Начальная конфигурация коммутатора Cisco

Обновлено 2024-10-26 5 мин. для прочтения Computer-Science

Начальная конфигурация коммутатора Cisco Catalist.

Содержание

1 Подготовка

  • На Linux для конфигурации используется Minicom.
  • Запускайте по пользователем root.
  • Для первоначальной конфигурации задайте ключ -s:
    1minicom -s
  • Выставите параметры Скорость/Четность/Биты (Bps/Par/Bits) = 9600 8N1.
  • Укажите последовательный порт:
    • последовательный порт: /dev/ttyS[0-3];
    • порт USB: /dev/ttyUSB0.
  • Итоговая конфигурация:
    1A - Последовательный порт          : /dev/ttyUSB0
2B - Размещение lock-файла          : /var/lock
3C - Программа при выходе           :
4D - Программа при запуске          :
5E - Скорость/Чётность/Биты         : 9600 8N1
6F - Аппаратное управление потоком  : Да
7G - Программное управление потоком : Нет
  • После изменений в меню выбрать “Сохранить настройки как dfl” или под своим именем.

2 Базовая конфигурация

2.1 Включение

  • При первом включении, после долгой загрузки коммутатор выдает предложение запустить диалог стартовой конфигурации:
    1Would you like to enter the initial configuration dialog? [yes/no]:
  • Следует отказаться и выполнить конфигурацию вручную, поэтому отвечаем no.

2.2 Переход в привилегированный режим

  • Получаем приглашение Switch>.
  • Переходим в привилегированный режим командой enable.
  • Приглашение меняется на #:
    1Switch>enable
2Switch#

2.3 Переход в режим конфигурации

  • Перейдём в режим конфигурации коммутатора:
    1Switch#configure terminal

2.4 Шифрование паролей

  • Установим шифрование паролей, хранящиеся в устройстве в открытом виде:
    1Switch(config)#service password-encryption

2.5 Административный доступ

  • Зададим пароль на enable:

    1Switch(config)#enable secret <пароль>
    • secret : указывает на то, что пароль будет храниться в зашифрованном виде1.

  • После оператора secret можно задать представление пароля:

    • 0 : незашифрованный текстовый пароль; используется по умолчанию, поэтому не обязателен;
    • 4 : используется хеш SHA-256; считается устаревшим;
    • 5 : используется хеш MD5;
    • 8 : используется хеш SHA-256;
    • 9 : используется алгоритм scrypt.

2.6 Настройка нового режима аутентификации

  • Настроим режим aaa (authentication, authorization, accounting):

    1Switch(config)#aaa new-model
2Switch(config)#aaa authentication login default local

  • Настроим подключение по консоли:

    1Switch(config)#line console 0
2Switch(config-line)#login authentication default
3Switch(config-line)#no password
4Switch(config-line)#exit
    • Консоль настроена на использование локальной базы данных имён пользователей и паролей.
    • no password : удалить старую модель паролей.

2.7 Административный пользователь

  • Зададим пользователя admin и пароль для него:

    1Switch(config)#username admin privilege 1 secret <пароль>
    • privelege : уровень привилегий для данного пользователя от 0 до 15 (15 самый высокий);
    • secret : пароль будет храниться в зашифрованном виде.

2.8 Удалённый доступ

  • Не во всех поставках IOS есть поддержка ssh. Поэтому приходится использовать telnet.

  • Настроим порядок аутентификации по telnet.

  • Настроим подключение по терминальным линиям.

     1Switch(config)#line vty 0 4
 2Switch(config-line)#login authentication default
 3Switch(config-line)#transport input telnet
 4Switch(config-line)#no password
 5Switch(config-line)#exit
 6Switch(config)#line vty 5 15
 7Switch(config-line)#login authentication default
 8Switch(config-line)#transport input telnet
 9Switch(config-line)#no password
10Switch(config-line)#exit
    • Терминальные линии, включая telnet, настроены на использование одной и той же локальной базы данных имён пользователей и паролей.
    • no password : удалить старую модель паролей.

2.9 Зададим имя устройства

  • Имя устройства имеет вид: sw-<помещение>-<номер устройства>, например sw-103-1.
  • Зададим имя устройства:
    1Switch(config)#hostname sw-103-1
2sw-103-1(config)#ip domain-name example.com

2.10 Настройка ssh

  • Если устройство поддерживает ssh, то стоит его настроить.
  • Создадим ключ (необходимо, чтобы было настроено имя домена):
    1sw-103-1(config)#crypto key generate rsa modulus 2048
  • Задаёт версию протокола для ssh:
    1sw-103-1(config)#ip ssh version 2
  • Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут:
    1sw-103-1(config)#ip ssh time-out 60
  • Сбрасываем подключение после 3 неверных паролей:
    1sw-103-1(config)#ip ssh authentication-retries 3
  • Задаём протокол для подключения:
    1sw-103-1(config)#line vty 0 4
2sw-103-1(config-line)#transport input ssh
  • Можно также оставить и telnet:
    1sw-103-1(config)#line vty 0 4
2sw-103-1(config-line)#transport input all

2.11 Поднимем интерфейсы

  • Сделаем последний порт транковым:
    1sw-103-1(config)#interface gigabitEthernet1/0/48
2sw-103-1(config-if-range)#switchport mode trunk
3sw-103-1(config-if-range)#exit

2.12 Сетевые настройки

  • Зададим адрес 192.168.0.1/24, шлюз 192.168.0.254:
    1sw-103-1(config)#interface vlan1
2sw-103-1(config-if)#no shutdown
3sw-103-1(config-if)#ip address 192.168.0.1 255.255.255.0
4sw-103-1(config-if)#exit
5sw-103-1(config)#ip default-gateway 192.168.0.254
  • Настроим клиента DNS:
    1sw-103-1(config)#ip name-server 192.168.0.254
  • Настроим NTP:
    1sw-103-1(config)#ntp server pool.ntp.org
  • Проверим статус синхронизации:
    1sw-103-1#sh ntp status

2.13 Настройка vtp

  • Настройте vtp:
    1sw-103-1(config)#vtp mode client
  • Проверьте статус vtp:
    1sw-103-1#sh vtp status

2.14 Настройка lldp

  • Если в сети присутствует не только оборудование Cisco, то есть смысл подключить поддержку протокола lldp:
    1sw-103-1(config)#lldp run

2.15 Безопасность

  • Отключим сервер http:
    1sw-103-1(config)#no ip http server
2sw-103-1(config)#no ip http secure-server

2.16 Настройка других портов

  • Настроим другие порты для подключения клиентских устройств:
    1sw-103-1(config)#interface range GigabitEthernet1/0/1 - 46
2sw-103-1(config-if-range)#switchport mode access
3sw-103-1(config-if-range)#switchport access vlan 100
4sw-103-1(config-if-range)#exit

2.17 Сохранение конфигурации

  • Сохраните конфигурацию:
    1sw-103-1#write mem

3 Добавление в DNS

  • Необходимо добавить коммутатор в DNS.

3.1 nsupdate

4 Подключение к системе мониторинга

  • Настройте доступ к SNMP.
  • Пусть сервер мониторинга имеет адрес: 192.168.0.5.
  • Имя коммьюнити для чтения: rocom.
    1sw-103-1(config)#access-list 90 permit 192.168.0.5
2sw-103-1(config)#snmp-server community rocom RO 90
  • Добавьте коммутатор в свой DNS.

4.1 Подключение к Observium

  • Подключитесь к Observium.
  • Добавьте коммутатор в список наблюдения в Observium:
    1[root@observium ~]# /opt/observium/add_device.php sw-103-1 rocom
2[root@observium ~]# /opt/observium/discovery.php -h sw-103-1; /opt/observium/poller.php -h sw-103-1

4.2 Подключение к Librenms

  • Подключитесь к Librenms (см. Система мониторинга LibreNMS).
  • Добавьте коммутатор в список наблюдения в Librenms:
    1sudo -u librenms /usr/local/bin/lnms device:add sw-103-1 -c rocom
2sudo -u librenms /usr/local/bin/lnms device:poll sw-103-1
  • Если есть в базе данное устройство, но под другим именем, то можно его переименовать:
    1sudo -u librenms /usr/local/bin/lnms device:rename <old hostname> <new hostname>

  1. Установка пароля может быть выполнена двумя командами password и secret. В первом случае пароль хранится в конфигурационном файле в открытом виде, а во втором в зашифрованном. Если использовалась команда password, необходимо зашифровать пароли, хранящиеся в устройстве в открытом виде с помощью команды service password-encryption в режиме глобальной конфигурации. ↩︎

Links to this note

Cisco Network Sysadmin
Дмитрий Сергеевич Кулябов
Дмитрий Сергеевич Кулябов
Профессор кафедры теории вероятностей и кибербезопасности

Мои научные интересы включают физику, администрирование Unix и сетей.

Похожие