The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Раздел полезных советов: Базовая настройка коммутатора Cisco"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Базовая настройка коммутатора Cisco"  +/
Сообщение от auto_tips (ok), 24-Июл-12, 16:36 
1. Настройка параметров терминала.

Для базовой настройки параметров терминала:

Назначить имя устройства

    (config)# hostname <string>

Если необходимо, изменить строку приглашения

    (config)# prompt %n@%h%p

где:    %% -  символ процента;
        %n -  номер tty-порта;
        %h -  имя хоста;
        %p -  символ приглашения ( # или > );
        %s -  пробел;
        %t -  табуляция;

Создать баннеры:


    (config)# banner motd # text #
    (config)# banner login # text #
    (config)# banner exec # text #
    (config)# banner incoming # text #

Отключить поиск в системе DNS:

    (config)# no ip domain-lookup


Задать время сеанса (5 мин.):

    (config)# line { console | vty | tty } <n>
    (config-line)# exec-timeout 5 0


Для вывода информации о местоположении устройства при входе пользователя в систему:

    (config)# service linenumber
    (config)# line console 0
    (config-line)# location <text>


Чтобы сообщения консоли не мешали вводу команд:

    (config)# line { console | vty | tty } <n>
    (config-line)# logging synchronous


Задать скорость консольного порта:

    (config)# line console 0
    (config-line)# speed 115200


Определить длину истории команд:

    (config)# line { console | vty | tty } <n>
    (config-line)# history size <0-256>


Включить запись истории изменения конфигурации:

    (config)# archive
    (config-archive)# log config
    (config-archive-log-cfg)# logging on
    (config-archive-log-cfg)# hidekeys


Включить поддержку IPv6, перезагрузить роутер

    (config)# sdm prefer dual-ipv4-and-ipv6 routing
    (config)# ^Z
    # wr
    # reload


++ 2. Установка параметров входа в систему.

++ 2.1 Локальная аутентификация

Добавить локального пользователя:

    (config)# service password-encryption
    (config)# username <str> privelege <0-15> secret <str>


Включить поддержку ААА и настроить аутентификацию:

    (config)# enable secret <str>
    (config)# aaa new-model
    (config)#
    (config)# aaa authentication login default local
    (config)# aaa authorization exec default local
    (config)# aaa authorization console
    (config)#
    (config)# line { console | vty | tty } <n>
    (config-line)# login exec default
    (config-line)# authorization exec default


++ 2.1 Аутентификация на RADIUS-сервере

На RADIUS-сервере в файл []users[] прописать(!!! до первого вхождения пользователя DEFAULT):

  "username" Cleartext-Password := "passwd"
             Auth-Type == Local,
             Service-Type = NAS-Prompt-User,
             Cisco-AVPair = "Shell:priv-lvl=15"


В файл []clients.conf[]:

  client <short-name>{
    ipv6addr  = xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
    secret    = secret123
    shortname = short-name

  }


На коммутаторе:

    (config)# radius server RADSERV1
    (config-radius-server)# address ipv6 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
    (config-radius-server)# key 0 secret123
    (config-radius-server)# exit
    (config)#
    (config)# aaa group server radius RADGRP1
    (config-sg-radius)# server name RADSERV1
    (config-sg-radius)# deadtime 3
    (config-sg-radius)# exit


Включить поддержку ААА и настроить аутентификацию:

    (config)# enable secret <str>
    (config)# username bkpusr privelege <0-15> secret bkppasswd
    (config)# aaa new-model
    (config)#
    (config)# aaa authentication login default group RADGRP1 local
    (config)# aaa authorization exec default group RADGRP1 local
    (config)#
    (config)# line { console | vty | tty } <n>
    (config-line)# login exec default
    (config-line)# authorization exec default


++ 3. Настройка параметров журналирования.


Включить ведение журнала:

    (config)# logging on
    (config)# logging buffered
    (config)# logging trap <0-7>

0 - минимальное, 7- записывать все сообщения


Добавлять системное время в сообщения:

    (config)# service timestamps log datetime msec localtime show-timezone


Сбор данных на syslog-сервер:

  Для начала необходимо добавить строку в []/etc/syslogd.conf[] вида []Facility.Severity file[]

    local7.info /var/log/cisco3750e-b1s3

Затем настроить роутер:

    (config)# logging facility local7
    (config)# logging trap info
    (config)# logging <servername.com>


Включить сервис нумерации сообщений и записи истории посещений:

    (config)# service sequence-numbers
    (config)# login on failure log
    (config)# login on success log


++ 4. Установка даты, времени, часового пояса, настройка NTP-клиента.


Перевести внутренние часы:

    R1# clock set 12:00:00 20 jun 2012
    R1# conf
    Configuring from terminal, memory, or network [terminal]?
    (config)# clock timezone SAM 3
    (config)# clock summer-time SAM recurring


Включить NTP-клиент:

    (config)# ntp server ipv6 ntp6a.rollernet.us
    (config)# ntp server ipv6 ntp6b.rollernet.us


++ 5. Настройка сервисов:

++ 5.1 SSH

Установить имя хоста:

    (config)# ip domain name <name.local>
    (config)# hostname <name>


Сгенерировать секретный ключ (l > 768):

    (config)# crypto generate rsa


Настроить SSH-сервер:

    (config)# ip ssh timeout <1-120>
    (config)# ip ssh authentication retries <0-5>
    (config)# ip ssh logging events
    (config)# ip ssh maxstartups <2-128>
    (config)# ip ssh source-interface <type><mod>/<sl>


В настройках линии указать возможность приема соединений по SSH:

    (config)# line vty 0 15
    (config-line)# transport input ssh


Включить сервис SCP:

    (config)# ip scp server enable


Идентификация по открытому ключу:

    (config)# ip ssh pubkey-chain
    (conf-ssh-pubkey)# username <str>
    (conf-ssh-pubkey-user)# key-string
    (conf-ssh-pubkey-data)# $de12w1sqwsa8
    (conf-ssh-pubkey-data)# $sdadq3eqwsaczxzXX
    (conf-ssh-pubkey-data)# $asdad23adaxxa== pipi@fedi.nil.si
    (conf-ssh-pubkey-data)# exit
    (conf-ssh-pubkey-user)#


++ 5.2 CDP (LLDP)

Сервис CDP включен на коммутаторе по-умолчанию. Для выключения:

    (config)# no cdp run


На отдельном интерфейсе:

    (config-if)# no cdp enable


Время между посылками CDP-пакетов:

    (config)# cdp timer <sec>


Время, которое принятая от соседа информация считается действительной:

    (config)# cdp holdtime <sec>

Если в сети находятся устройства иных производителей, то имеется возможность использовать протокол LLDP:

    (config)# lldp run


На отдельном интерфейсе:

    (config-if)# lldp transmit
    (config-if)# lldp receive


++ 5.3 SNMPv3

Создать SNMP-tree view для чтения и записи:

    (config)# snmp-server view READVIEW1 <MIB-view-family> { included | excluded }
    (config)# snmp-server view WRITEVIEW1 <MIB-view-family> { included | excluded }


где MIB-view-family может быть: [] mib2, system, internet, iso и т.д. []

Создать access-list:

    (config)# ipv6 access-list SNMP-ACL1
    (config-ipv6-acl)# permit xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
    (config-ipv6-acl)# exit


Создать SNMP-группу:

    (config)# snmp-server group <grname> v3 auth read READVIEW1 write WRITEVIEW1 access ipv6 SNMP-ACL1


Создать пользователей SNMP-сервера:

    (config)# snmp-server user <uname> <grname> v3 auth md5 <authpasswd> access ipv6 SNMP-ACL1


++ 5.4 VTPv3

Основные отличия от 1 и 2 версии:
*** Поддержка Privat-VLAN;
*** Поддержка полного диапазона VLAN ( 1 - 4096 );
*** Возможность настройки на уровне отдельного порта;
*** Защита пароля домена;
*** Решена проблема с подключением нового коммутатора (когда происходила перезапись базы VLAN всего домена);
*** Обмен данными более эффективен;
*** Работа в режиме передачи данных между процессами MST.

Настройка VTPv3:

    (config)# vtp domain <name>
    (config)# vtp version 3
    (config)# vtp mode { server | client }
    (config)# vtp password <passwd> { hidden | secret }


Если switch работает в режиме server, необходимо его тип - BACKUP(по-умолчанию) или PRIMAR:

    Switch# vtp primary vlan
      This system is becoming primary server for feature vlan
      No conflicting VTP3 devices found.
      Do you want to continue? [confirm]


Обновления принимаются только от PRIMARY-сервера. В домене только один primary, остальные backup, client либо transparent. При подключении в сеть 2-ого primary, он автоматически становится backup.

Выключить VTP на интерфейсе можно командой:

    (config-if)# no vtp


++ 6. Повышение уровня безопасности устройства.


Выключить ненужные сервисы:

    (config)# no service tcp-small-servers
    (config)# no service udp-small-servers
    (config)# no service dhcp
    (config)# no service finger
    (config)# no service config
    (config)# no ip bootp server
    (config)# no ip http server
    (config)# no ip http secure-server
    (config)# no ip source route
    (config)# no ip gratitous-arps
    (config)# ip options drop


Включить нужные:

    (config)# service tcp-keepalives-in
    (config)# service tcp-keepalives-out


Настроить access-class на VTY:

    (config)# ipv6 access-list ADMIN-NETW
    (config-ipv6-acl)# permit xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/yyy
    (config-ipv6-acl)# exit
    (config)#
    (config)# line vty 0 15
    (config-line)# ipv6 access-class ADMIN-NETW
    (config-line)# exit


MANAGEMENT и COMMON VLAN:

    (config)# int vlan 1
    (config-if)# shutdown
    (config-if)# exit
    (config)#
    (config)# vlan 254
    (config-vlan)# name MANAGEMENT
    (config-vlan)# state active
    (config-vlan)# exit
    (config)#
    (config)# int vlan 254
    (config-if)# ipv6 enable
    (config-if)# ipv6 address 2001:DB8:5005:FE::/64 eui-64
    (config-if)# ipv6 traffic-filter ADMIN-NETW
    (config-if)# no shutdown
    (config-if)# exit
    (config)#
    (config)# vlan 255
    (config-vlan)# name COMMON
    (config-vlan)# state active
    (config-vlan)# exit
    (config)#
    (config)#int range g1/0/1 - 48
    (config-if-range)# switchport host
    (config-if-range)# switchport access vlan 255
    (config-if-range)# ^Z
    Switch# wr


++ 7. Создание меню быстрого вызова команд.


Задать заголовок:

    (config)# menu <name> title # Текст #
    (config)# menu <name> clear-screen
    (config)# menu <name> line-mode


Ввести приглашение:

    (config)# menu <name> prompt # Текст #


Для каждого пункта меню:

    (config)# menu <name> text <pt-num> <Текст>
    (config)# menu <name> command <pt-num> <command>


Завершить пунктом выхода из меню:

    (config)# menu <name> text <last-pt-num> Menu exit


Вызов меню из режима exec:

    Switch# menu <name>

URL:
Обсуждается: http://www.opennet.dev/tips/info/2701.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от pavlinux (ok), 24-Июл-12, 16:36   +/
!)
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (-), 24-Июл-12, 17:01   +/
кто-нибудь, скиньте пожалуйста ссылку хорошего эмулятора под Ciscу
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6

3. Сообщение от МухерЪemail (?), 24-Июл-12, 18:23   –1 +/
А вот самый банальный делинк. Воткнул, включил и все! Работает!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

4. Сообщение от Nerian (?), 24-Июл-12, 23:35   +/
Циска тоже будет работать. Только управлять/снимать статистику не сможете.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

5. Сообщение от Ночной админ (ok), 25-Июл-12, 01:49   +/
http://www.gns3.net/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #7

6. Сообщение от Аноним (-), 25-Июл-12, 01:52   +/
Dynamips c http://www.gns3.net/. Образы IOS и серийники - в гугле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #8

7. Сообщение от Аноним (-), 25-Июл-12, 13:24   +/
Спасибо!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от Аноним (-), 25-Июл-12, 13:28   +/
Спасибо!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #16

9. Сообщение от saNdro (?), 26-Июл-12, 22:36   +/
Ну-ну. Вы хоть с одним DES или DGS уровня 2 и выше работали? Или лишь бы ляпнуть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

10. Сообщение от saNdro (?), 26-Июл-12, 22:37   +/
> Циска тоже будет работать. Только управлять/снимать статистику не сможете.

Мда? А ничего, что у неё все порты по умолчанию в shutdown?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11

11. Сообщение от Nerian (?), 27-Июл-12, 09:36   +/
Теоретик?

По умолчанию они ни разу не shutdown. Более того если эту статью почтитать - то там нету "no shutdown" для port range gi0/0-24 (fa0/0-24).

В состоянии shutdown только интерфейс VlanX.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Borisemail (??), 05-Авг-12, 03:32   +/
По эмуляторам сдавал недавно CCNP Route
на сайте cisco и увидел что эмулятор gns3 давно устарел.Для сдавших в виде бонуса есть уже новый и оптимизированный CiscoPacketTracer-5.3.3(теперь не нужны бинарники Ios)Могу предложить только со своего домашнего сайта
http://orion-15.mooo.com/download/new/
или
http://orion-15.mooo.com/buf/
(сайт попеременно на Linux и Win работает)
для Ubuntu и win,там же дополнения в виде готовых схем и конфигураций и скрин ответов на финальный экзамен.Ежели качается тяжело (таки домашний-1мб на upload) пишите на n2011all@gmail.com -выложу

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

13. Сообщение от Stas (??), 08-Авг-12, 07:16   +/
Добрый день! пожалуйста, откройте доступ к ресурсам http://orion-15.mooo.com/download/new/ и http://orion-15.mooo.com/buf/ - очень нужное ПО и документация. Вы -супер!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #14

14. Сообщение от n2011allemail (?), 12-Авг-12, 03:14   +/
м-да, упущение - исправил, права 755,добавил лабораторные (некоторые таки очень ДА..) и на совершенно новый AspireNetworkingAcademyEdition-Release-1.1.6.28-Setup
(увы работает только под ХР(этого недоразумения у меня нет),а юниксверсии увы нет,что странно...)добавил скрины ответов на все 8 экзаменов и финал.(учитесь на здоровье и во благо,по экзаменам-есть лимит времени 1час на промежуточные и 2 часа на финал).
судя по конектам-идут через поисковики-меня там нет,сайтик то сугубо домашний
поэтому набирайте в адресной строке  http://orion-15.mooo.com/buf/cisco/
или через гугловский  https://sites.google.com/site/oriongweb/(он для этого только и заведен).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

15. Сообщение от n2012allemail (?), 12-Окт-12, 18:12   +/
по поводу Aspire_Cisco-просьба не слать запросы-ребята с Кемерово сообщили что работает по вин7-то есть той хренью которая не интересует меня....Да и всем советую-забудьте вин как дурной сон...Респект всем кто пишет...
Ответить | Правка | Наверх | Cообщить модератору

16. Сообщение от Анонимъ (?), 20-Дек-14, 20:47   +/
Пожалуйста!!!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

17. Сообщение от Владимирemail (??), 01-Мрт-19, 12:22   +/
А как можно посмотреть всех пользователей на cisco? команда sh users показывает только кто в данный момент подключен к ней.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18

18. Сообщение от Аноним (18), 11-Сен-20, 12:47   +/
show startup-config
Там вверху найдете
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру