networking

Базовая конфигурация коммутатора Extreme Networks EXOS X440G2

Evgeny Shmelev

Evgeny Shmelev

7 min read

В этой инструкции разбираются базовые шаги по первичной настройке коммутаторов Extreme Networks на ExtremeXOS: подключение по консоли, сброс конфигурации, базовая IP‑настройка, время и NTP, защита доступа по SSH и подготовка к работе в стеке.

Рассматривается пример на моделях серии X440‑G2 (AGL3‑SW1 и AGL3‑SW2), но команды актуальны и для большинства ExtremeXOS‑коммутаторов.

Подключение к консольному порту

Для начальной настройки ExtremeXOS‑коммутатора используем консольное подключение к терминалу или ПК с терминальным эмулятором (например, PuTTY, TeraTerm).

Рекомендуемые параметры подключения:

  • Скорость (baud rate): 9600 (или 115200 для RJ45‑mgmt портов X690/X870)
  • Data bits: 8
  • Stop bits: 1
  • Parity: None
  • Flow control: XON/XOFF

Если используется отдельный Ethernet‑порт управления (Mgmt) на старших моделях, уточните актуальную скорость в документации или на шильдике устройства.

Сброс конфигурации к заводским настройкам

Если коммутатор уже использовался, перед внедрением лучше сбросить конфигурацию до заводской.

Вход в bootrom и сброс конфигурации

  1. Подключите консоль.

  2. Выключите и снова включите питание коммутатора.

  3. Во время загрузки постоянно нажимайте пробел, чтобы войти в bootrom (boot loader).

  4. В приглашении BootRom> выполните:

    config none
boot

Примечание: на старых версиях bootrom команда config none может быть недоступна; в таком случае обновите bootrom до актуальной версии.

После загрузки ExtremeXOS коммутатор должен стартовать с заводской конфигурацией. По умолчанию:

  • Пользователь: admin
  • Пароль: пустой (просто нажмите Enter)

Альтернативный способ сброса из рабочей системы:

unconfigure switch all

Эта команда сбрасывает все настройки, включая учетные записи.

Первичный вход и создание учетных записей

После загрузки в ExtremeXOS войдите под учетной записью администратора:

login: admin
password: <Enter>

Рекомендуется сразу задать пароль для admin и при необходимости завести дополнительного пользователя с ограниченными правами.[6]

Примеры:

configure account admin password
configure account user password

Далее следуйте подсказкам CLI для ввода и подтверждения пароля.

В некоторых случаях при аварийном доступе используется «failsafe» пользователь (например, enter failsafe user name: j.lisck) — это служебный режим восстановления и в нормальной эксплуатации не используется.

Настройка SNMP и системной информации

Для корректного мониторинга по SNMP (Zabbix, LibreNMS и др.) задайте имя устройства, местоположение и контакта администратора:

configure snmp sysName "X440G2[AGL3-SW1]"
configure snmp sysLocation "Server room A-1"
configure snmp sysContact "admin@manuala.ru"

Аналогично для второго коммутатора (AGL3‑SW2):

configure snmp sysName "X440G2[AGL3-SW2]"
configure snmp sysLocation "Server room A-1"
configure snmp sysContact "admin@manuala.ru"

Если вы планируете использовать SNMPv3, при первом запуске ExtremeXOS предложит создать безопасного пользователя (username/password + шифрование).

Настройка времени и NTP (SNTP‑клиент)

Корректное время критично для логов, SNMP, syslog и сертификатов. Настроим SNTP‑клиент и временную зону:

configure sntp-client primary 0.ru.pool.ntp.org
configure sntp-client secondary 1.ru.pool.ntp.org
configure sntp-client secondary 2.ru.pool.ntp.org
configure sntp-client secondary 3.ru.pool.ntp.org
configure sntp-client update-interval 520
configure timezone +180
show sntp-client
  • timezone +180 — пример для GMT+3 (Москва).
  • update-interval задаёт период опроса NTP‑серверов в минутах.

Базовая IP‑настройка VLAN для управления

У ExtremeXOS есть отдельный management‑порт (VLAN Mgmt), но на практике часто управляют через обычный data‑порт в VLAN Default или отдельном management‑VLAN.

Вариант 1. Управление через VLAN Mgmt

configure vlan Mgmt ipaddress 192.168.88.2 255.255.255.0
enable ipforwarding
enable web http

Здесь IP‑адрес на VLAN Mgmt используется только для управления, трафик пользователей через него не ходит.

Вариант 2. Управление через VLAN Default (пример AGL3‑SW1)

configure vlan Default ipaddress 192.168.88.102/24
configure bootprelay add 192.168.88.1 vr VR-Default
enable bootprelay ipv4 vlan Default
configure vlan Default add ports 1-12 untagged
enable ipforwarding vlan "Default"

Ключевые моменты:

  • Адрес VLAN Default находится в том же сегменте, что и ваш управляемый хост.
  • Все нужные порты добавлены untagged в VLAN Default.
  • Включен ipforwarding на VLAN, через который вы будете управлять коммутатором; иначе IP‑доступа не будет.

Вариант 3. Пример для другой адресации

configure vlan Mgmt ipaddress 192.168.1.1 255.255.255.0
configure vlan Default ipaddress 10.101.15.240 255.255.0.0
configure iproute add default 10.101.0.1
configure vlan "Default" add ports all untagged
enable ipforwarding vlan "Default"

Здесь VLAN Default используется как основной пользовательский и одновременно как канал управления, а VLAN Mgmt — резервный management‑интерфейс.

Включение SSH2 и ограничение доступа по ACL

Для безопасного управления лучше сразу отключить Telnet и включить SSH2, ограничив доступ по списку доверенных подсетей.

Генерация ключей и включение SSH2

configure ssh2 key
enable ssh2
enable ssh2 vr all

Создание ACL‑policy для SSH (файл ssh.pol)

Создайте файл политики:

vi ssh.pol

Содержимое:

Entry AllowTheseSubnets {
    if match any {
        source-address 192.168.88.0/24;
        source-address 10.10.0.0/24;
    }
    then {
        permit;
    }
}

Сохраните и выйдите (Esc, затем :wq).

Примените профиль к SSH2:

enable ssh2 access-profile ssh.pol port 22 vr all

Проверьте политику:

show access-list ssh

Дополнительные опции SSH

  • Включить SSH только на VR‑Mgmt:

    enable ssh2 vr VR-Mgmt

  • Изменить порт SSH:

    enable ssh2 port 2222

  • Привязать другой ACL‑профиль:

    enable ssh2 access-profile policy_name.pol

Подробности и ограничения по ACL см. в официальной документации configure ssh2 access-profile и enable ssh2 access-profile.

Безопасность: базовые практики

  • Отключите HTTP (оставьте только HTTPS):

    disable web http
enable web https

  • Настройте syslog для удалённого сервера:

    configure log target add 192.168.88.100 port 514 protocol udp
enable log target

  • SNMPv3 (при первом запуске следуйте промпту CLI для создания пользователя с аутентификацией/шифрованием).

Настройка DHCP relay (BootP relay)

Если DHCP‑сервер находится в другой сети, включите BootP/DHCP Relay на нужном VLAN.

configure bootprelay add 192.168.88.1 vr VR-Default
enable bootprelay ipv4 vlan Default

Здесь 192.168.88.1 — IP‑адрес DHCP‑сервера (или маршрутизатора, который выполняет его роль).

Включение Jumbo‑кадров

Для некоторых сценариев (iSCSI, storage, бэкапы) могут потребоваться jumbo‑кадры.

enable jumbo-frame ports all

При включении jumbo‑кадров убедитесь, что вся цепочка (серверы, другие коммутаторы) поддерживает MTU 9000 и настроена соответствующим образом.

Настройка stacking и LACP (пример)

Если планируется объединение коммутаторов в стек (stacking) и использование агрегации каналов (LACP), предварительно включите поддержку stacking и перезагрузите устройство:

enable stacking-support
reboot
enable stacking

Примеры настройки LACP‑агрегаций:

configure sharing 1 lacp system-priority 1
enable sharing 1:1 grouping 1:1-5,2:1-5 algorithm address-based custom lacp
enable sharing 1:11 grouping 1:11,2:11 algorithm address-based custom lacp
enable sharing 1:13 grouping 1:13,2:13 algorithm address-based lacp

Пример с модулем X670V‑48x в слоте 8:

configure slot 8 module X670V-48x
enable sharing 8:1 grouping 8:1,1:1-5,2:1-5 algorithm address-based custom lacp
configure sharing 8:1 add ports 1:48,2:48
enable ports 1:48,2:48
disable ports 1:1,2:1
configure sharing 8:1 delete ports 1:1,2:1

Подписываем порты для удобства:

configure ports 1:8 display-string NUC_homeassistant
configure ports 2:9 display-string AP1_MeC
configure ports 1:8 display-string cam1
show ports description

Включение HTTPS и SSL‑сертификата для web‑GUI

При необходимости можно использовать встроенный web‑интерфейс по HTTPS.

configure ssl certificate privkeylen 2048 country RU organization manuala.ru common-name agl3-sw1.example.ru
enable web https
show configuration detail thttpd
show ssl

Обратите внимание, что для production лучше загрузить корректный сертификат (например, от внутреннего CA), а не использовать self‑signed.

Обновление прошивки ExtremeXOS

Рекомендуется привести версию EXOS к единой в стеке и обновить до поддерживаемой версии (проверьте актуальные релизы на сайте Extreme Networks).

Пример загрузки образа по TFTP/SCP (на неактивный слот):

download image 192.168.1.1 summitX-21.1.4.4-patch1-3.xos vr "VR-Default" inactive

Во время загрузки CLI спросит:

Do you want to install image after downloading? (y/n)

Ответьте y — образ установится автоматически в неактивный partition (primary/secondary).

После успешной загрузки:

  1. Проверьте текущие образы (primary/secondary и какой активен):
show switch

Вывод покажет, какой partition используется сейчас и какой выбран для следующей загрузки.

  1. Сохраните текущую конфигурацию (обязательно перед перезагрузкой, иначе настройки потеряются):
save configuration primary
  • primary — сохраняет в основной слот (по умолчанию).
  • secondary — во вторичный.
  • CLI спросит подтверждение: Yes для сохранения.
    Вывод: Saving configuration... done! Configuration saved to primary.cfg successfully.
  1. Выберите образ для следующей загрузки (если нужно переключить partition):
use image partition primary

(или secondary, в зависимости от того, куда загрузили новый образ).
Вывод: To take effect of partition change please reboot the switch!

  1. Перезагрузите коммутатор:
reboot

Подтвердите y. Коммутатор загрузится с новым образом и сохранённой конфигурацией.

Проверка после перезагрузки:

show switch
show version

Обновление ExtremeXOS через USB (flash)

Этот способ удобен, когда нет доступа к TFTP/SCP/SFTP-серверу: образ EXOS кладётся на USB‑накопитель и устанавливается напрямую с коммутатора.

Подготовка USB‑накопителя

  • Отформатируйте USB в FAT/FAT32.
  • Поместите файл образа EXOS (*.xos) в корень флешки.
  • Вставьте USB‑накопитель в USB‑порт коммутатора.
  • Если USB не определяется — чаще всего причина в файловой системе (не FAT/FAT32) или «капризной» флешке; попробуйте другой носитель.

Примечание по платформам: USB‑порт на некоторых моделях (в т.ч. X440‑G2 и X620) «активен» только начиная с определённых версий EXOS (часто упоминается рубеж 22.2).

EXOS 30.7 и старее (старые команды)

Проверить наличие USB:

show memorycard

Посмотреть содержимое USB (обычно монтируется в /usr/local/ext):

ls /usr/local/ext

Скачать/установить образ:

download image memorycard <image>.xos

EXOS 31.1 и новее (актуальный способ)

Начиная с новых версий, терминология и команды меняются: show memorycard заменяется на show switch mounts, а работа с файлами идёт через путь /usr/local/ext.

Проверить монтирование USB:

show switch mounts

Посмотреть содержимое:

ls /usr/local/ext

Установить образ из локального файла (file URL):

download url file:///usr/local/ext/<image>.xos

Подсказка: команда download image умеет сразу после скачивания выполнить install/reboot через опции install и reboot (зависит от версии), но самый понятный и безопасный путь — установить и перезагрузиться явно.

Перезагрузка для применения обновления

После установки образа перезагрузите коммутатор:

reboot

Полезные USB-команды (файлы и безопасное извлечение)

Безопасно извлечь USB:

  • EXOS 30.7 и старее:
eject memorycard
  • EXOS 31.1 и новее:
eject usb

Команды отличаются из‑за изменений в CLI (депрекейт memorycard).

Копирование файлов:

  • С USB на коммутатор (в текущую директорию):
cp /usr/local/ext/<file> .
  • С коммутатора на USB:
cp <local_file> /usr/local/ext/

Удаление файла:

rm <file>

Включить/выключить USB‑порт (зависит от платформы):

enable switch usb
disable switch usb
show switch usb

Диагностика и проверка настроек

После настройки выполните эти команды для верификации:

Что проверяем Команда Что показывает
IP VLAN show vlan Все VLAN с IP и портами
NTP статус show sntp-client Синхронизация времени
SSH статус show ssh2 Активные сессии и политики
Stacking show stacking Статус стека
Порты show ports configuration MTU, статус, description
Конфигурация show configuration Полная текущая конфигурация
Версия EXOS show version Активный образ и bootrom

Что дальше?

После базовой настройки настройте:

  • L2/L3: STP (RSTP/MSTP), OSPF, BGP.
  • Безопасность: ACL, Port Security, RADIUS/TACACS+.
  • Мониторинг: NetFlow/sFlow, ERSPAN.
  • Stacking: configure stacking master-capability, failover.

Ссылки на наши статьи: STP на ExtremeXOS, ACL Extreme.

Read more

Подключение к удалённому серверу по SSH из Windows (CMD, PowerShell, WSL, PuTTY)

Гайд по SSH-клиентам в Windows: используем встроенную команду `ssh` в PowerShell/CMD (Windows 10/11), полноценный Linux-терминал через WSL или классический PuTTY. Примеры команд для подключения, отправки скриптов и использования sudo без tty.

By Evgeny Shmelev

Включение/отключение Windows ПК через Home Assistant (Wake-on-LAN + RPC Shutdown)

Создаём единый переключатель в Home Assistant для управления Windows-компьютером. Включение через стандартный Wake-on-LAN, выключение через аддон RPC Shutdown. Инструкция по правке реестра Windows для удалённого выключения.

By Evgeny Shmelev