Очень часто у новичков возникает вопрос:
«Что нужно настроить на Cisco Catalyst с нуля?»
или встречается запрос в google:
«Скачать дефолтовый конфиг для Cisco Catalyst»
или
«catalyst 2960 2950 3560 ip адрес по умолчанию»
или
«как настроить cisco catalyst «
Попробую немного помочь этим людям 🙂
- Дефолтовых конфигов не бывает, т.к. у каждого своя сеть и свои «правила»
- Нету у Cisco IP-адреса по умолчанию (это же не Dlink), все настраивается ручками и сначала через консоль.
Итак, попробуем разобраться в том, что желательно настроить на нулевом Cisco Catalyst ?
Например, часто встречающиеся:
- Cisco Catalyst 2950
- Cisco Catalyst 2960
- Cisco Catalyst 3550
- Cisco Catalyst 3560
- Cisco Catalyst 3560G
Я использовал Cisco Catalyst 3560G
0. Подключаемся к cisco по консольному кабелю через com порт:
FreeBSD через com порт:
cu -l /dev/cuad0
FreeBSD через переходник USB->Com:
- kldload uplcom.ko
- kldstat | grep uplcom (убедиться что подгрузился)
- подключить переходник к USB порту
- cu -l /dev/cuaU0
в Windows можно использовать Hiper Terminal для подключения к com порту
1. Зададим пароль на enable режим
Switch> enable
Switch# configure terminal
Switch(config)# enable password my-secret-password
2. Установим пароль для входа по telnet
Switch(config)# line vty 0 15
Switch(config-line)#password my-telnet-password
3. Сразу разрешим вход по telnet
Switch(config-line)# login
Switch(config)# exit
4. Зашифруем пароли, чтобы по sh run они не показывались в открытом виде
Switch(config)# service password-encryption
5. Зададим имя девайсу, например будет c3560G
Switch(config)# hostname c3560G
6. повесим / присвоим IP-адрес нашему девайсу
c3560G(config)# interface vlan 1
c3560G(config-if)# ip address 192.168.1.2 255.255.255.0
c3560G(config-if)# exit
7. Если вы ошибетесь при наборе чего либо в консоле, то циска начнет пытаться это отрезолвить, чем заставляет вас ждать, выключим эту фичу
c3560G(config)# no ip domain-lookup
8. Зададим имя домена
c3560G(config)# ip domain-name my-domain.ru
9. Зададим IP-адрес DNS сервера
c3560G(config)# ip name-server 192.168.1.15
10. Зададим время
если у вас есть доступный NTP сервер
c3560G(config)# ntp server 192.168.1.1 version 2 source vlan 1
c3560G(config)# ntp clock-period 36029056
c3560G(config)# ntp max-associations 1
где 192.168.1.1 — это IP-адрес NTP сервера
а используя «добавку» source vlan вы можете четко задать номер vlan с IP которого будет отправляться NTP запрос
если нет NTP сервера, то можно задать время вручную, но для этого придется выйти из режима конфигурирования
c3560G(config)# exit
c3560G# clock set 20:00:50 23 Aug 2008
11. Зададим переход с зимнего на летнее время и наоборот
c3560G# configure terminal
c3560G(config)# clock timezone MSK 3
c3560G(config)# clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
12. Сделаем так, чтобы по команде show logging отображалось нормальное время, а не кол-во дней и т.п.
c3560G(config)# service timestamps log datetime localtime
13. Зададим дефолтовые настройки сразу всем портам на девайсе (у меня catalyst 24 порта + 4 SFP)
c3560G(config)# interface range gi 0/1 — 28
c3560G(config-if-range)# description not_used
c3560G(config-if-range)# shutdown
c3560G(config-if-range)# no cdp enable
c3560G(config-if-range)# switchport nonegotiate
c3560G(config-if-range)# switchport mode access
c3560G(config-if-range)# exit
Рекомендую: все неиспользуемые порты держать выключенными, а ещё лучше создать влан (например 999) и все выключенные порты переместить в него:
c3560G(config)# vlan 999
c3560G(config-vlan)# name unused_ports
c3560G(config-vlan)# shutdown
c3560G(config-vlan)# exit
c3560G(config)# interface range gi 0/1 — 28
c3560G(config-if-range)# description not_used
c3560G(config-if-range)# shutdown
c3560G(config-if-range)# no cdp enable
c3560G(config-if-range)# switchport nonegotiate
c3560G(config-if-range)# switchport access vlan 999
c3560G(config-if-range)# switchport mode access
c3560G(config-if-range)# exit
14. Выключим web-интерфейс, командная строка рулит 😉
c3560G(config)# no ip http server
15. Зададим gateway по умолчанию (допустим это будет 192.168.1.1, т.к. мы присвоили девайсу IP 192.168.1.2/255.255.255.0)
c3560G(config)# ip default-gateway 192.168.1.1
16. Если этот свич будет моддерживать маршрутизацию (будет router`ом), то включим функцию маршрутизации (если это позволяет сам девайс и его прошивка)
3560G прекрасно справляется с функцией маршрутизации
c3560G(config)# ip routing
c3560G(config)# ip classless
c3560G(config)# ip subnet-zero
17. Если вы выолнили пункт 16-ть, то снова необходимо задать gateway по умолчанию, но уже другой командой
c3560G(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1
18. Настроим access-list для доступа к свичу только с определенных IP-адресов
c3560G(config)# ip access-list standard TELNET
c3560G(config-std-nacl)# permit 192.168.1.1
c3560G(config-std-nacl)# permit 192.168.1.15
c3560G(config-std-nacl)# exit
19. Применим этот access-list
c3560G(config)# line vty 0 15
c3560G(config-line)# access-class TELNET in
20. Зададим timeout неактивности telnet сессии, по истечении указанного времени, если вы в консольке ничего не вводили, то telnet соединение будет автоматически закрываться
c3560G(config-line)# exec-timeout 5 0
c3560G(config-line)# exit
21. Включим SNMP, но только read only (RO) и доступность только с хоста 192.168.1.1
c3560G(config)# snmp-server community RO-MY-COMPANY-NAME RO
c3560G(config)# snmp-server trap-source Vlan1
c3560G(config)# snmp-server source-interface informs Vlan1
c3560G(config)# snmp-server location SWITCH-LOCATION
c3560G(config)# snmp-server contact my-email@my-domain.ru
c3560G(config)# snmp-server host 192.168.1.1 RO-MY-COMPANY-NAME
c3560G(config)# exit
22. Ну и наконец сохраним свои труды
c3560G# copy running-config startup-config
или можно проще и короче 🙂
c3560G# wri
Море документации по catalyst`ам, и не только по ним, вы можете найти, ессно, на сайте производителя: www.cisco.com
23. Если хочется включить на девайсе ssh, чтобы подключаться к cisco по ssh (если это позволяет установленный IOS), то выполним следущее:
а) Обязательно указываем имя домена (необходимо для генерации ключа) см. пункт 8.
б) cisco(config)# crypto key generate rsa
в) cisco(config)# line vty 0 15
г) cisco(config)# transport preferred none
д) cisco(config)# transport input ssh
е) cisco(config)#transport output ssh
Подробнее по настройке ssh: Configuring Secure Shell on Routers and Switches Running Cisco IOS
24. Устранение критической уязвимости в коммутаторах Cisco, которой подвержен Smart Install (работает по TCP порт 4786).
cisco(config)#no vstack
Затем убедиться что сиё зло отключилось, команда:
cisco#show vstack config
З.Ы. При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА !
Автор: Николаев Дмитрий (virus (at) subnets.ru)
Похожие статьи:
- Не найдено
fedro сказал:
поддерживает ли маршрутизацию Cisco Catalyst 2960-24TT-L?
19.11.2009, 22:58admin сказал:
fedro
20.11.2009, 01:03нет, не поддерживает
что поддерживает ваш каталист, а ещё точнее ваша прошивка (IOS) вы можете узнать например так:
на каталисте даем команду:
show version
там ищем и копируем название файла прошивки
далее идем в «фичанавигатор» 🙂 на cisco.com, заполняем требуемые поля формы и смотрим какие фичи поддерживает данная прошивка
«фичанавигатор» располагается тут — http://tools.cisco.com/
fedro сказал:
спасибо 🙁
и спасибо за статью, очень помогла, только полвечера подключался к ней, и настроил…. вот только когда дошел до ip routing понял, что ничего не получится.
СПАСИБО за статью!!! очень помогла.
20.11.2009, 01:55admin сказал:
пожалуйста, рад что статья помогла, значит точно не зря писал её
ну что значит «ничего не получится», смотря что задумывалось 🙂
20.11.2009, 10:032960 хороший, я бы сказал отличный свич второго уровня.
fedro сказал:
статья супер, особенно для новичка в цисках…
20.11.2009, 14:17просто человеческое огромное спасибо!
skaterstuff сказал:
Спасибо огромное за статью, помогла!очень! еще б знать, как старый конфиги и flashа доставать…Пробовал из-под enableа просто заменить config.text — ничего не изменилось, пробовал ренеймом в иосном режиме — вообще настройки обнулились…эх, кто будет химичить с настроенным коммутатором — делайте backup конфига на http://ftp…Я вот теперя жалею, что не сделал этого изначально:(
04.12.2009, 20:25admin сказал:
пжалста
04.12.2009, 20:34тока я не совсем понял о каких «старых» конфигах речь идет
конфига 2: running (текущий) и startup (стартовый)
webodmin сказал:
А не подскажет ли уважаемый автор, как на Catalyst 2960 настроить mvr (multicast vlan registration)? Чтобы отдавать multicast-трафик в клиенткие порты, которые находятся в режиме access, так, чтобы клиенту ничего не приходилось перестраивать со своей стороны.
17.11.2010, 11:54admin сказал:
данную фичу не пользовал, посему ничего конкретного не поскажу
а что http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_25_see/configuration/guide/swigmp.html#wp1035931 не помогает ?
какая версия IOS`а ?
судя по ману там не так сложно все
1. указать mvr влан
2. указать mcast группы для mvr
3. указать режим mvr
4. настроить порты как source так и receiver
обратить внимание на то, что receiver порт может быть только access портом
что у тя не получается то ?
покажи конфиг тогда что ли
З.Ы. Удобнее будет это разбирать на нашем форуме: http://subnets.ru/forum
17.11.2010, 13:15Sawok сказал:
Привет! А не подскажете, как копирнуть прошивку к се на винч через tftp???
30.11.2010, 16:19Я пытался, однако постоянно вылетает ошибка socket error. У меня стоит tftpd32, она вроде настроена, а вот в терминале постоянно эта ошибка вылетает
Switch#$c2960-lanbasek9-mz.122-44.SE6/c2960-lanbasek9-mz.122-44.SE6.bin tftp:
Address or name of remote host []? 192.168.25.32
Destination filename [c2960-lanbasek9-mz.122-44.SE6.bin]? c2960
%Error opening tftp://192.168.25.32/c2960 (Socket error)
Switch#
admin сказал:
«вроде настроена» это не ответ 🙂
судя по ошибке tftp сервер у тебя не работает или циска не знает как достучаться до 192.168.25.32, проверь видит ли она этот адрес
попробуй поднять FTP сервер и сохранить туда если с TFTP у тебя не выходит
и подобные вопросы лучше осуждать на форуме: http://subnets.ru/forum
01.12.2010, 08:58admin сказал:
Если вы забыли или не знаете пароль от девайса и хотите заюзать Password Recovery Procedure и для этого нужно попасть в ROMmon по нажатию на Break при буте девайса, но вам это никак не удается, то пробуем это:
Complete these steps to simulate a break key sequence:
Connect to the router with these terminal settings:
1200 baud rate
No parity
8 data bits
1 stop bit
No flow control
You no longer see any output on your screen, and this is normal.
22.04.2011, 11:13Power cycle (switch off and then on) the router and press the SPACEBAR for 10-15 seconds in order to generate a signal similar to the break sequence.
Disconnect your terminal, and reconnect with a 9600 baud rate. You enter the ROM Monitor mode.
TrEK сказал:
>4. настроить порты как source так и receiver
>обратить внимание на то, что receiver порт может быть только access портом
>что у тя не получается то ?
А если у меня порт TRUNK ? Что мне на нем прописывать вместо «mvr type receiver»?
02.03.2012, 14:28Если в этот порт включено оборудование к которому потом аксесс-доступом подключены юзеры.