLog, подключенный через локальную сеть и к SysLog-серверу 1 и 2.

14

(Invalid VLAN configuration) Недействительная конфигурация VLAN — отправляется, когда при подаче питания устройство обнаруживает, что текущие конфигурации VLAN блокируют управление устройством по сети. Это может быть вызвано неисправностью нового файла конфигурации, который загружается в устройство. Устройство восстанавливается до половины заводских установок, выключает VLAN и восстанавливает большинство параметров конфигурации к заводским установкам; при этом параметры IP-адреса сети устройства не изменяются. После этого устройство перезагружается.

Сообщение отправляется в широковещательном формате 255.255.255.255 на любой сервер SysLog, подключенный через локальную сеть и к SysLog-серверу 1 и 2.

Поиск и устранение неполадок

В следующей таблице по поиску и устранению неисправностей описаны наиболее распространенные проблемы. Если вы не можете найти информацию, которую вы ищете, обратитесь к местному дилеру для получения дополнительной помощи.

Проблема

Шаги по устранению

Ошибка при проверке связи IP-адреса устройства.

  1. Убедитесь, что ваш компьютер и устройство используют одну и ту же IP-сеть.

  2. Запустите SysLog-сервер.

  3. Выключите устройство и вновь включите его. Дождитесь, когда появится сообщение SysLog #0 с указанием IP-адреса устройства.

Проверить связь с устройством можно с локального хоста, но при попытке использовать служебную программу для проверки связи устройства ответ отсутствует.

  1. Выключите межсетевой экран хоста.

  2. Если проверка связи выполнена успешно, перейдите в раздел "Advanced firewall options" (Расширенные настройки межсетевого экрана) и активируйте параметр ping, TFTP (UDP-порт 69) и порты SNMP-ловушек (UDP-порт 162).

Не удается обновить программное обеспечение по протоколу TFTP.

  1. С помощью служебной программы для проверки связи с устройством проверьте связь с хостом, на котором запущено серверное приложение TFTP.

  2. Выключите межсетевой экран или включите UDP-порт 69.

  3. Убедитесь, что соответствующий пакет файлов обновления скопирован в корневую папку сервера TFTP.

Подключение к устройству по SSH работает, но сеанс SSH завершается через некоторое время.

Сеанс SSH прекращается через 3 минуты, если не нажать ни одну клавишу и не выполнять никакие действия.

События ловушек SNMP не принимаются.

  1. Просмотрите конфигурацию устройства с помощью веб-браузера.

  2. Убедитесь, что выбран протокол SNMP.

  3. Убедитесь, что IP-адреса удаленного диспетчера SNMP совпадают.

  4. Убедитесь, что строка доступа соответствует конфигурации ловушки удаленного диспетчера SNMP.

  5. Выключите межсетевой экран на станции диспетчера SNMP или разрешите прохождение через него UDP-порта 162.

IP-адрес SysLog-сервера задан правильно, но сообщения журнала не приходят.

Отключите межсетевой экран хоста или разрешите прохождение через него UDP-порта 514.

Вход в устройство не работает после активации RADIUS/TACACS+.

  1. Следуйте указаниям, которые приведены в разделе Восстановление имени пользователя и пароля.

  2. Настройте все параметры, которые содержат значения RADIUS/TACACS+, оставив параметр Enable Authentication (Включить проверку подлинности) отключенным.

  3. Используйте функцию "Test username and password" (Проверить имя пользователя и пароль) на веб-странице RADIUS/TACACS+, чтобы убедиться в том, что удаленный пользователь может войти в устройство.

  4. Включите параметр Enable Authentication (Включить проверку подлинности).

SNMP-ловушки PoE не отправляются.

  1. Включите уведомления RFC3621 на веб-странице настройки SNMP.

  2. Настройте IP-адрес диспетчера ловушек SNMP.

  3. Включите SNMPv2 или SNMPv3.

Поддержка

Если вам потребуется техническая помощь, свяжитесь со своим реселлером Axis. Если реселлер не сможет ответить на ваши вопросы сразу, он передаст запрос по соответствующим каналам, чтобы вы могли получить ответ в кратчайший срок. Если у вас есть интернет-соединение, вы можете:

  • посетить страницу axiscompanion.com/manuals с полным комплектом руководств пользователя и руководств по установке для разных устройств и систем;

  • загрузить пользовательскую документацию и обновления ПО;

  • найти ответы на вопросы в базе данных часто задаваемых вопросов; вести поиск по названию продукции, категориям или фразам;

  • отправить отчеты о проблемах в службу поддержки Axis, войдя в личный кабинет отдела поддержки;

  • Пообщаться в чате с персоналом техподдержки Axis;

  • обратиться в службу поддержки Axis на странице axis.com/support.

Если вам потребуется техническая помощь, обращайтесь по соответствующим каналам, которые указаны в вашем лицензионном соглашении AVHS, чтобы получить ответ в кратчайший срок.

Если вам потребуется техническая помощь, обращайтесь в службу поддержки ADP, чтобы получить ответ в кратчайший срок.

Дополнительная информация

В учебном центре Axis по адресу axis.com/learning можно найти полезные курсы, вебинары, учебные материалы и руководства.