1. Настройка параметров терминала.Для базовой настройки параметров терминала:
Назначить имя устройства
(config)# hostname <string>
Если необходимо, изменить строку приглашения
(config)# prompt %n@%h%p
где: %% - символ процента;
%n - номер tty-порта;
%h - имя хоста;
%p - символ приглашения ( # или > );
%s - пробел;
%t - табуляция;
Создать баннеры:
(config)# banner motd # text #
(config)# banner login # text #
(config)# banner exec # text #
(config)# banner incoming # text #
Отключить поиск в системе DNS:
(config)# no ip domain-lookup
Задать время сеанса (5 мин.):
(config)# line { console | vty | tty } <n>
(config-line)# exec-timeout 5 0
Для вывода информации о местоположении устройства при входе пользователя в систему:
(config)# service linenumber
(config)# line console 0
(config-line)# location <text>
Чтобы сообщения консоли не мешали вводу команд:
(config)# line { console | vty | tty } <n>
(config-line)# logging synchronous
Задать скорость консольного порта:
(config)# line console 0
(config-line)# speed 115200
Определить длину истории команд:
(config)# line { console | vty | tty } <n>
(config-line)# history size <0-256>
Включить запись истории изменения конфигурации:
(config)# archive
(config-archive)# log config
(config-archive-log-cfg)# logging on
(config-archive-log-cfg)# hidekeys
Включить поддержку IPv6, перезагрузить роутер
(config)# sdm prefer dual-ipv4-and-ipv6 routing
(config)# ^Z
# wr
# reload
++ 2. Установка параметров входа в систему.
++ 2.1 Локальная аутентификация
Добавить локального пользователя:
(config)# service password-encryption
(config)# username <str> privelege <0-15> secret <str>
Включить поддержку ААА и настроить аутентификацию:
(config)# enable secret <str>
(config)# aaa new-model
(config)#
(config)# aaa authentication login default local
(config)# aaa authorization exec default local
(config)# aaa authorization console
(config)#
(config)# line { console | vty | tty } <n>
(config-line)# login exec default
(config-line)# authorization exec default
++ 2.1 Аутентификация на RADIUS-сервере
На RADIUS-сервере в файл []users[] прописать(!!! до первого вхождения пользователя DEFAULT):
"username" Cleartext-Password := "passwd"
Auth-Type == Local,
Service-Type = NAS-Prompt-User,
Cisco-AVPair = "Shell:priv-lvl=15"
В файл []clients.conf[]:
client <short-name>{
ipv6addr = xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
secret = secret123
shortname = short-name
}
На коммутаторе:
(config)# radius server RADSERV1
(config-radius-server)# address ipv6 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
(config-radius-server)# key 0 secret123
(config-radius-server)# exit
(config)#
(config)# aaa group server radius RADGRP1
(config-sg-radius)# server name RADSERV1
(config-sg-radius)# deadtime 3
(config-sg-radius)# exit
Включить поддержку ААА и настроить аутентификацию:
(config)# enable secret <str>
(config)# username bkpusr privelege <0-15> secret bkppasswd
(config)# aaa new-model
(config)#
(config)# aaa authentication login default group RADGRP1 local
(config)# aaa authorization exec default group RADGRP1 local
(config)#
(config)# line { console | vty | tty } <n>
(config-line)# login exec default
(config-line)# authorization exec default
++ 3. Настройка параметров журналирования.
Включить ведение журнала:
(config)# logging on
(config)# logging buffered
(config)# logging trap <0-7>
0 - минимальное, 7- записывать все сообщения
Добавлять системное время в сообщения:
(config)# service timestamps log datetime msec localtime show-timezone
Сбор данных на syslog-сервер:
Для начала необходимо добавить строку в []/etc/syslogd.conf[] вида []Facility.Severity file[]
local7.info /var/log/cisco3750e-b1s3
Затем настроить роутер:
(config)# logging facility local7
(config)# logging trap info
(config)# logging <servername.com>
Включить сервис нумерации сообщений и записи истории посещений:
(config)# service sequence-numbers
(config)# login on failure log
(config)# login on success log
++ 4. Установка даты, времени, часового пояса, настройка NTP-клиента.
Перевести внутренние часы:
R1# clock set 12:00:00 20 jun 2012
R1# conf
Configuring from terminal, memory, or network [terminal]?
(config)# clock timezone SAM 3
(config)# clock summer-time SAM recurring
Включить NTP-клиент:
(config)# ntp server ipv6 ntp6a.rollernet.us
(config)# ntp server ipv6 ntp6b.rollernet.us
++ 5. Настройка сервисов:
++ 5.1 SSH
Установить имя хоста:
(config)# ip domain name <name.local>
(config)# hostname <name>
Сгенерировать секретный ключ (l > 768):
(config)# crypto generate rsa
Настроить SSH-сервер:
(config)# ip ssh timeout <1-120>
(config)# ip ssh authentication retries <0-5>
(config)# ip ssh logging events
(config)# ip ssh maxstartups <2-128>
(config)# ip ssh source-interface <type><mod>/<sl>
В настройках линии указать возможность приема соединений по SSH:
(config)# line vty 0 15
(config-line)# transport input ssh
Включить сервис SCP:
(config)# ip scp server enable
Идентификация по открытому ключу:
(config)# ip ssh pubkey-chain
(conf-ssh-pubkey)# username <str>
(conf-ssh-pubkey-user)# key-string
(conf-ssh-pubkey-data)# $de12w1sqwsa8
(conf-ssh-pubkey-data)# $sdadq3eqwsaczxzXX
(conf-ssh-pubkey-data)# $asdad23adaxxa== pipi@fedi.nil.si
(conf-ssh-pubkey-data)# exit
(conf-ssh-pubkey-user)#
++ 5.2 CDP (LLDP)
Сервис CDP включен на коммутаторе по-умолчанию. Для выключения:
(config)# no cdp run
На отдельном интерфейсе:
(config-if)# no cdp enable
Время между посылками CDP-пакетов:
(config)# cdp timer <sec>
Время, которое принятая от соседа информация считается действительной:
(config)# cdp holdtime <sec>
Если в сети находятся устройства иных производителей, то имеется возможность использовать протокол LLDP:
(config)# lldp run
На отдельном интерфейсе:
(config-if)# lldp transmit
(config-if)# lldp receive
++ 5.3 SNMPv3
Создать SNMP-tree view для чтения и записи:
(config)# snmp-server view READVIEW1 <MIB-view-family> { included | excluded }
(config)# snmp-server view WRITEVIEW1 <MIB-view-family> { included | excluded }
где MIB-view-family может быть: [] mib2, system, internet, iso и т.д. []
Создать access-list:
(config)# ipv6 access-list SNMP-ACL1
(config-ipv6-acl)# permit xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
(config-ipv6-acl)# exit
Создать SNMP-группу:
(config)# snmp-server group <grname> v3 auth read READVIEW1 write WRITEVIEW1 access ipv6 SNMP-ACL1
Создать пользователей SNMP-сервера:
(config)# snmp-server user <uname> <grname> v3 auth md5 <authpasswd> access ipv6 SNMP-ACL1
++ 5.4 VTPv3
Основные отличия от 1 и 2 версии:
*** Поддержка Privat-VLAN;
*** Поддержка полного диапазона VLAN ( 1 - 4096 );
*** Возможность настройки на уровне отдельного порта;
*** Защита пароля домена;
*** Решена проблема с подключением нового коммутатора (когда происходила перезапись базы VLAN всего домена);
*** Обмен данными более эффективен;
*** Работа в режиме передачи данных между процессами MST.
Настройка VTPv3:
(config)# vtp domain <name>
(config)# vtp version 3
(config)# vtp mode { server | client }
(config)# vtp password <passwd> { hidden | secret }
Если switch работает в режиме server, необходимо его тип - BACKUP(по-умолчанию) или PRIMAR:
Switch# vtp primary vlan
This system is becoming primary server for feature vlan
No conflicting VTP3 devices found.
Do you want to continue? [confirm]
Обновления принимаются только от PRIMARY-сервера. В домене только один primary, остальные backup, client либо transparent. При подключении в сеть 2-ого primary, он автоматически становится backup.
Выключить VTP на интерфейсе можно командой:
(config-if)# no vtp
++ 6. Повышение уровня безопасности устройства.
Выключить ненужные сервисы:
(config)# no service tcp-small-servers
(config)# no service udp-small-servers
(config)# no service dhcp
(config)# no service finger
(config)# no service config
(config)# no ip bootp server
(config)# no ip http server
(config)# no ip http secure-server
(config)# no ip source route
(config)# no ip gratitous-arps
(config)# ip options drop
Включить нужные:
(config)# service tcp-keepalives-in
(config)# service tcp-keepalives-out
Настроить access-class на VTY:
(config)# ipv6 access-list ADMIN-NETW
(config-ipv6-acl)# permit xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/yyy
(config-ipv6-acl)# exit
(config)#
(config)# line vty 0 15
(config-line)# ipv6 access-class ADMIN-NETW
(config-line)# exit
MANAGEMENT и COMMON VLAN:
(config)# int vlan 1
(config-if)# shutdown
(config-if)# exit
(config)#
(config)# vlan 254
(config-vlan)# name MANAGEMENT
(config-vlan)# state active
(config-vlan)# exit
(config)#
(config)# int vlan 254
(config-if)# ipv6 enable
(config-if)# ipv6 address 2001:DB8:5005:FE::/64 eui-64
(config-if)# ipv6 traffic-filter ADMIN-NETW
(config-if)# no shutdown
(config-if)# exit
(config)#
(config)# vlan 255
(config-vlan)# name COMMON
(config-vlan)# state active
(config-vlan)# exit
(config)#
(config)#int range g1/0/1 - 48
(config-if-range)# switchport host
(config-if-range)# switchport access vlan 255
(config-if-range)# ^Z
Switch# wr
++ 7. Создание меню быстрого вызова команд.
Задать заголовок:
(config)# menu <name> title # Текст #
(config)# menu <name> clear-screen
(config)# menu <name> line-mode
Ввести приглашение:
(config)# menu <name> prompt # Текст #
Для каждого пункта меню:
(config)# menu <name> text <pt-num> <Текст>
(config)# menu <name> command <pt-num> <command>
Завершить пунктом выхода из меню:
(config)# menu <name> text <last-pt-num> Menu exit
Вызов меню из режима exec:
Switch# menu <name>
URL:
Обсуждается: http://www.opennet.dev/tips/info/2701.shtml