Очень часто у новичков возникает вопрос:
«Что нужно настроить на Cisco Catalyst с нуля?»
«Скачать дефолтовый конфиг для Cisco Catalyst»
«catalyst 2960 2950 3560 ip адрес по умолчанию»
«как настроить cisco catalyst «
Попробую немного помочь этим людям 🙂
- Дефолтовых конфигов не бывает, т.к. у каждого своя сеть и свои «правила»
- Нету у Cisco IP-адреса по умолчанию (это же не Dlink), все настраивается ручками и сначала через консоль.
Итак, попробуем разобраться в том, что желательно настроить на нулевом Cisco Catalyst ?
Например, часто встречающиеся:
- Cisco Catalyst 2950
- Cisco Catalyst 2960
- Cisco Catalyst 3550
- Cisco Catalyst 3560
- Cisco Catalyst 3560G
Я использовал Cisco Catalyst 3560G
0. Подключаемся к cisco по консольному кабелю через com порт:
FreeBSD через com порт:
cu -l /dev/cuad0
FreeBSD через переходник USB->Com:
- kldload uplcom.ko
- kldstat | grep uplcom (убедиться что подгрузился)
- подключить переходник к USB порту
- cu -l /dev/cuaU0
в Windows можно использовать Hiper Terminal для подключения к com порту
1. Зададим пароль на enable режим
Switch> enable
Switch# configure terminal
Switch(config)# enable password my-secret-password
2. Установим пароль для входа по telnet
Switch(config)# line vty 0 15
Switch(config-line)#password my-telnet-password
3. Сразу разрешим вход по telnet
Switch(config-line)# login
Switch(config)# exit
4. Зашифруем пароли, чтобы по sh run они не показывались в открытом виде
Switch(config)# service password-encryption
5. Зададим имя девайсу, например будет c3560G
Switch(config)# hostname c3560G
6. повесим / присвоим IP-адрес нашему девайсу
c3560G(config)# interface vlan 1
c3560G(config-if)# ip address 192.168.1.2 255.255.255.0
c3560G(config-if)# exit
7. Если вы ошибетесь при наборе чего либо в консоле, то циска начнет пытаться это отрезолвить, чем заставляет вас ждать, выключим эту фичу
c3560G(config)# no ip domain-lookup
8. Зададим имя домена
c3560G(config)# ip domain-name my-domain.ru
9. Зададим IP-адрес DNS сервера
c3560G(config)# ip name-server 192.168.1.15
10. Зададим время
если у вас есть доступный NTP сервер
c3560G(config)# ntp server 192.168.1.1 version 2 source vlan 1
c3560G(config)# ntp clock-period 36029056
c3560G(config)# ntp max-associations 1
где 192.168.1.1 — это IP-адрес NTP сервера
а используя «добавку» source vlan вы можете четко задать номер vlan с IP которого будет отправляться NTP запрос
если нет NTP сервера, то можно задать время вручную, но для этого придется выйти из режима конфигурирования
c3560G(config)# exit
11. Зададим переход с зимнего на летнее время и наоборот
c3560G# configure terminal
c3560G(config)# clock timezone MSK 3
c3560G(config)# clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
12. Сделаем так, чтобы по команде show logging отображалось нормальное время, а не кол-во дней и т.п.
c3560G(config)# service timestamps log datetime localtime
13. Зададим дефолтовые настройки сразу всем портам на девайсе (у меня catalyst 24 порта + 4 SFP)
C3560G(config)# vlan 999
C3560G(config-vlan)# name unused_ports
C3560G(config-vlan)# shutdown
C3560G(config-vlan)# exit
C3560G(config)# interface range gi 0/1 — 28
C3560G(config-if-range)# description not_used
C3560G(config-if-range)# shutdown
C3560G(config-if-range)# no cdp enable
C3560G(config-if-range)# switchport nonegotiate
C3560G(config-if-range)# switchport access vlan 999
C3560G(config-if-range)# switchport mode access
C3560G(config-if-range)# exit
14. Выключим web-интерфейс, командная строка рулит 😉
C3560G(config)# no ip http server
15. Зададим gateway по умолчанию (допустим это будет 192.168.1.1, т.к. мы присвоили девайсу IP 192.168.1.2/255.255.255.0)
C3560G(config)# ip default-gateway 192.168.1.1
16. Если этот свич будет моддерживать маршрутизацию (будет router`ом), то включим функцию маршрутизации (если это позволяет сам девайс и его прошивка)
3560G прекрасно справляется с функцией маршрутизации
C3560G(config)# ip routing
C3560G(config)# ip classless
C3560G(config)# ip subnet-zero
17. Если вы выолнили пункт 16-ть, то снова необходимо задать gateway по умолчанию, но уже другой командой
C3560G(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1
18. Настроим access-list для доступа к свичу только с определенных IP-адресов
C3560G(config)# ip access-list standard TELNET
C3560G(config-std-nacl)# permit 192.168.1.1
C3560G(config-std-nacl)# permit 192.168.1.15
C3560G(config-std-nacl)# exit
19. Применим этот access-list
C3560G(config)# line vty 0 15
C3560G(config-line)# access-class TELNET in
20. Зададим timeout неактивности telnet сессии, по истечении указанного времени, если вы в консольке ничего не вводили, то telnet соединение будет автоматически закрываться
C3560G(config-line)# exec-timeout 5 0
C3560G(config-line)# exit
21. Включим SNMP, но только read only (RO) и доступность только с хоста 192.168.1.1
C3560G(config)# snmp-server community RO-MY-COMPANY-NAME RO
C3560G(config)# snmp-server trap-source Vlan1
C3560G(config)# snmp-server source-interface informs Vlan1
C3560G(config)# snmp-server location SWITCH-LOCATION
C3560G(config)# snmp-server contact [email protected]
C3560G(config)# snmp-server host 192.168.1.1 RO-MY-COMPANY-NAME
C3560G(config)# exit
22. Ну и наконец сохраним свои труды
C3560G# copy running-config startup-config
или можно проще и короче 🙂
C3560G# wri
Море документации по catalyst`ам, и не только по ним, вы можете найти, ессно, на сайте производителя: www.cisco.com
23. Если хочется включить на девайсе ssh, чтобы подключаться к cisco по ssh (если это позволяет установленный IOS), то выполним следущее:
а) Обязательно указываем имя домена (необходимо для генерации ключа) см. пункт 8.
б) cisco(config)# crypto key generate rsa
в) cisco(config)# line vty 0 15
г) cisco(config)# transport preferred none
д) cisco(config)# transport input ssh
е) cisco(config)#transport output ssh
24. Устранение критической уязвимости в коммутаторах Cisco , которой подвержен Smart Install (работает по TCP порт 4786).
cisco(config)#no vstack
Затем убедиться что сиё зло отключилось, команда:
cisco#show vstack config
Как говорят в народе: Дела идут, контора пишет.
Постепенно и у нас начались движения по приведению сети компании к нормальному виду. Постепенно все филиалы будут завязаны в единую локальную сеть, будут установлены нормальные коммутаторы, в нашем случае это Cisco Catalyst 2950.
Соответственно сегодня о первоначальной настройке данной железки:
в Windows можно использовать Hiper Terminal для подключения к com порту
1. Зададим пароль на enable режим
Switch> enable
Switch# configure terminal
Switch(config)# enable password my-secret-password
2. Установим пароль для входа по telnet
Switch(config)# line vty 0 15
Switch(config-line)#password my-telnet-password
3. Сразу разрешим вход по telnet
Switch(config-line)# login
Switch(config)# exit
4. Зашифруем пароли, чтобы по sh run они не показывались в открытом виде
Switch(config)# service password-encryption
5. Зададим имя девайсу, например c2950
Switch(config)# hostname c2950
6. присвоим IP-адрес нашему девайсу (в некоторых управляемых коммутаторах, ip уже присутствует по умолчанию, какой он? Обычно прописано в мануале).
c2950(config)# interface vlan 1
c2950(config-if)# ip address 192.168.1.2 255.255.255.0
c2950(config-if)# exit
7. Если вы ошибетесь при наборе чего либо в консоле, то циска начнет пытаться это отрезолвить, чем заставляет вас ждать, выключим эту фичу
c2950(config)# no ip domain-lookup
8. Зададим имя домена
c2950(config)# ip domain-name my-domain.ru
9. Зададим IP-адрес DNS сервера
c2950(config)# ip name-server 192.168.1.15
10. Зададим время
если у вас есть доступный NTP сервер (в моем случае это контроллер домена, но в последствии планируем сделать отдельный NTP сервер).
c2950(config)# ntp server 192.168.10.1 version 2 source vlan 1
c2950(config)# ntp clock-period 36029056
c2950(config)# ntp max-associations 1
где 192.168.10.1 - это IP-адрес NTP сервера
а используя «добавку» source vlan вы можете четко задать номер vlan с IP которого будет отправляться NTP запрос
если нет NTP сервера, то можно задать время вручную, но для этого придется выйти из режима конфигурирования
c2950(config)# exit
11. Зададим переход с зимнего на летнее время и наоборот
c2950# configure terminal
c2950(config)# clock timezone MSK 3
c2950(config)# clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
12. Сделаем так, чтобы по команде show logging отображалось нормальное время, а не кол-во дней и т.п.
c2950(config)# service timestamps log datetime localtime
13. Зададим дефолтовые настройки сразу всем портам на девайсе (у меня catalyst 24 порта + 4 SFP)
c2950(config)# vlan 10
c2950(config-vlan)# name unused_ports
c2950(config-vlan)# shutdown
c2950(config-vlan)# exit
c2950(config)# interface range gi 0/1 - 28
c2950(config-if-range)# description not_used
c2950(config-if-range)# shutdown
c2950(config-if-range)# no cdp enable
c2950(config-if-range)# switchport nonegotiate
c2950(config-if-range)# switchport access vlan 10
c2950(config-if-range)# switchport mode access
c2950(config-if-range)# exit
14. Выключим web-интерфейс, командная строка это конечно не плохо, так скажет любой уважающий себя цисковод, но иногда нет времени сидеть и вспоминать команды командной строки, просто бывает нужно быстро зайти включить порт или еще что нибудь поправить, по любому эта функция не помешает).
c2950(config)# no ip http server
15. Зададим gateway по умолчанию (допустим это будет 192.168.1.1, т.к. мы присвоили девайсу IP 192.168.1.2/255.255.255.0)
c2950(config)# ip default-gateway 192.168.1.1
16. Если этот свич будет поддерживать маршрутизацию (будет router`ом), то включим функцию маршрутизации (если это позволяет сам девайс и его прошивка)
c2950(config)# ip routing
c2950(config)# ip classless
c2950(config)# ip subnet-zero
17. Если вы выполнили пункт 16-ть, то снова необходимо задать gateway по умолчанию, но уже другой командой
c2950(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1
18. Настроим access-list для доступа к свичу только с определенных IP-адресов
c2950(config)# ip access-list standard TELNET
c2950(config-std-nacl)# permit 192.168.1.1
c2950(config-std-nacl)# permit 192.168.1.15
c2950(config-std-nacl)# exit
19. Применим этот access-list
c2950(config)# line vty 0 15
c2950(config-line)# access-class TELNET in
20. Зададим timeout неактивности telnet сессии, по истечении указанного времени, если вы в консольке ничего не вводили, то telnet соединение будет автоматически закрываться (вообще telnet это не самый лучший вариант, конечно более безопасен SSH, но об этом чуть позже).
c2950(config-line)# exec-timeout 5 0
c2950(config-line)# exit
21. Включим SNMP, но только read only (RO) и доступность только с хоста 192.168.1.1
c2950(config)# snmp-server community RO-MY-COMPANY-NAME RO
c2950(config)# snmp-server trap-source Vlan1
c2950(config)# snmp-server source-interface informs Vlan1
c2950(config)# snmp-server location SWITCH-LOCATION
c2950(config)# snmp-server contact [email protected]
c2950(config)# snmp-server host 192.168.1.1 RO-MY-COMPANY-NAME
c2950# copy running-config startup-config
или вот так
Подробнее инфу можно найти здесь: www.cisco.com
23. Если необходимо включить на девайсе ssh, чтобы подключаться к cisco по ssh (если это позволяет установленный IOS), то выполним следующее.
Очень часто у новичков возникает вопрос:
«Что нужно настроить на Cisco Catalyst с нуля?»
«Скачать дефолтовый конфиг для Cisco Catalyst»
«catalyst 2960 2950 3560 ip адрес по умолчанию»
«как настроить cisco catalyst «
Попробую немного помочь этим людям
- Дефолтовых конфигов не бывает, т.к. у каждого своя сеть и свои «правила»
- Нету у Cisco IP-адреса по умолчанию (это же не Dlink), все настраивается ручками и сначала через консоль.
Итак, попробуем разобраться в том, что желательно настроить на нулевом Cisco Catalyst ?
Например, часто встречающиеся:
- Cisco Catalyst 2950
- Cisco Catalyst 2960
- Cisco Catalyst 3550
- Cisco Catalyst 3560
- Cisco Catalyst 3560G
Я использовал Cisco Catalyst 3560G
0. Подключаемся к cisco по консольному кабелю через com порт:
FreeBSD через com порт:
cu -l /dev/cuad0
FreeBSD через переходник USB->Com:
- kldload uplcom.ko
- kldstat | grep uplcom (убедиться что подгрузился)
- подключить переходник к USB порту
- cu -l /dev/cuaU0
в Windows можно использовать Hiper Terminal для подключения к com порту
1. Зададим пароль на enable режим
Switch> enable
Switch# configure terminal
Switch(config)# enable password my-secret-password
2. Установим пароль для входа по telnet
Switch(config)# line vty 0 15
Switch(config-line)#password my-telnet-password
3. Сразу разрешим вход по telnet
Switch(config-line)# login
Switch(config)# exit
4. Зашифруем пароли, чтобы по sh run они не показывались в открытом виде
Switch(config)# service password-encryption
5. Зададим имя девайсу, например будет c3560G
Switch(config)# hostname c3560G
6. повесим / присвоим IP-адрес нашему девайсу
c3560G(config)# interface vlan 1
c3560G(config-if)# ip address 192.168.1.2 255.255.255.0
c3560G(config-if)# exit
7. Если вы ошибетесь при наборе чего либо в консоле, то циска начнет пытаться это отрезолвить, чем заставляет вас ждать, выключим эту фичу
c3560G(config)# no ip domain-lookup
8. Зададим имя домена
c3560G(config)# ip domain-name my-domain.ru
9. Зададим IP-адрес DNS сервера
c3560G(config)# ip name-server 192.168.1.15
10. Зададим время
если у вас есть доступный NTP сервер
c3560G(config)# ntp server 192.168.1.1 version 2 source vlan 1
c3560G(config)# ntp clock-period 36029056
c3560G(config)# ntp max-associations 1
где 192.168.1.1 - это IP-адрес NTP сервера
а используя «добавку» source vlan вы можете четко задать номер vlan с IP которого будет отправляться NTP запрос
если нет NTP сервера, то можно задать время вручную, но для этого придется выйти из режима конфигурирования
c3560G(config)# exit
c3560G# clock set 20:00:50 23 Aug 2008
11. Зададим переход с зимнего на летнее время и наоборот
c3560G# configure terminal
c3560G(config)# clock timezone MSK 3
c3560G(config)# clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
12. Сделаем так, чтобы по команде show logging отображалось нормальное время, а не кол-во дней и т.п.
c3560G(config)# service timestamps log datetime localtime
13. Зададим дефолтовые настройки сразу всем портам на девайсе (у меня catalyst 24 порта + 4 SFP)
C3560G(config)# vlan 999
c3560G(config-vlan)# name unused_ports
c3560G(config-vlan)# shutdown
c3560G(config-vlan)# exit
c3560G(config)# interface range gi 0/1 - 28
c3560G(config-if-range)# description not_used
c3560G(config-if-range)# shutdown
c3560G(config-if-range)# no cdp enable
c3560G(config-if-range)# switchport nonegotiate
c3560G(config-if-range)# switchport access vlan 999
c3560G(config-if-range)# switchport mode access
c3560G(config-if-range)# exit
14. Выключим web-интерфейс, командная строка рулит
c3560G(config)# no ip http server
15. Зададим gateway по умолчанию (допустим это будет 192.168.1.1, т.к. мы присвоили девайсу IP 192.168.1.2/255.255.255.0)
c3560G(config)# ip default-gateway 192.168.1.1
16. Если этот свич будет моддерживать маршрутизацию (будет router`ом), то включим функцию маршрутизации (если это позволяет сам девайс и его прошивка)
3560G прекрасно справляется с функцией маршрутизации
c3560G(config)# ip routing
c3560G(config)# ip classless
c3560G(config)# ip subnet-zero
17. Если вы выолнили пункт 16-ть, то снова необходимо задать gateway по умолчанию, но уже другой командой
c3560G(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1
18. Настроим access-list для доступа к свичу только с определенных IP-адресов
c3560G(config)# ip access-list standard TELNET
c3560G(config-std-nacl)# permit 192.168.1.1
c3560G(config-std-nacl)# permit 192.168.1.15
c3560G(config-std-nacl)# exit
19. Применим этот access-list
c3560G(config)# line vty 0 15
c3560G(config-line)# access-class TELNET in
20. Зададим timeout неактивности telnet сессии, по истечении указанного времени, если вы в консольке ничего не вводили, то telnet соединение будет автоматически закрываться
c3560G(config-line)# exec-timeout 5 0
c3560G(config-line)# exit
21. Включим SNMP, но только read only (RO) и доступность только с хоста 192.168.1.1
c3560G(config)# snmp-server community RO-MY-COMPANY-NAME RO
c3560G(config)# snmp-server trap-source Vlan1
c3560G(config)# snmp-server source-interface informs Vlan1
c3560G(config)# snmp-server location SWITCH-LOCATION
c3560G(config)# snmp-server contact [email protected]
c3560G(config)# snmp-server host 192.168.1.1 RO-MY-COMPANY-NAME
c3560G(config)# exit
22. Ну и наконец сохраним свои труды
c3560G# copy running-config startup-config
или можно проще и короче
c3560G# wri
Море документации по catalyst`ам, и не только по ним, вы можете найти, ессно, на сайте производителя: www.cisco.com
На столе стоит эта прекрасная железка модели 2950, кабель питания воткнут в розетку, а консольный кабель нежно подключен в соответствующий разъем. Начнем. Запускаем Putty , указываем там вид подключения Serial, жмем ОК и Enter в появившемся черном окошечке. Вуаля, вот оно, приглашение командной строки.
Первым делом даем коммутатору имя. как корабль назовешь, так он и поплывет. Фантазией я, правда, не богат так что...
Switch>enableИмя дали, дадим фамилию. Установим IP-адрес. Как известно, адрес коммутатора есть не что иное как адрес 1-го VLAN.
Switch#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#host
Switch(config)#hostname Catalyst
Catalyst(config)#
Catalyst(config)#int vlan 1Не забываем включить VLAN 1 командой no shutdown. По умолчанию изначально все интерфейсы находятся в VLAN 1. Попробуем пропинговать нашу железку:
Catalyst(config-if)#ip address 192.168.10.30 255.255.255.0
Catalyst(config-if)#no shutdown
Catalyst(config-if)#
Чудесно. Далее, чтоб отрезать эту пуповину в виде консольного кабеля настроим SSH. Чтобы SSH заработал нужно провести ряд действий: настроить имя хоста, домен, непосредственно саму виртуальную консоль, и сгенерировать ключ шифрования. Не забывайте, что для SSH v2 необходим ключ длинною не меньше 1024 бита, по умолчанию IOS предлагает 512 бит. Это дает возможность использовать только SSH v1.5.
andrey@darkstar:~$ ping 192.168.10.30
PING 192.168.10.30 (192.168.10.30) 56(84) bytes of data.
64 bytes from 192.168.10.30: icmp_req=2 ttl=255 time=1.69 ms
64 bytes from 192.168.10.30: icmp_req=3 ttl=255 time=1.64 ms
64 bytes from 192.168.10.30: icmp_req=4 ttl=255 time=1.73 ms
Catalyst(config)#ip domain-name unix.ntПоследеняя команда введена для того, чтобы при отсутствии активности сессия завершалась через 60 минут и 0 секунд. Это много, но мне лень после похода за чаем заново логиниться и вводить пароль.
Catalyst(config)#username andrey password passw0rd
Catalyst(config)#line vty 0 ?
<1-15> Last Line number
Catalyst(config)#line vty 0 15
Catalyst(config-line)#password 0 123
Catalyst(config-line)#login authentication ?
WORD Use an authentication list with this name.
default Use the default authentication list.
Catalyst(config-line)#login authentication def
AAA: Warning authentication list "default" is not defined for LOGIN.
Catalyst(config-line)#transport input ssh telnet
Catalyst(config-line)#exec-timeout 60 0
Catalyst(config-line)#
Генерируем ключ (ключ генерировать не обязательно, если его не будет, то он в любом случае сгенерируется во время загрузки)
Catalyst(config)#crypto key generate rsaТут SSH должен заработать и я смогу войти удаленно на коммутатор под именем andrey и паролем passw0rd. Так и есть, вот только в режим администратора войти я не могу. Конечно, ведь пароль администратора не задан. Исправляем ошибку:
Catalyst(config)#enable secret supersecretpassи вот оно счастье, коммутатор можно ставить в стойку и рулить им из своего уютненького ноутбука с обоиной в виде фото Дженифер Лопес.
Теперь давайте добавим маршрут по умолчанию, дабы рулить можно было еще и из дома девушки пол-третьего ночи через SSH. Ну и DNS-сервер, просто чтоб было:
Catalyst(config)#ip default-gateway 192.168.10.1
Catalyst(config)#ip name-server 8.8.8.8
Надеюсь, никого не смутит, что указан DNS-сервер гугла. Проверяем.