Сегодня мы рассмотрим: Настоящие ценители музыки знают, что для качественного...
настроить cisco 3560
Всем привет, сегодня хочу рассмотреть вопрос, о том как настроить коммутаторы cisco 3 уровня модели OSI, на примере cisco 3560. Напомню, что коммутаторы cisco 3 уровня не используются для выхода в интернет в качестве шлюза, а только маршрутизируют трафик между vlan в локальной сети. Для выхода в интернет cisco как и все вендоры предоставляет маршрутизатор? ниже представлена самая распространенная схема подключения.
Оборудование и схема сети
Предположим, что у меня коммутатор 3 уровня cisco 3560 24 порта, он выглядит как то вот так.
Он будет маршрутизировать трафик между vlan в моей локальной сети, и к нему допустим будут подключены 3 коммутатора 2 уровня модели OSI, уровня доступа, коммутаторы cisco 2960, а сам cisco 3560 будет выступать в качестве коммутатора уровня распределения. Напомню, что на втором уровне коммутируется трафик на основе mac адресов. Уровень доступа это куда подключаются конечные устройства, в нашем случае компьютеры, сервера или принтеры.. Ниже схема.
Что такое коммутатор второго уровня
Коммутатор второго уровня это железка работающая на втором уровне сетевой модели OSI
- Коммутирует трафик на основе мак адресов
- Используется в качестве уровня доступа
- Служит для первичного сегментирования локальных сетей
- Самая маленькая стоимость за порт/пользователь
В технической документации коммутатор второго уровня обозначает в виде вот такого значка
Что такое коммутатор третьего уровня
Коммутатор третьего уровня это железка работающая на третьем уровне модели OSI умеющая:
- IP маршрутизация
- Агрегирование коммутаторов уровня доступа
- Использование в качестве коммутаторов уровня распределения
- Высокая производительность
В технической документации коммутатор третьего уровня обозначает в виде вот такого значка
Помогать мне будет в создании тестового стенда программа симулятор сети, Cisco packet tracer 6.2. Скачать Cisco packet tracer 6.2 , можно тут. Вот более детальная схема моего тестового полигона. В качестве ядра у меня cisco catalyst 3560, на нем два vlan: 2 и 3, со статическими ip адресами VLAN2 192.168.1.251 и VLAN3 192.168.2.251. Ниже два коммутатора уровня доступа, используются для организации VLAN и как аплинки. В локальной сети есть 4 компьютера, по два в каждом vlan. Нужно чтобы компьютер PC3 из vlan2 мог пинговать компьютер PC5 из vlan3.
С целью мы определились можно приступать. Напоминать, про то что такое vlan я не буду можете почитать тут.
Настройка cisco коммутатора 2 уровня
Настройка коммутатора второго уровня очень простая. Начнем настройку cisco catalyst 2960, как вы видите у меня компьютеры PC03 и PC04 подключены к Switch0, портам fa0/1 и fa0/2. По плану наш Switch0 должен иметь два vlan. Приступим к их созданию. Переходим в привилегированный режим и вводим команду
теперь в режим конфигурации
Создаем VLAN2 и VLAN3. Для этого пишем команду
задаем имя пусть так и будет VLAN2
Выходим из него
Аналогичным образом создаем VLAN3.
Теперь добавим интерфейс fa0/1 в vlan 2, а интерфейс fa0/2 в vlan 3. Пишем команду.
int fa 0/1
Говорим что порт будет работать в режиме доступа
switchport mode access
закидываем его в VLAN2
switchport access vlan 2
Теперь добавим fa0/2 в vlan 3.
switchport mode access
switchport access vlan 3
Теперь сохраним это все в памяти коммутатора командой
Настроим теперь trunk порт. В качестве trunk порта у меня будет гигабитный порт gig 0/1. Вводим команду для настройки порта gig 0/1.
Сделаем его режим trunk
switchport mode trunk
И разрешим через транк нужные вланы
Сохраняем настройки. Все настройка коммутатора второго уровня почти закончена.
Теперь таким же методом настраивает коммутатор Switch1 и компьютеры PC5 в VLAN2 и PC6 в VLAN3. Все на втором уровне модели OSI мы закончили, переходим к 3 уровню.
Настройка cisco 3560
Настройка cisco 3560, будет производится следующим образом. так как наше ядро должно маршрутизировать внутренний локальный трафик, то мы должны создать такие же vlan, задать им ip адреса, так как они будут выступать в роли шлюзов по умолчанию, а так же trunk порты.
Начнем с транк портов, у нас это gig 0/1 и gig 0/2.
заходим в настройку интерфейса gig 0/1 и gig 0/2
int range gig 0/1-2
Попытаемся включить режим транка
switchport mode trunk
но в итоге вы получите вот такую подсказку: Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode. Смысл ее в том, что вам сначала предлагают включить инкапсуляцию пакетов. Давайте настроим инкапсуляцию на cisco 3560.
switchport trunk encapsulation dot1q
Теперь укажем режим и разрешенные vlan
switchport mode trunk
switchport trunk allowed vlan 2,3
Сохраним настройки Cisco
На столе стоит эта прекрасная железка модели 2950, кабель питания воткнут в розетку, а консольный кабель нежно подключен в соответствующий разъем. Начнем. Запускаем Putty , указываем там вид подключения Serial, жмем ОК и Enter в появившемся черном окошечке. Вуаля, вот оно, приглашение командной строки.
Первым делом даем коммутатору имя. как корабль назовешь, так он и поплывет. Фантазией я, правда, не богат так что...
Switch>enableИмя дали, дадим фамилию. Установим IP-адрес. Как известно, адрес коммутатора есть не что иное как адрес 1-го VLAN.
Switch#conf ter
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#host
Switch(config)#hostname Catalyst
Catalyst(config)#
Catalyst(config)#int vlan 1Не забываем включить VLAN 1 командой no shutdown. По умолчанию изначально все интерфейсы находятся в VLAN 1. Попробуем пропинговать нашу железку:
Catalyst(config-if)#ip address 192.168.10.30 255.255.255.0
Catalyst(config-if)#no shutdown
Catalyst(config-if)#
Чудесно. Далее, чтоб отрезать эту пуповину в виде консольного кабеля настроим SSH. Чтобы SSH заработал нужно провести ряд действий: настроить имя хоста, домен, непосредственно саму виртуальную консоль, и сгенерировать ключ шифрования. Не забывайте, что для SSH v2 необходим ключ длинною не меньше 1024 бита, по умолчанию IOS предлагает 512 бит. Это дает возможность использовать только SSH v1.5.
andrey@darkstar:~$ ping 192.168.10.30
PING 192.168.10.30 (192.168.10.30) 56(84) bytes of data.
64 bytes from 192.168.10.30: icmp_req=2 ttl=255 time=1.69 ms
64 bytes from 192.168.10.30: icmp_req=3 ttl=255 time=1.64 ms
64 bytes from 192.168.10.30: icmp_req=4 ttl=255 time=1.73 ms
Catalyst(config)#ip domain-name unix.ntПоследеняя команда введена для того, чтобы при отсутствии активности сессия завершалась через 60 минут и 0 секунд. Это много, но мне лень после похода за чаем заново логиниться и вводить пароль.
Catalyst(config)#username andrey password passw0rd
Catalyst(config)#line vty 0 ?
<1-15> Last Line number
Catalyst(config)#line vty 0 15
Catalyst(config-line)#password 0 123
Catalyst(config-line)#login authentication ?
WORD Use an authentication list with this name.
default Use the default authentication list.
Catalyst(config-line)#login authentication def
AAA: Warning authentication list "default" is not defined for LOGIN.
Catalyst(config-line)#transport input ssh telnet
Catalyst(config-line)#exec-timeout 60 0
Catalyst(config-line)#
Генерируем ключ (ключ генерировать не обязательно, если его не будет, то он в любом случае сгенерируется во время загрузки)
Catalyst(config)#crypto key generate rsaТут SSH должен заработать и я смогу войти удаленно на коммутатор под именем andrey и паролем passw0rd. Так и есть, вот только в режим администратора войти я не могу. Конечно, ведь пароль администратора не задан. Исправляем ошибку:
Catalyst(config)#enable secret supersecretpassи вот оно счастье, коммутатор можно ставить в стойку и рулить им из своего уютненького ноутбука с обоиной в виде фото Дженифер Лопес.
Теперь давайте добавим маршрут по умолчанию, дабы рулить можно было еще и из дома девушки пол-третьего ночи через SSH. Ну и DNS-сервер, просто чтоб было:
Catalyst(config)#ip default-gateway 192.168.10.1
Catalyst(config)#ip name-server 8.8.8.8
Надеюсь, никого не смутит, что указан DNS-сервер гугла. Проверяем.
16 марта 2010 в 09:50Шаблон базовой настройки маршрутизатора Cisco
- Cisco
В последнее время приходится часто настраивать с нуля маршрутизаторы Cisco (в основном 800-1800 серии) для филиалов моей компании и дабы не набирать одни и теже команды третий десяток раз составил для себя небольшой шаблон настроек на разные случаи жизни. Сразу скажу что сертификаты от Cisco не получал, книжек по данным роутерам особо не читал, весь свой опыт приобрел методом научного тыка, курением мануалов на cisco.com и кое каким вдумчивым заимствованием кусков чужих конфигов…
Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем
#erase startup-config
дабы избавится от преднастроеного мусора и перегружаемся.
Настройка авторизации и доступа по SSH
Включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD
Даем имя роутеру
hostname <...>
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15
Настройка роутинга
Включаем ускоренную коммутацию пакетов
ip cef
Настройка времени
Временная зона GMT+2
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP
Архивирование конфигов
Включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
log config
logging enable
hidekeys
Историю изменения конфига можно посмотреть командой
show archive log config all
Настройка DNS
Включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220
Настройка локальной сети
Обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
description === LAN ===
ip address 192.168.???.1
Включаем на интерфейсе подсчет пакетов передаваемых клиентам - удобно просматривать кто съедает трафик
ip accounting output-packets
Посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting
Настройка DHCP сервера
Исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168.???.1 192.168.???.99
! и настраиваем пул адресов
ip dhcp pool LAN
network 192.168.???.0 255.255.255.0
default-router 192.168.???.1
dns-server 192.168.???.1
Настройка Internet и Firewall
Настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
permit tcp any any eq 22
Включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic
Настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
description === Internet ===
ip address ???.???.???.??? 255.255.255.???
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in
Ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 ???.???.???.???
Настройка NAT
На Интернет интерфейсе
interface FastEthernet0/0
ip nat outside
На локальном интерфейсе
interface Vlan1
ip nat inside
Создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168.???.??? any
Включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload
Добавляем инспекцию популярных протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
Отключение ненужных сервисов
No service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server
UPD. Убрал лишнее по советам хаброюзеров
UPD2. Добавил отключение ненужных сервисов
UPD3. Изменил настройка файрвола (спасибо
Как говорят в народе: Дела идут, контора пишет.
Постепенно и у нас начались движения по приведению сети компании к нормальному виду. Постепенно все филиалы будут завязаны в единую локальную сеть, будут установлены нормальные коммутаторы, в нашем случае это Cisco Catalyst 2950.
Соответственно сегодня о первоначальной настройке данной железки:
в Windows можно использовать Hiper Terminal для подключения к com порту
1. Зададим пароль на enable режим
Switch> enable
Switch# configure terminal
Switch(config)# enable password my-secret-password
2. Установим пароль для входа по telnet
Switch(config)# line vty 0 15
Switch(config-line)#password my-telnet-password
3. Сразу разрешим вход по telnet
Switch(config-line)# login
Switch(config)# exit
4. Зашифруем пароли, чтобы по sh run они не показывались в открытом виде
Switch(config)# service password-encryption
5. Зададим имя девайсу, например c2950
Switch(config)# hostname c2950
6. присвоим IP-адрес нашему девайсу (в некоторых управляемых коммутаторах, ip уже присутствует по умолчанию, какой он? Обычно прописано в мануале).
c2950(config)# interface vlan 1
c2950(config-if)# ip address 192.168.1.2 255.255.255.0
c2950(config-if)# exit
7. Если вы ошибетесь при наборе чего либо в консоле, то циска начнет пытаться это отрезолвить, чем заставляет вас ждать, выключим эту фичу
c2950(config)# no ip domain-lookup
8. Зададим имя домена
c2950(config)# ip domain-name my-domain.ru
9. Зададим IP-адрес DNS сервера
c2950(config)# ip name-server 192.168.1.15
10. Зададим время
если у вас есть доступный NTP сервер (в моем случае это контроллер домена, но в последствии планируем сделать отдельный NTP сервер).
c2950(config)# ntp server 192.168.10.1 version 2 source vlan 1
c2950(config)# ntp clock-period 36029056
c2950(config)# ntp max-associations 1
где 192.168.10.1 - это IP-адрес NTP сервера
а используя «добавку» source vlan вы можете четко задать номер vlan с IP которого будет отправляться NTP запрос
если нет NTP сервера, то можно задать время вручную, но для этого придется выйти из режима конфигурирования
c2950(config)# exit
11. Зададим переход с зимнего на летнее время и наоборот
c2950# configure terminal
c2950(config)# clock timezone MSK 3
c2950(config)# clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
12. Сделаем так, чтобы по команде show logging отображалось нормальное время, а не кол-во дней и т.п.
c2950(config)# service timestamps log datetime localtime
13. Зададим дефолтовые настройки сразу всем портам на девайсе (у меня catalyst 24 порта + 4 SFP)
c2950(config)# vlan 10
c2950(config-vlan)# name unused_ports
c2950(config-vlan)# shutdown
c2950(config-vlan)# exit
c2950(config)# interface range gi 0/1 - 28
c2950(config-if-range)# description not_used
c2950(config-if-range)# shutdown
c2950(config-if-range)# no cdp enable
c2950(config-if-range)# switchport nonegotiate
c2950(config-if-range)# switchport access vlan 10
c2950(config-if-range)# switchport mode access
c2950(config-if-range)# exit
14. Выключим web-интерфейс, командная строка это конечно не плохо, так скажет любой уважающий себя цисковод, но иногда нет времени сидеть и вспоминать команды командной строки, просто бывает нужно быстро зайти включить порт или еще что нибудь поправить, по любому эта функция не помешает).
c2950(config)# no ip http server
15. Зададим gateway по умолчанию (допустим это будет 192.168.1.1, т.к. мы присвоили девайсу IP 192.168.1.2/255.255.255.0)
c2950(config)# ip default-gateway 192.168.1.1
16. Если этот свич будет поддерживать маршрутизацию (будет router`ом), то включим функцию маршрутизации (если это позволяет сам девайс и его прошивка)
c2950(config)# ip routing
c2950(config)# ip classless
c2950(config)# ip subnet-zero
17. Если вы выполнили пункт 16-ть, то снова необходимо задать gateway по умолчанию, но уже другой командой
c2950(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1
18. Настроим access-list для доступа к свичу только с определенных IP-адресов
c2950(config)# ip access-list standard TELNET
c2950(config-std-nacl)# permit 192.168.1.1
c2950(config-std-nacl)# permit 192.168.1.15
c2950(config-std-nacl)# exit
19. Применим этот access-list
c2950(config)# line vty 0 15
c2950(config-line)# access-class TELNET in
20. Зададим timeout неактивности telnet сессии, по истечении указанного времени, если вы в консольке ничего не вводили, то telnet соединение будет автоматически закрываться (вообще telnet это не самый лучший вариант, конечно более безопасен SSH, но об этом чуть позже).
c2950(config-line)# exec-timeout 5 0
c2950(config-line)# exit
21. Включим SNMP, но только read only (RO) и доступность только с хоста 192.168.1.1
c2950(config)# snmp-server community RO-MY-COMPANY-NAME RO
c2950(config)# snmp-server trap-source Vlan1
c2950(config)# snmp-server source-interface informs Vlan1
c2950(config)# snmp-server location SWITCH-LOCATION
c2950(config)# snmp-server contact [email protected]
c2950(config)# snmp-server host 192.168.1.1 RO-MY-COMPANY-NAME
c2950# copy running-config startup-config
или вот так
Подробнее инфу можно найти здесь: www.cisco.com
23. Если необходимо включить на девайсе ssh, чтобы подключаться к cisco по ssh (если это позволяет установленный IOS), то выполним следующее.