ISP`s IT Аутсорсинг
Быстрый переход: Главная блога Главная сайта Форум
Если Вы чего то недопоняли или не нашли - задайте
вопрос на нашем форуме и мы попробуем Вам помочь.
Subnets.ru Регистрация IP и Автономных систем mega-net.ru

Очень часто у новичков возникает вопрос:

«Что нужно настроить на Cisco Catalyst с нуля?»

или встречается запрос в google:

«Скачать дефолтовый конфиг для Cisco Catalyst»

или

«catalyst 2960 2950 3560 ip адрес по умолчанию»

или

«как настроить cisco catalyst «

Попробую немного помочь этим людям 🙂

  1. Дефолтовых конфигов не бывает, т.к. у каждого своя сеть и свои «правила»
  2. Нету у Cisco IP-адреса по умолчанию (это же не Dlink), все настраивается ручками и сначала через консоль.

Итак, попробуем разобраться в том, что желательно настроить на нулевом Cisco Catalyst ?

Например, часто встречающиеся:

  • Cisco Catalyst 2950
  • Cisco Catalyst 2960
  • Cisco Catalyst 3550
  • Cisco Catalyst 3560
  • Cisco Catalyst 3560G

Я использовал Cisco Catalyst 3560G

0. Подключаемся к cisco по консольному кабелю через com порт:

FreeBSD через com порт:

cu -l /dev/cuad0

FreeBSD через переходник USB->Com:

  • kldload uplcom.ko
  • kldstat | grep uplcom (убедиться что подгрузился)
  • подключить переходник к USB порту
  • cu -l /dev/cuaU0

в Windows можно использовать Hiper Terminal для подключения к com порту

1. Зададим пароль на enable режим

Switch> enable

Switch# configure terminal

Switch(config)# enable password my-secret-password

2. Установим пароль для входа по telnet

Switch(config)# line vty 0 15

Switch(config-line)#password my-telnet-password

3. Сразу разрешим вход по telnet

Switch(config-line)# login

Switch(config)# exit

4. Зашифруем пароли, чтобы по sh run они не показывались в открытом виде

Switch(config)# service password-encryption

5. Зададим имя девайсу, например будет c3560G

Switch(config)# hostname c3560G

6. повесим / присвоим IP-адрес нашему девайсу

c3560G(config)# interface vlan 1

c3560G(config-if)# ip address 192.168.1.2 255.255.255.0

c3560G(config-if)# exit

7. Если вы ошибетесь при наборе чего либо в консоле, то циска начнет пытаться это отрезолвить, чем заставляет вас ждать, выключим эту фичу

c3560G(config)# no ip domain-lookup

8. Зададим имя домена

c3560G(config)# ip domain-name my-domain.ru

9. Зададим IP-адрес DNS сервера

c3560G(config)# ip name-server 192.168.1.15

10. Зададим время

если у вас есть доступный NTP сервер

c3560G(config)# ntp server 192.168.1.1 version 2 source vlan 1

c3560G(config)# ntp clock-period 36029056

c3560G(config)# ntp max-associations 1

где 192.168.1.1 — это IP-адрес NTP сервера

а используя «добавку» source vlan вы можете четко задать номер vlan с IP которого будет отправляться NTP запрос

если нет NTP сервера, то можно задать время вручную, но для этого придется выйти из режима конфигурирования

c3560G(config)# exit

c3560G# clock set 20:00:50 23 Aug 2008

11. Зададим переход с зимнего на летнее время и наоборот

c3560G# configure terminal

c3560G(config)# clock timezone MSK 3

c3560G(config)# clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00

12. Сделаем так, чтобы по команде show logging отображалось нормальное время, а не кол-во дней и т.п.

c3560G(config)# service timestamps log datetime localtime

13. Зададим дефолтовые настройки сразу всем портам на девайсе (у меня catalyst 24 порта + 4 SFP)

c3560G(config)# interface range gi 0/1 — 28

c3560G(config-if-range)# description not_used

c3560G(config-if-range)# shutdown

c3560G(config-if-range)# no cdp enable

c3560G(config-if-range)# switchport nonegotiate

c3560G(config-if-range)# switchport mode access

c3560G(config-if-range)# exit

Рекомендую: все неиспользуемые порты держать выключенными, а ещё лучше создать влан (например 999) и все выключенные порты переместить в него:

c3560G(config)# vlan 999

c3560G(config-vlan)# name unused_ports

c3560G(config-vlan)# shutdown

c3560G(config-vlan)# exit

c3560G(config)# interface range gi 0/1 — 28

c3560G(config-if-range)# description not_used

c3560G(config-if-range)# shutdown

c3560G(config-if-range)# no cdp enable

c3560G(config-if-range)# switchport nonegotiate

c3560G(config-if-range)# switchport access vlan 999

c3560G(config-if-range)# switchport mode access

c3560G(config-if-range)# exit

14. Выключим web-интерфейс, командная строка рулит 😉

c3560G(config)# no ip http server

15. Зададим gateway по умолчанию (допустим это будет 192.168.1.1, т.к. мы присвоили девайсу IP 192.168.1.2/255.255.255.0)

c3560G(config)# ip default-gateway 192.168.1.1

16. Если этот свич будет моддерживать маршрутизацию (будет router`ом), то включим функцию маршрутизации (если это позволяет сам девайс и его прошивка)

3560G прекрасно справляется с функцией маршрутизации

c3560G(config)# ip routing

c3560G(config)# ip classless

c3560G(config)# ip subnet-zero

17. Если вы выолнили пункт 16-ть, то снова необходимо задать gateway по умолчанию, но уже другой командой

c3560G(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1

18. Настроим access-list для доступа к свичу только с определенных IP-адресов

c3560G(config)# ip access-list standard TELNET

c3560G(config-std-nacl)# permit 192.168.1.1

c3560G(config-std-nacl)# permit 192.168.1.15

c3560G(config-std-nacl)# exit

19. Применим этот access-list

c3560G(config)# line vty 0 15

c3560G(config-line)# access-class TELNET in

20. Зададим timeout неактивности telnet сессии, по истечении указанного времени, если вы в консольке ничего не вводили, то telnet соединение будет автоматически закрываться

c3560G(config-line)# exec-timeout 5 0

c3560G(config-line)# exit

21. Включим SNMP, но только read only (RO) и доступность только с хоста 192.168.1.1

c3560G(config)# snmp-server community RO-MY-COMPANY-NAME RO

c3560G(config)# snmp-server trap-source Vlan1

c3560G(config)# snmp-server source-interface informs Vlan1

c3560G(config)# snmp-server location SWITCH-LOCATION

c3560G(config)# snmp-server contact my-email@my-domain.ru

c3560G(config)# snmp-server host 192.168.1.1 RO-MY-COMPANY-NAME

c3560G(config)# exit

22. Ну и наконец сохраним свои труды

c3560G# copy running-config startup-config

или можно проще и короче 🙂

c3560G# wri

Море документации по catalyst`ам, и не только по ним, вы можете найти, ессно, на сайте производителя: www.cisco.com

23. Если хочется включить на девайсе ssh, чтобы подключаться к cisco по ssh (если это позволяет установленный IOS), то выполним следущее:

а) Обязательно указываем имя домена (необходимо для генерации ключа) см. пункт 8.

б) cisco(config)# crypto key generate rsa

в) cisco(config)# line vty 0 15

г) cisco(config)# transport preferred none

д) cisco(config)# transport input ssh

е) cisco(config)#transport output ssh

Подробнее по настройке ssh: Configuring Secure Shell on Routers and Switches Running Cisco IOS

24. Устранение критической уязвимости в коммутаторах Cisco, которой подвержен Smart Install (работает по TCP порт 4786).
cisco(config)#no vstack
Затем убедиться что сиё зло отключилось, команда:
cisco#show vstack config

З.Ы. При копировании статьи ссылка на источник ОБЯЗАТЕЛЬНА !

Автор: Николаев Дмитрий (virus (at) subnets.ru)
Configuring Secure Shell on Routers and Switches Running Cisco IOS

Похожие статьи:

    Не найдено

Прочитано: 319 774 раз(а)
Ничего не понялТак себе...Не плохоДовольно интересноОтлично ! То что нужно ! (голосов: 18, среднее: 4,83 из 5)
Загрузка...
Отправить на почту Отправить на почту

комментариев 13

  1. fedro сказал:

    поддерживает ли маршрутизацию Cisco Catalyst 2960-24TT-L?

  2. admin сказал:

    fedro
    нет, не поддерживает
    что поддерживает ваш каталист, а ещё точнее ваша прошивка (IOS) вы можете узнать например так:
    на каталисте даем команду:
    show version
    там ищем и копируем название файла прошивки
    далее идем в «фичанавигатор» 🙂 на cisco.com, заполняем требуемые поля формы и смотрим какие фичи поддерживает данная прошивка
    «фичанавигатор» располагается тут — http://tools.cisco.com/

  3. fedro сказал:

    спасибо 🙁
    и спасибо за статью, очень помогла, только полвечера подключался к ней, и настроил…. вот только когда дошел до ip routing понял, что ничего не получится.

    СПАСИБО за статью!!! очень помогла.

  4. admin сказал:

    пожалуйста, рад что статья помогла, значит точно не зря писал её

    ну что значит «ничего не получится», смотря что задумывалось 🙂
    2960 хороший, я бы сказал отличный свич второго уровня.

  5. fedro сказал:

    статья супер, особенно для новичка в цисках…
    просто человеческое огромное спасибо!

  6. skaterstuff сказал:

    Спасибо огромное за статью, помогла!очень! еще б знать, как старый конфиги и flashа доставать…Пробовал из-под enableа просто заменить config.text — ничего не изменилось, пробовал ренеймом в иосном режиме — вообще настройки обнулились…эх, кто будет химичить с настроенным коммутатором — делайте backup конфига на http://ftp…Я вот теперя жалею, что не сделал этого изначально:(

  7. admin сказал:

    пжалста
    тока я не совсем понял о каких «старых» конфигах речь идет
    конфига 2: running (текущий) и startup (стартовый)

  8. webodmin сказал:

    А не подскажет ли уважаемый автор, как на Catalyst 2960 настроить mvr (multicast vlan registration)? Чтобы отдавать multicast-трафик в клиенткие порты, которые находятся в режиме access, так, чтобы клиенту ничего не приходилось перестраивать со своей стороны.

  9. admin сказал:

    данную фичу не пользовал, посему ничего конкретного не поскажу
    а что http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_25_see/configuration/guide/swigmp.html#wp1035931 не помогает ?

    какая версия IOS`а ?

    судя по ману там не так сложно все
    1. указать mvr влан
    2. указать mcast группы для mvr
    3. указать режим mvr
    4. настроить порты как source так и receiver
    обратить внимание на то, что receiver порт может быть только access портом

    что у тя не получается то ?
    покажи конфиг тогда что ли

    З.Ы. Удобнее будет это разбирать на нашем форуме: http://subnets.ru/forum

  10. Sawok сказал:

    Привет! А не подскажете, как копирнуть прошивку к се на винч через tftp???
    Я пытался, однако постоянно вылетает ошибка socket error. У меня стоит tftpd32, она вроде настроена, а вот в терминале постоянно эта ошибка вылетает
    Switch#$c2960-lanbasek9-mz.122-44.SE6/c2960-lanbasek9-mz.122-44.SE6.bin tftp:
    Address or name of remote host []? 192.168.25.32
    Destination filename [c2960-lanbasek9-mz.122-44.SE6.bin]? c2960
    %Error opening tftp://192.168.25.32/c2960 (Socket error)
    Switch#

  11. admin сказал:

    «вроде настроена» это не ответ 🙂
    судя по ошибке tftp сервер у тебя не работает или циска не знает как достучаться до 192.168.25.32, проверь видит ли она этот адрес
    попробуй поднять FTP сервер и сохранить туда если с TFTP у тебя не выходит

    и подобные вопросы лучше осуждать на форуме: http://subnets.ru/forum

  12. admin сказал:

    Если вы забыли или не знаете пароль от девайса и хотите заюзать Password Recovery Procedure и для этого нужно попасть в ROMmon по нажатию на Break при буте девайса, но вам это никак не удается, то пробуем это:
    Complete these steps to simulate a break key sequence:

    Connect to the router with these terminal settings:

    1200 baud rate
    No parity
    8 data bits
    1 stop bit
    No flow control

    You no longer see any output on your screen, and this is normal.
    Power cycle (switch off and then on) the router and press the SPACEBAR for 10-15 seconds in order to generate a signal similar to the break sequence.
    Disconnect your terminal, and reconnect with a 9600 baud rate. You enter the ROM Monitor mode.

  13. TrEK сказал:

    >4. настроить порты как source так и receiver
    >обратить внимание на то, что receiver порт может быть только access портом
    >что у тя не получается то ?

    А если у меня порт TRUNK ? Что мне на нем прописывать вместо «mvr type receiver»?
    Если в этот порт включено оборудование к которому потом аксесс-доступом подключены юзеры.

Добавить комментарий

Вам следует авторизоваться для размещения комментария.