Начальная конфигурация коммутатора Cisco

Начальная конфигурация коммутатора Cisco Catalist.

Содержание

1 Подготовка

  • На Linux для конфигурации используется Minicom.
  • Запускайте по пользователем root.
  • Для первоначальной конфигурации задайте ключ -s:
    minicom -s
    
  • Выставите параметры Скорость/Четность/Биты (Bps/Par/Bits) = 9600 8N1.
  • Укажите последовательный порт:
    • последовательный порт: /dev/ttyS[0-3];
    • порт USB: /dev/ttyUSB0.
  • Итоговая конфигурация:
    A - Последовательный порт          : /dev/ttyUSB0
    B - Размещение lock-файла          : /var/lock
    C - Программа при выходе           :
    D - Программа при запуске          :
    E - Скорость/Чётность/Биты         : 9600 8N1
    F - Аппаратное управление потоком  : Да
    G - Программное управление потоком : Нет
    
  • После изменений в меню выбрать “Сохранить настройки как dfl” или под своим именем.

2 Базовая конфигурация

2.1 Включение

  • При первом включении, после долгой загрузки коммутатор выдает предложение запустить диалог стартовой конфигурации:
    Would you like to enter the initial configuration dialog? [yes/no]:
    
  • Следует отказаться и выполнить конфигурацию вручную, поэтому отвечаем no.

2.2 Переход в привилегированный режим

  • Получаем приглашение Switch>.
  • Переходим в привилегированный режим командой enable.
  • Приглашение меняется на #:
    Switch>enable
    Switch#
    

2.3 Переход в режим конфигурации

  • Перейдём в режим конфигурации коммутатора:
    Switch#configure terminal
    

2.4 Шифрование паролей

  • Установим шифрование паролей, хранящиеся в устройстве в открытом виде:
    Switch(config)#service password-encryption
    

2.5 Административный доступ

  • Зададим пароль на enable:

    Switch(config)#enable secret <пароль>
    
    • secret : указывает на то, что пароль будет храниться в зашифрованном виде1.
  • После оператора secret можно задать представление пароля:

    • 0 : незашифрованный текстовый пароль; используется по умолчанию, поэтому не обязателен;
    • 4 : используется хеш SHA-256; считается устаревшим;
    • 5 : используется хеш MD5;
    • 8 : используется хеш SHA-256;
    • 9 : используется алгоритм scrypt.

2.6 Настройка нового режима аутентификации

  • Настроим режим aaa (authentication, authorization, accounting):

    Switch(config)#aaa new-model
    Switch(config)#aaa authentication login default local
    
  • Настроим подключение по консоли:

    Switch(config)#line console 0
    Switch(config-line)#login authentication default
    Switch(config-line)#no password
    Switch(config-line)#exit
    
    • Консоль настроена на использование локальной базы данных имён пользователей и паролей.
    • no password : удалить старую модель паролей.

2.7 Административный пользователь

  • Зададим пользователя admin и пароль для него:

    Switch(config)#username admin privilege 1 secret <пароль>
    
    • privelege : уровень привилегий для данного пользователя от 0 до 15 (15 самый высокий);
    • secret : пароль будет храниться в зашифрованном виде.

2.8 Удалённый доступ

  • Не во всех поставках IOS есть поддержка ssh. Поэтому приходится использовать telnet.

  • Настроим порядок аутентификации по telnet.

  • Настроим подключение по терминальным линиям.

    Switch(config)#line vty 0 4
    Switch(config-line)#login authentication default
    Switch(config-line)#transport input telnet
    Switch(config-line)#no password
    Switch(config-line)#exit
    Switch(config)#line vty 5 15
    Switch(config-line)#login authentication default
    Switch(config-line)#transport input telnet
    Switch(config-line)#no password
    Switch(config-line)#exit
    
    • Терминальные линии, включая telnet, настроены на использование одной и той же локальной базы данных имён пользователей и паролей.
    • no password : удалить старую модель паролей.

2.9 Зададим имя устройства

  • Имя устройства имеет вид: sw-<помещение>-<номер устройства>, например sw-103-1.
  • Зададим имя устройства:
    Switch(config)#hostname sw-103-1
    sw-103-1(config)#ip domain-name example.com
    

2.10 Настройка ssh

  • Если устройство поддерживает ssh, то стоит его настроить.
  • Создадим ключ (необходимо, чтобы было настроено имя домена):
    sw-103-1(config)#crypto key generate rsa modulus 2048
    
  • Задаёт версию протокола для ssh:
    sw-103-1(config)#ip ssh version 2
    
  • Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут:
    sw-103-1(config)#ip ssh time-out 60
    
  • Сбрасываем подключение после 3 неверных паролей:
    sw-103-1(config)#ip ssh authentication-retries 3
    
  • Задаём протокол для подключения:
    sw-103-1(config)#line vty 0 4
    sw-103-1(config-line)#transport input ssh
    
  • Можно также оставить и telnet:
    sw-103-1(config)#line vty 0 4
    sw-103-1(config-line)#transport input all
    

2.11 Поднимем интерфейсы

  • Сделаем последний порт транковым:
    sw-103-1(config)#interface gigabitEthernet1/0/48
    sw-103-1(config-if-range)#switchport mode trunk
    sw-103-1(config-if-range)#exit
    

2.12 Сетевые настройки

  • Зададим адрес 192.168.0.1/24, шлюз 192.168.0.254:
    sw-103-1(config)#interface vlan1
    sw-103-1(config-if)#no shutdown
    sw-103-1(config-if)#ip address 192.168.0.1 255.255.255.0
    sw-103-1(config-if)#exit
    sw-103-1(config)#ip default-gateway 192.168.0.254
    
  • Настроим клиента DNS:
    sw-103-1(config)#ip name-server 192.168.0.254
    
  • Настроим NTP:
    sw-103-1(config)#ntp server pool.ntp.org
    
  • Проверим статус синхронизации:
    sw-103-1#sh ntp status
    

2.13 Настройка vtp

  • Настройте vtp:
    sw-103-1(config)#vtp mode client
    
  • Проверьте статус vtp:
    sw-103-1#sh vtp status
    

2.14 Настройка lldp

  • Если в сети присутствует не только оборудование Cisco, то есть смысл подключить поддержку протокола lldp:
    sw-103-1(config)#lldp run
    

2.15 Безопасность

  • Отключим сервер http:
    sw-103-1(config)#no ip http server
    sw-103-1(config)#no ip http secure-server
    

2.16 Настройка других портов

  • Настроим другие порты для подключения клиентских устройств:
    sw-103-1(config)#interface range GigabitEthernet1/0/1 - 46
    sw-103-1(config-if-range)#switchport mode access
    sw-103-1(config-if-range)#switchport access vlan 100
    sw-103-1(config-if-range)#exit
    

2.17 Сохранение конфигурации

  • Сохраните конфигурацию:
    sw-103-1#write mem
    

3 Добавление в DNS

  • Необходимо добавить коммутатор в DNS.

3.1 nsupdate

4 Подключение к системе мониторинга

  • Настройте доступ к SNMP.
  • Пусть сервер мониторинга имеет адрес: 192.168.0.5.
  • Имя коммьюнити для чтения: rocom.
    sw-103-1(config)#access-list 90 permit 192.168.0.5
    sw-103-1(config)#snmp-server community rocom RO 90
    
  • Добавьте коммутатор в свой DNS.

4.1 Подключение к Observium

  • Подключитесь к Observium.
  • Добавьте коммутатор в список наблюдения в Observium:
    [root@observium ~]# /opt/observium/add_device.php sw-103-1 rocom
    [root@observium ~]# /opt/observium/discovery.php -h sw-103-1; /opt/observium/poller.php -h sw-103-1
    

4.2 Подключение к Librenms

  • Подключитесь к Librenms (см. Система мониторинга LibreNMS).
  • Добавьте коммутатор в список наблюдения в Librenms:
    sudo -u librenms /usr/local/bin/lnms device:add sw-103-1 -c rocom
    sudo -u librenms /usr/local/bin/lnms device:poll sw-103-1
    
  • Если есть в базе данное устройство, но под другим именем, то можно его переименовать:
    sudo -u librenms /usr/local/bin/lnms device:rename <old hostname> <new hostname>
    

  1. Установка пароля может быть выполнена двумя командами password и secret. В первом случае пароль хранится в конфигурационном файле в открытом виде, а во втором в зашифрованном. Если использовалась команда password, необходимо зашифровать пароли, хранящиеся в устройстве в открытом виде с помощью команды service password-encryption в режиме глобальной конфигурации. ↩︎


Дмитрий Сергеевич Кулябов
Дмитрий Сергеевич Кулябов
Профессор кафедры теории вероятностей и кибербезопасности

Мои научные интересы включают физику, администрирование Unix и сетей.

Похожие