Esta parte cierra esta pequeña saga donde recibí unos switches bloqueados por operador y los convertí en switches totalmente funcionales. En esta última parte les muestro cómo lo hice.
Para recapitular un poco, en la primera parte mostré cómo descubrí que los switches venían bloqueados, y en la segunda parte instalé un puerto de consola para administrar el switch desde una terminal. En esta última parte cierro con lo que hay que hacer para que el switch vuelva a ser lo más cercano a un switch de fábrica.
Lo que faltaba por hacer
Habiendo tenido ya acceso a la consola, lo único que falta es configurar el switch para que quede con funcionalidad básica y administrabilidad. Esto se consigue modificando la información de las VLAN, actualizando el fimware y luego modificar la configuración para que quede funcionando como un switch de capa 2, que es como viene de fábrica. Lo que viene en adelante es un paso a paso de lo que realicé para lograr un switch configurado a la perfección.
Advertencia: Este procedimiento fue el que yo realicé en mi caso particular, por tanto no puedo asegurar que funcione en todos los casos. No me hago responsable si usted y/o su switch resulta dañado por seguir este procedimiento.
Paso a paso
Para este paso a paso, voy a partir desde la instalación del cable consola, ya sea en forma provisoria como se vio en la primera parte, o en forma definitiva como se vio en la segunda forma. De más está decir que este paso involucra microsoldadura, por tanto se requiere que alguien con suficiente destreza usando un cautín de punta delgada y que idealmente disponga de un microscopio para verificar bien dónde poner los puntos. Cualquier error en este procedimiento y el switch puede dejar de funcionar para siempre, como a mí ya me pasó con uno.
Parte 1: Habilitando el acceso web
Asumiendo que el switch esta devuelto a su configuración original (presionando el botón de reset al frente del switch por entre 5 y 8 segundos), al entrar por una sesión de consola a 38400 bps la terminal debería arrojarnos la siguiente línea una vez presionemos cualquier tecla, después de unos dos o tres minutos de encendido:
T1500G-8T>Con esto sabremos que tenemos acceso al equipo. Si no, es probable que estén invertidos Tx y Rx en el adaptador USB.
En el caso del switch de GTD, la configuración por defecto se resume en lo siguiente:
- Existe una VLAN 10 configurada como «Management» y una VLAN 3850 configurada como «IPTV_Service».
- Existe un servidor NTP interno configurado, en UTC -4 y sin DST.
- La VLAN de administración está en la VLAN 10.
- La VLAN 10 obtiene IP por DHCP.
- La clave de la cuenta de usuario ‘admin’ es
(por ahora) desconocida. ¡Aquí está! - Está configurada la comunidad SNMP «9df8322k67».
- Los ocho puertos tienen la VLAN 10 configurada en modo tagged.
- El puerto 1 tiene la VLAN 3850 configurada en modo tagged.
- Los puertos 5 al 8 tienen la VLAN 3850 como PVID y por tanto, configurada en modo untagged.
- La VLAN nativa está sin configurar en los puertos 1 al 4, y configurada como forbidden en los puertos 5 al 8.
En la configuración actual, el switch podría ser capaz de funcionar como switch normal en los puertos 5 al 8 dado la presencia del PVID, donde se habilita la compatibilidad con hosts que no funcionan con VLAN. De todas formas, no se puede entrar a la administración web ni usar funcionalidades de capa 3 del switch en esta configuración.
Para lograr esto, se requiere un poco de comandería adicional. Con estos pasos lo que haremos, en orden, es lo siguiente:
- Colocarle una IP estática a la VLAN 10
- Cambiar la contraseña de la cuenta de admin a ‘admin’
- Crear una nueva cuenta ‘admin2’ con la contraseña ‘adminadmin’
- Guardar la configuración
En el switch sería algo más o menos así:
T1500G-8T>enable
T1500G-8T#config
T1500G-8T(config)#interface vlan 10
T1500G-8T(config-if)#ip address 192.168.10.1 255.255.255.0
T1500G-8T(config-if)#exit
T1500G-8T(config)#user name admin privilege admin secret admin
T1500G-8T(config)#user name admin2 privilege admin secret adminadmin
T1500G-8T(config)#exit
T1500G-8T#copy running-config startup-configLuego de eso, usando una máquina Linux o un Mac (Windows no, porque tienen pésima gestión de VLAN) conectada a cualquier puerto entre el 1 y el 4, es cosa de asignarle otra IP del mismo segmento, pero en la VLAN 10. En Ubuntu sería algo así. Hay que tener instalado el paquete vlan para que funcione:
$ sudo modprobe 8021q
$ sudo ip link add link eno1 name eno1.10 type vlan id 10
$ sudo ip addr add 192.168.10.100/24 dev eno.10
$ sudo ip link set up eno1.10Con esto, al hacer ping a la dirección del switch 192.168.10.1 ya deberíamos tener conectividad. Si es así, es cosa de ingresar a la interfaz web:
Parte 2: Actualizando el firmware
Una vez habiendo resuelto el acceso, deberíamos tener acceso ya a la pantalla principal del switch donde se nos indica que el switch viene con configuraciones de GTD:
Teniendo esto la mejor opción es actualizar el firmware, no sin antes verificar que figuren las cuentas ‘admin’ y ‘admin2’ en el apartado de usuarios:
Habiendo chequeado esto, es hora de actualizar el firmware. Revisando la internet, mastersyte en Capa9 recomienda no poner el último firmware disponible, con lo que yo estoy de acuerdo. El penúltimo firmware disponible es el 2.0.5 del 09 de enero de 2020, disponible aquí en la web oficial y acá como copia local de respaldo.
Es importante chequear la opción «After upgrading, the device reboot automatically with the backup image» para que el equipo se reinicie con el nuevo firmware. El equipo tiene dos posiciones de memoria para el firmware y actualiza solo una de ellas, importante para mantener un respaldo en caso de fallas.
Si todo sale bien, luego de una pequeña pausa debíeramos ver progreso en la interfaz web y si es que aún tenemos la consola conectada, esta se va a llenar de símbolos de numeral (#) para indicar el progreso. Una vez finalice, el switch debería reiniciarse y arrancar con el nuevo firmware:
En este apartado ya es posible hacer la configuración final para que quede de fábrica, consistente en:
- Habilitar la VLAN 1
- Establecer la VLAN 1 como la interfaz de administración
- Propagar la VLAN 1 en todos los puertos
- Habilitar el relay DHCP e indicar que la VLAN 1 toma IP vía DHCP
- Eliminar la comunidad SNMP y las demás VLAN
En comandería, sería algo así:
T1500G-8T>ena
T1500G-8T#conf
T1500G-8T(config)#ip management-vlan 1
T1500G-8T(config)#no interface vlan 10
T1500G-8T(config)#no interface vlan 3850
T1500G-8T(config)#service dhcp relay
T1500G-8T(config)#interface vlan 1
T1500G-8T(config-if)#ip address-alloc dhcp
T1500G-8T(config-if)#exit
//Repetir esta parte de la configuración en las ocho puertas
T1500G-8T(config)#interface gi 1/0/1
T1500G-8T(config-if)#no switchport general allowed vlan 10,3850
T1500G-8T(config-if)#switchport general allowed vlan 1 untagged
T1500G-8T(config-if)#exit
T1500G-8T(config)#no snmp-server community "9df8322k67"
T1500G-8T(config)#no system-time ntpPara este caso y para no tirar la misma comandería tantas veces, saqué el archivo de configuración una vez limpio para cargarlo en mis demás switches. Acá está por si alguien lo quiere.
Conclusiones
Fue duro. Uno siempre quiere que las cosas que funcionen a la primera y no tener que trastear tanto para obtener un producto funcional. Pero aún así, el alma hacker lo agradece bastante, sobre todo cuando involucra dotar a una máquina de funcionalidades adicionales que la máquina originalmente no trae, como es el caso del puerto de consola.
Hay más modificaciones que se le pueden hacer al switch, la más destacable de ellas una que permite desbloquear más opciones del menú de preinicio, el cual no abarqué en la saga para ver si sale un apéndice, sin considerar que cualquiera que haya llegado hasta aquí con intenciones de modificar su switch debería saber lidiar con dicho menú. Tal vez si en el futuro empleo estos switches en el ambiente productivo en mi red le de una vuelta, pero por el momento es algo que se me hace un tanto innecesario…. ¿o no?
Para los que solo vinieron a leer, mis más sinceros agradecimientos.