Начальная конфигурация коммутатора Cisco
Начальная конфигурация коммутатора Cisco Catalist.
Содержание
1 Подготовка
- На Linux для конфигурации используется Minicom.
- Запускайте по пользователем
root
. - Для первоначальной конфигурации задайте ключ
-s
:minicom -s
- Выставите параметры Скорость/Четность/Биты (Bps/Par/Bits) = 9600 8N1.
- Укажите последовательный порт:
- последовательный порт:
/dev/ttyS[0-3]
; - порт USB:
/dev/ttyUSB0
.
- последовательный порт:
- Итоговая конфигурация:
A - Последовательный порт : /dev/ttyUSB0 B - Размещение lock-файла : /var/lock C - Программа при выходе : D - Программа при запуске : E - Скорость/Чётность/Биты : 9600 8N1 F - Аппаратное управление потоком : Да G - Программное управление потоком : Нет
- После изменений в меню выбрать “Сохранить настройки как dfl” или под своим именем.
2 Базовая конфигурация
2.1 Включение
- При первом включении, после долгой загрузки коммутатор выдает предложение запустить диалог стартовой конфигурации:
Would you like to enter the initial configuration dialog? [yes/no]:
- Следует отказаться и выполнить конфигурацию вручную, поэтому отвечаем
no
.
2.2 Переход в привилегированный режим
- Получаем приглашение
Switch>
. - Переходим в привилегированный режим командой
enable
. - Приглашение меняется на
#
:Switch>enable Switch#
2.3 Переход в режим конфигурации
- Перейдём в режим конфигурации коммутатора:
Switch#configure terminal
2.4 Шифрование паролей
- Установим шифрование паролей, хранящиеся в устройстве в открытом виде:
Switch(config)#service password-encryption
2.5 Административный доступ
Зададим пароль на enable:
Switch(config)#enable secret <пароль>
secret
: указывает на то, что пароль будет храниться в зашифрованном виде1.
После оператора
secret
можно задать представление пароля:0
: незашифрованный текстовый пароль; используется по умолчанию, поэтому не обязателен;4
: используется хеш SHA-256; считается устаревшим;5
: используется хеш MD5;8
: используется хеш SHA-256;9
: используется алгоритмscrypt
.
2.6 Настройка нового режима аутентификации
Настроим режим aaa (authentication, authorization, accounting):
Switch(config)#aaa new-model Switch(config)#aaa authentication login default local
Настроим подключение по консоли:
Switch(config)#line console 0 Switch(config-line)#login authentication default Switch(config-line)#no password Switch(config-line)#exit
- Консоль настроена на использование локальной базы данных имён пользователей и паролей.
no password
: удалить старую модель паролей.
2.7 Административный пользователь
Зададим пользователя admin и пароль для него:
Switch(config)#username admin privilege 1 secret <пароль>
privelege
: уровень привилегий для данного пользователя от 0 до 15 (15 самый высокий);secret
: пароль будет храниться в зашифрованном виде.
2.8 Удалённый доступ
Не во всех поставках IOS есть поддержка ssh. Поэтому приходится использовать telnet.
Настроим порядок аутентификации по telnet.
Настроим подключение по терминальным линиям.
Switch(config)#line vty 0 4 Switch(config-line)#login authentication default Switch(config-line)#transport input telnet Switch(config-line)#no password Switch(config-line)#exit Switch(config)#line vty 5 15 Switch(config-line)#login authentication default Switch(config-line)#transport input telnet Switch(config-line)#no password Switch(config-line)#exit
- Терминальные линии, включая telnet, настроены на использование одной и той же локальной базы данных имён пользователей и паролей.
no password
: удалить старую модель паролей.
2.9 Зададим имя устройства
- Имя устройства имеет вид: sw-<помещение>-<номер устройства>, например
sw-103-1
. - Зададим имя устройства:
Switch(config)#hostname sw-103-1 sw-103-1(config)#ip domain-name example.com
2.10 Настройка ssh
- Если устройство поддерживает ssh, то стоит его настроить.
- Создадим ключ (необходимо, чтобы было настроено имя домена):
sw-103-1(config)#crypto key generate rsa modulus 2048
- Задаёт версию протокола для ssh:
sw-103-1(config)#ip ssh version 2
- Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут:
sw-103-1(config)#ip ssh time-out 60
- Сбрасываем подключение после 3 неверных паролей:
sw-103-1(config)#ip ssh authentication-retries 3
- Задаём протокол для подключения:
sw-103-1(config)#line vty 0 4 sw-103-1(config-line)#transport input ssh
- Можно также оставить и telnet:
sw-103-1(config)#line vty 0 4 sw-103-1(config-line)#transport input all
2.11 Поднимем интерфейсы
- Сделаем последний порт транковым:
sw-103-1(config)#interface gigabitEthernet1/0/48 sw-103-1(config-if-range)#switchport mode trunk sw-103-1(config-if-range)#exit
2.12 Сетевые настройки
- Зададим адрес 192.168.0.1/24, шлюз 192.168.0.254:
sw-103-1(config)#interface vlan1 sw-103-1(config-if)#no shutdown sw-103-1(config-if)#ip address 192.168.0.1 255.255.255.0 sw-103-1(config-if)#exit sw-103-1(config)#ip default-gateway 192.168.0.254
- Настроим клиента DNS:
sw-103-1(config)#ip name-server 192.168.0.254
- Настроим NTP:
sw-103-1(config)#ntp server pool.ntp.org
- Проверим статус синхронизации:
sw-103-1#sh ntp status
2.13 Настройка vtp
- Настройте vtp:
sw-103-1(config)#vtp mode client
- Проверьте статус vtp:
sw-103-1#sh vtp status
2.14 Настройка lldp
- Если в сети присутствует не только оборудование Cisco, то есть смысл подключить поддержку протокола lldp:
sw-103-1(config)#lldp run
2.15 Безопасность
- Отключим сервер http:
sw-103-1(config)#no ip http server sw-103-1(config)#no ip http secure-server
2.16 Настройка других портов
- Настроим другие порты для подключения клиентских устройств:
sw-103-1(config)#interface range GigabitEthernet1/0/1 - 46 sw-103-1(config-if-range)#switchport mode access sw-103-1(config-if-range)#switchport access vlan 100 sw-103-1(config-if-range)#exit
2.17 Сохранение конфигурации
- Сохраните конфигурацию:
sw-103-1#write mem
3 Добавление в DNS
- Необходимо добавить коммутатор в DNS.
3.1 nsupdate
- nsupdate: динамический редактор зон DNS
- Добавьте адрес коммутатора в DNS:
echo -e "update add sw-103-1.example.com 86400 a 192.168.0.1\nshow\nsend" | nsupdate -v -k /etc/named/keys/example.com.key
4 Подключение к системе мониторинга
- Настройте доступ к SNMP.
- Пусть сервер мониторинга имеет адрес: 192.168.0.5.
- Имя коммьюнити для чтения: rocom.
sw-103-1(config)#access-list 90 permit 192.168.0.5 sw-103-1(config)#snmp-server community rocom RO 90
- Добавьте коммутатор в свой DNS.
4.1 Подключение к Observium
- Подключитесь к Observium.
- Добавьте коммутатор в список наблюдения в Observium:
[root@observium ~]# /opt/observium/add_device.php sw-103-1 rocom [root@observium ~]# /opt/observium/discovery.php -h sw-103-1; /opt/observium/poller.php -h sw-103-1
4.2 Подключение к Librenms
- Подключитесь к Librenms (см. Система мониторинга LibreNMS).
- Добавьте коммутатор в список наблюдения в Librenms:
sudo -u librenms /usr/local/bin/lnms device:add sw-103-1 -c rocom sudo -u librenms /usr/local/bin/lnms device:poll sw-103-1
- Если есть в базе данное устройство, но под другим именем, то можно его переименовать:
sudo -u librenms /usr/local/bin/lnms device:rename <old hostname> <new hostname>
Установка пароля может быть выполнена двумя командами
password
иsecret
. В первом случае пароль хранится в конфигурационном файле в открытом виде, а во втором в зашифрованном. Если использовалась командаpassword
, необходимо зашифровать пароли, хранящиеся в устройстве в открытом виде с помощью командыservice password-encryption
в режиме глобальной конфигурации. ↩︎