Базовая настройка коммутатора Cisco 1. Настройка параметров терминала. Для базовой настройки параметров терминала: Назначить имя устройства Code: (config)# hostname <string> Если необходимо, изменить строку приглашения Code: (config)# prompt %n@%h%p где: Code: %% - символ процента; %n - номер tty-порта; %h - имя хоста; %p - символ приглашения ( # или > ); %s - пробел; %t - табуляция; Создать баннеры: Code: (config)# banner motd # text # (config)# banner login # text # (config)# banner exec # text # (config)# banner incoming # text # Отключить поиск в системе DNS: Code: (config)# no ip domain-lookup Задать время сеанса (5 мин.): Code: (config)# line { console | vty | tty } <n> (config-line)# exec-timeout 5 0 Для вывода информации о местоположении устройства при входе пользователя в систему: Code: (config)# service linenumber (config)# line console 0 (config-line)# location <text> Чтобы сообщения консоли не мешали вводу команд: Code: (config)# line { console | vty | tty } <n> (config-line)# logging synchronous Задать скорость консольного порта: Code: (config)# line console 0 (config-line)# speed 115200 Определить длину истории команд: Code: (config)# line { console | vty | tty } <n> (config-line)# history size <0-256> Включить запись истории изменения конфигурации: Code: (config)# archive (config-archive)# log config (config-archive-log-cfg)# logging on (config-archive-log-cfg)# hidekeys Включить поддержку IPv6, перезагрузить роутер Code: (config)# sdm prefer dual-ipv4-and-ipv6 routing (config)# ^Z # wr # reload 2. Установка параметров входа в систему. 2.1 Локальная аутентификация Добавить локального пользователя: Code: (config)# service password-encryption (config)# username <str> privelege <0-15> secret <str> Включить поддержку ААА и настроить аутентификацию: Code: (config)# enable secret <str> (config)# aaa new-model (config)# (config)# aaa authentication login default local (config)# aaa authorization exec default local (config)# aaa authorization console (config)# (config)# line { console | vty | tty } <n> (config-line)# login exec default (config-line)# authorization exec default Добавить локального пользователя: Code: (config)# service password-encryption (config)# username <str> privelege <0-15> secret <str> Включить поддержку ААА и настроить аутентификацию: Code: (config)# enable secret <str> (config)# aaa new-model (config)# (config)# aaa authentication login default local (config)# aaa authorization exec default local (config)# aaa authorization console (config)# (config)# line { console | vty | tty } <n> (config-line)# login exec default (config-line)# authorization exec default 2.1 Аутентификация на RADIUS-сервере На RADIUS-сервере в файл users прописать(!!! до первого вхождения пользователя DEFAULT): Code: "username" Cleartext-Password := "passwd" Auth-Type == Local, Service-Type = NAS-Prompt-User, Cisco-AVPair = "Shell:priv-lvl=15" В файл clients.conf: Code: client <short-name>{ ipv6addr = xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx secret = secret123 shortname = short-name } На коммутаторе: Code: (config)# radius server RADSERV1 (config-radius-server)# address ipv6 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (config-radius-server)# key 0 secret123 (config-radius-server)# exit (config)# (config)# aaa group server radius RADGRP1 (config-sg-radius)# server name RADSERV1 (config-sg-radius)# deadtime 3 (config-sg-radius)# exit Включить поддержку ААА и настроить аутентификацию: Code: (config)# enable secret <str> (config)# username bkpusr privelege <0-15> secret bkppasswd (config)# aaa new-model (config)# (config)# aaa authentication login default group RADGRP1 local (config)# aaa authorization exec default group RADGRP1 local (config)# (config)# line { console | vty | tty } <n> (config-line)# login exec default (config-line)# authorization exec default 3. Настройка параметров журналирования. Включить ведение журнала: Code: (config)# logging on (config)# logging buffered (config)# logging trap <0-7> 0 - минимальное, 7- записывать все сообщения Добавлять системное время в сообщения: Code: (config)# service timestamps log datetime msec localtime show-timezone Сбор данных на syslog-сервер: Для начала необходимо добавить строку в /etc/syslogd.conf вида Facility.Severity file Code: local7.info /var/log/cisco3750e-b1s3 Затем настроить роутер: Code: (config)# logging facility local7 (config)# logging trap info (config)# logging <servername.com> Включить сервис нумерации сообщений и записи истории посещений: Code: (config)# service sequence-numbers (config)# login on failure log (config)# login on success log 4. Установка даты, времени, часового пояса, настройка NTP-клиента. Перевести внутренние часы: Code: R1# clock set 12:00:00 20 jun 2012 R1# conf Configuring from terminal, memory, or network [terminal]? (config)# clock timezone SAM 3 (config)# clock summer-time SAM recurring Включить NTP-клиент: Code: (config)# ntp server ipv6 ntp6a.rollernet.us (config)# ntp server ipv6 ntp6b.rollernet.us 5. Настройка сервисов: 5.1 SSH Установить имя хоста: Code: (config)# ip domain name <name.local> (config)# hostname <name> Сгенерировать секретный ключ (l > 768): Code: (config)# crypto generate rsa Настроить SSH-сервер: Code: (config)# ip ssh timeout <1-120> (config)# ip ssh authentication retries <0-5> (config)# ip ssh logging events (config)# ip ssh maxstartups <2-128> (config)# ip ssh source-interface <type><mod>/<sl> В настройках линии указать возможность приема соединений по SSH: Code: (config)# line vty 0 15 (config-line)# transport input ssh Включить сервис SCP: Code: (config)# ip scp server enable Идентификация по открытому ключу: Code: (config)# ip ssh pubkey-chain (conf-ssh-pubkey)# username <str> (conf-ssh-pubkey-user)# key-string (conf-ssh-pubkey-data)# $de12w1sqwsa8 (conf-ssh-pubkey-data)# $sdadq3eqwsaczxzXX (conf-ssh-pubkey-data)# $asdad23adaxxa== [email protected] (conf-ssh-pubkey-data)# exit (conf-ssh-pubkey-user)#
5.2 CDP (LLDP) Сервис CDP включен на коммутаторе по-умолчанию. Для выключения: Code: (config)# no cdp run На отдельном интерфейсе: Code: (config-if)# no cdp enable Время между посылками CDP-пакетов: Code: (config)# cdp timer <sec> Время, которое принятая от соседа информация считается действительной: Code: (config)# cdp holdtime <sec> Если в сети находятся устройства иных производителей, то имеется возможность использовать протокол LLDP: Code: (config)# lldp run На отдельном интерфейсе: Code: (config-if)# lldp transmit (config-if)# lldp receive 5.3 SNMPv3 Создать SNMP-tree view для чтения и записи: Code: (config)# snmp-server view READVIEW1 <MIB-view-family> { included | excluded } (config)# snmp-server view WRITEVIEW1 <MIB-view-family> { included | excluded } где MIB-view-family может быть: mib2, system, internet, iso и т.д. Создать access-list: Code: (config)# ipv6 access-list SNMP-ACL1 (config-ipv6-acl)# permit xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx (config-ipv6-acl)# exit Создать SNMP-группу: Code: (config)# snmp-server group <grname> v3 auth read READVIEW1 write WRITEVIEW1 access ipv6 SNMP-ACL1 Создать пользователей SNMP-сервера: Code: (config)# snmp-server user <uname> <grname> v3 auth md5 <authpasswd> access ipv6 SNMP-ACL1 5.4 VTPv3 Основные отличия от 1 и 2 версии: Поддержка Privat-VLAN; Поддержка полного диапазона VLAN ( 1 - 4096 ); Возможность настройки на уровне отдельного порта; Защита пароля домена; Решена проблема с подключением нового коммутатора (когда происходила перезапись базы VLAN всего домена); Обмен данными более эффективен; Работа в режиме передачи данных между процессами MST. Настройка VTPv3: Code: (config)# vtp domain <name> (config)# vtp version 3 (config)# vtp mode { server | client } (config)# vtp password <passwd> { hidden | secret } Если switch работает в режиме server, необходимо его тип - BACKUP(по-умолчанию) или PRIMAR: Code: Switch# vtp primary vlan This system is becoming primary server for feature vlan No conflicting VTP3 devices found. Do you want to continue? [confirm] Обновления принимаются только от PRIMARY-сервера. В домене только один primary, остальные backup, client либо transparent. При подключении в сеть 2-ого primary, он автоматически становится backup. Выключить VTP на интерфейсе можно командой: Code: (config-if)# no vtp 6. Повышение уровня безопасности устройства. Выключить ненужные сервисы: Code: (config)# no service tcp-small-servers (config)# no service udp-small-servers (config)# no service dhcp (config)# no service finger (config)# no service config (config)# no ip bootp server (config)# no ip http server (config)# no ip http secure-server (config)# no ip source route (config)# no ip gratitous-arps (config)# ip options drop Включить нужные: Code: (config)# service tcp-keepalives-in (config)# service tcp-keepalives-out Настроить access-class на VTY: Code: (config)# ipv6 access-list ADMIN-NETW (config-ipv6-acl)# permit xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/yyy (config-ipv6-acl)# exit (config)# (config)# line vty 0 15 (config-line)# ipv6 access-class ADMIN-NETW (config-line)# exit MANAGEMENT и COMMON VLAN: Code: (config)# int vlan 1 (config-if)# shutdown (config-if)# exit (config)# (config)# vlan 254 (config-vlan)# name MANAGEMENT (config-vlan)# state active (config-vlan)# exit (config)# (config)# int vlan 254 (config-if)# ipv6 enable (config-if)# ipv6 address 2001:DB8:5005:FE::/64 eui-64 (config-if)# ipv6 traffic-filter ADMIN-NETW (config-if)# no shutdown (config-if)# exit (config)# (config)# vlan 255 (config-vlan)# name COMMON (config-vlan)# state active (config-vlan)# exit (config)# (config)#int range g1/0/1 - 48 (config-if-range)# switchport host (config-if-range)# switchport access vlan 255 (config-if-range)# ^Z Switch# wr 7. Создание меню быстрого вызова команд. Задать заголовок: Code: (config)# menu <name> title # Текст # (config)# menu <name> clear-screen (config)# menu <name> line-mode Ввести приглашение: Code: (config)# menu <name> prompt # Текст # Для каждого пункта меню: Code: (config)# menu <name> text <pt-num> <Текст> (config)# menu <name> command <pt-num> <command> Завершить пунктом выхода из меню: Code: (config)# menu <name> text <last-pt-num> Menu exit Вызов меню из режима exec: Code: Switch# menu <name> 24.07.2012 , Автор: KoD http://www.opennet.ru/tips/2701_cisco_switch_catalyst_setup.shtml
