Руководство по настройке коммутатора

В этой статье мы рассмотрим основные аспекты первоначальной настройки коммутаторов SNR. Будет продемонстрировано выполнение одинаковых действий через CLI (Command Line Interface) и через WEB-интерфейс.

Доступ к коммутатору с заводскими настройками

В консольном режиме

Для связи с коммутатором через консольный порт на ПК необходимо выполнить следующие действия:

  • Соединить Serial-порт ПК с портом Console коммутатора консольным кабелем, идущим в комплекте с коммутатором;
  • Запустить программу эмуляции терминала (Putty, Minicom, HyperTerminal) и произвести следующие настройки:
    • Выбрать соответствующий Serial-порт компьютера ;
    • Установить скорость передачи данных 9600;
    • Задать формат данных: 8 бит данных, 1 стоповый бит, без контроля четности;
    • Отключить аппаратное и программное управление потоком данных.
  • Включить питание коммутатора.

Важно!

Для серий S2995G и S3850G используется скорость передачи данных 115200 бод.

В режиме WEB-интерфейса

По умолчанию коммутатор имеет IP-адрес 192.168.1.1. Чтобы подключиться к его WEB-интерфейсу, назначьте сетевой карте ПК IP-адрес из этого же диапазона (например 192.168.1.2), подключите сетевой провод в один из Ethernet-портов коммутатора и введите в адресной строке браузера 192.168.1.1. В качестве имени пользователя и пароля используйте admin/admin.

Правила работы с CLI

Чтобы эффективно работать с консолью коммутатора, необходимо запомнить несколько вещей:

  • Без достаточных прав вы попадаете в урезанный режим работы, о чем сигнализирует приглашение ко вводу команд с символом ‘>’ в конце строки. В основном он используется для просмотра конфигурации коммутатора. Чтобы попасть в привилегированный режим, введите команду ‘enable’;
  • В привилегированном режиме вы имеете доступ ко всем возможностям настройки устройства, доступны все команды. Приглашение ко вводу выглядит с символом ‘#’;
  • Изменение настроек коммутатора осуществляется через вход в режим глобальной конфигурации, командой ‘config’. Приглашение ко вводу выглядит так — ‘(config)#’;
  • Выход из текущего режима конфигурирования в нижестоящий режим осуществляется командой ‘exit’;
  • Чтобы изменения конфигурации имели силу после перезагрузки, их необходимо записать командой ‘write’ либо ‘copy running-config startup-config’ в привилегированном режиме;
  • При вводе команды можно использовать табуляцию с помощью TAB, чтобы вывести все допустимые варианты продолжения команды;
  • Клавиши ‘↑’ и ‘↓’ используются для перемещения по ранее введенным командам.

Изменить IP-адрес по умолчанию

Первоначально коммутатор имеет только интерфейс во VLAN 1, куда попадает весь нетегированный трафик. Изменить IP-адрес можно следующим образом:

В консольном режиме
switch#conf
switch(config)#int vlan1
switch(config-if-vlan1)#ip add 192.168.1.100 255.255.255.0
В режиме WEB-интерфейса
  • Port configuration -> VLAN interface configuration -> L3 interface IP address mode configuration

Важно!

После окончания конфигурирования коммутатора через WEB не забывайте нажать ‘Save and Exit’,  иначе все изменения потеряются после перезагрузки.

Создать VLAN, назначить его на порт и добавить L3-интерфейс в этом VLAN

В консольном режиме
switch(config)#vlan 2
switch(config-vlan2)#switchport interface e1/0/2
switch(config-vlan2)#exit
switch(config)#int vlan2
switch(config-if-vlan2)#ip add 192.168.2.100 255.255.255.0
В режиме WEB-интерфейса
  • Создать VLAN: VLAN configuration -> VLAN configuration -> Create/Remove VLAN -> VLAN ID configuration;
  • Назначить на порт: VLAN configuration -> VLAN configuration -> Assign ports for VLAN -> Assign ports for VLAN;
  • Создать L3-интерфейс: Port configuration -> VLAN interface configuration -> Add interface VLAN;
  • Назначить IP-адрес: Port configuration -> VLAN interface configuration -> L3 interface IP address mode configuration.

Ограничить скорость порта

Ограничим входящую и исходящую скорость порта 2 до 100 Мбит/сек:

В консольном режиме
switch(config)#int e1/0/2
switch(config-if-ethernet1/0/2)#bandwidth control 100000 both
В режиме WEB-интерфейса
  • Port configuration -> Ethernet port configuration -> Bandwidth control configuration

Настроить транковый Uplink-порт

Для того чтобы тегированный абонентский трафик мог проходить сквозь коммутатор, настроим оптический порт 9, как транковый порт и разрешим на нем трафик только VLAN 2:

В консольном режиме
switch(config-if-ethernet1/0/9)#switchport mode trunk 
switch(config-if-ethernet1/0/9)#switchport trunk allowed vlan 2
В режиме WEB-интерфейса
  • Задать режим порта: VLAN configuration -> VLAN configuration -> Port type configuration -> Set port mode(access/hybrid/trunk)
  • Задать разрешенный VLAN: VLAN configuration -> VLAN configuration -> Trunk port configuration -> VLAN setting for trunk port

Добавить нового пользователя, удалить старого, изменить пароль

В целях безопасности рекомендуется или изменить пароль по умолчанию для учетной записи ‘admin’, либо удалить ее и создать новую. Создадим пользователя ‘nag’, удалим пользователя ‘admin’ и поменяем пароль для новой учетной записи:

В консольном режиме
(config)#username nag privilege 15 password nag
(config)#no username admin
(config)#username nag password nagnag
В режиме WEB-интерфейса
  • Switch basic configuration -> Switch basic configuration -> Login user configuration

Управление доступом к коммутатору

По умолчанию на коммутаторах SNR открыт доступ по Telnet и HTTP протоколам. Хорошим тоном является использование SSH вместо Telnet, т.к. последний передает данные в открытом виде. Также можно отключить доступ по HTTP:

В консольном режиме
(config)#ssh-server enable
(config)#no telnet-server enable
(config)#no ip http server
В режиме WEB-интерфейса
  • Switch basic configuration -> SSH management -> Switch on-off SSH
  • Switch basic configuration -> Telnet server configuration -> Telnet server state
  • SSL config -> IP HTTP server configuration

Обновление ПО коммутатора через HTTP

Вы можете обновить NOS через веб-интерфейс коммутатора не прибегая к использованию TFTP/FTP-сервера. Boot-загрузчик таким образом обновить нельзя. После успешного завершения загрузки образа ПО не забудьте перезагрузить коммутатор.

  • Switch basic configuration -> Firmware update -> HTTP service
  • Switch basic configuration -> Switch basic configuration -> Save current running-configuration

Примечание

Все возможные способы обновления ПО на коммутаторах SNR описаны в профильной статье.

2.1. Базовая конфигурация

Базовые настройки коммутатора включают в себя команды для входа/выхода из admin режима, конфигурации и просмотра времени, вывода базовой информации о коммутаторе.

Команда

Описание

Режимы User и Admin

enable [<1-15>]

disable

Команда enable предназначена для перехода из User в Admin режим, либо для смены уровня привилегий у текущего пользователя.

Команда disable служит для выхода из режима Admin.

Admin режим

config [terminal]

Переход в режим глобального конфигурирования (Global) из режима Admin.

Все режимы

exit

Выход из текущего режима конфигурирования в нижестоящий режим. Например из Global режима в Admin.

show privilege

Вывод текущего уровня привилегий пользователя.

Все режимы за исключением User и Admin

end

Выход из текущего режима конфигурирования и возврат в Admin режим.

Admin режим

clock set <HH:MM:SS> [YYYY.MM.DD]

Установка системной даты и времени.

show version

Вывод информации о коммутаторе.

set default

Сброс текущей конфигурации к конфигурации по умолчанию.

write

Сохранение текущей конфигурации коммутатора на Flash память.

reload

Перезагрузка коммутатора.

show cpu usage

Вывод информации о свободных ресурсах CPU.

show cpu utilization

Вывод информации о текущей загрузке CPU.

show memory usage

Вывод информации о текущей утилизации ОЗУ коммутатора.

Global режим

banner motd <LINE>

no banner motd

Настройка информации, отображающейся при входе пользователя на коммутатор.

web-auth privilege <1-15>

no web-auth privilege

Настройка уровня привилегий для WEB-интерфейса коммутатора.

2.2. Telnet

2.2.1. Обзор протокола Telnet

Telnet — это простой протокол для доступа к удаленному терминалу. Используя Telnet пользователь может удаленно зайти на оборудование зная его IP-адрес или доменное имя. Telnet может отправлять введенную пользователем информацию на удаленный хост и выводить ответы хоста на терминал пользователя аналогично тому что пользователь подключен напрямую к оборудованию.
Telnet работает Клиент-Серверной технологии, на локальной системе работает Telnet клиент, а на удаленном хосте Telnet server. Коммутатор может работать как в роли Telnet сервера, так и в роли Telnet клиента. При работе коммутатора в роли Telnet сервера, пользователи могут удаленно заходить на него используя Telnet клиент, как было описано ранее в разделе In-band управления.

Используя коммутатор в качестве Telnet клиента пользователь может удаленно заходить на другие хосты.

2.2.2. Настройка Telnet

1. Настройте Telnet сервер на коммутаторе
2. Зайдите на коммутатор с удаленного терминала

Использование Telnet-клиента на коммутаторе

Команда

Описание

telnet [vrf <vrf-name>] {<ip-addr> | <ipv6-addr> | host <hostname>} [<port>]

! В Admin режиме

Подключение к удаленному терминалу по протоколу Telnet

vrf <vrf-name> — имя VRF (не поддерживается на коммутаторах SNR-S2965/2985)

ip-addr — ipv4-адрес удаленного терминала

ipv6-addr ipv6-адрес удаленного терминала

hostname — доменное имя удаленного терминала

port — TCP порт для подключения (по умолчанию 23)

2.3. SSH

2.3.1. Настройка SSH сервера на коммутаторе

Команда

Описание

ssh-server enable

no ssh-server enable

! В режиме глобальной конфигурации

Включение SSH сервера на коммутаторе

Отключение SSH сервера на коммутаторе

ssh-server timeout <timeout>

no ssh-server timeout

! В режиме глобальной конфигурации

Настройка таймаута аутентификации при подключении по SSH

Настройка значения таймаута аутентификации по умолчанию

ssh-server authentication-retires <authentication-retires>

no ssh-server authentication-retries

! В режиме глобальной конфигурации

Настройка ограничения количества попыток аутентификации при подключении к SSH

Сброс ограничения количества попыток аутентификации к значению по умолчанию.

ssh-server host-key create rsa [modulus <moduls>]

! В режиме глобальной конфигурации

Генерация ключа RSA

<moduls> — длина модуля ключа

2.4. Настройка IP-адреса коммутатора

Хотя коммутаторы серий SNR-S2965 и SNR-S2985G являются оборудованием уровня 2, на них есть возможность создать VLAN интерфейс (SVI) третьего уровня (L3) с IP-адресом, который также является IP-адресом для управления коммутатором.
Поддерживается три варианта назначения IP-адреса коммутатору:

  • Статический

  • BOOTP

  • DHCP

Статический IP-адрес настраивается вручную на коммутаторе.

В режиме BOOTP/DHCP, коммутатор работает в роли BOOTP или DHCP клиента и получает IP-адрес динамически от BOOTP/DHCP сервера. Также коммутатор может сам выступать в роли DHCP сервера, динамически раздавая адреса подключенному оборудованию.

Настройка DHCP сервера будет рассмотрена позже.

2.4.1. Настройка IP-адреса на коммутаторе

1. Создание VLAN интерфейса на коммутаторе
2. Статическая настройка IP-адреса
3. Динамическое получение IP-адреса по протоколу BOOTP
4. Динамическое получение IP-адреса по протоколу DHCP

          1. Создание VLAN интерфейса на коммутаторе

Команда

Описание

interface vlan <vlan-id>
no interface vlan <vlan-id>

! В режиме глобальной конфигурации

Создание L3 интерфейса в Vlan <vlan-id>
Удаление L3 интерфейса в Vlan <vlan-id>

            2. Статическая настройка IP-адреса

Команда

Описание

ip address <ip_address> <mask> [secondary]

no ip address <ip_address> <mask> [secondary]

! В режиме конфигурации Interface VLAN

Настройка статического IPv4-адреса <ip_address> с маской <mask> на Vlan интерфейсе.

secondary — ip-адрес будет добавлен на интерфейс как дополнительный (secondary)

Удаление статического ip-адреса с интерфейса

ipv6 address [<prefix-name>] <ipv6-address/prefix-length>

[eui-64]

no ipv6 address <ipv6-address/prefix-length>

! В режиме конфигурации Interface VLAN

Настройка статического IPv6-адреса <ipv6_address/prefix>

eui-64 — использовать EUI-64 для формирования IPv6 адреса

Удаление статического IPv6-адреса с интерфейса

              3. Динамическое получение IP-адреса по протоколу BOOTP

Команда

Описание

ip bootp-client enable

no ip bootp-client enable

! В режиме конфигурации Interface VLAN

Включить BOOTP клиент на Interface Vlan

Отключить BOOTP клиент на Interface Vlan

             4. Динамическое получение IP-адреса по протоколу DHCP

Команда

Описание

ip dhcp-client enable

no ip dhcp-client enable

! В режиме конфигурации Interface VLAN

Включить DHCP клиент на Interface Vlan

Отключить DHCP клиент на Interface Vlan


2.5. Настройка SNMP

2.5.1. Описание протокола SNMP

SNMP (Simple Network Management Protocol) — стандартный протокол, который широко используется для управления сетевыми устройствами. SNMP протокол работает по технологии клиент-сервер. В роли сервера выступает SNMP Агент, которые работает на управляемых устройствах, например коммутаторах. В роли клиента NMS (Network Management Station) — станция управления сетью. На коммутаторах SNR поддерживается только функции SNMP агента.
Обмен информацией между NMS и SNMP агентом осуществляется путем отправки стандартизированных сообщений. В SNMP определены 7 типов сообщений:

  • Get-Request

  • Get-Response

  • Get-Next-Request

  • Get-Bulk-Request

  • Set-Request

  • Trap

  • Inform-Request

NMS может посылать следующие сообщения Агенту: Get-Request, Get-Next-Request, Get-Bulk-Request и Set-Request. Агент отвечает сообщением Get-Response. Так-же Агент может отсылать Trap сообщения на NMS для информирования о событиях, например UP/DOWN порта и.т.п. Сообщение Inform-Request используется для обмена информацией между NMS.

2.5.2. Описание MIB

Формат сообщений которыми обмениваются NMS и SNMP Агент описан в Management Information Base (MIB). Информация в MIB организована в виде иерархической древовидной структуры. Каждая запись содержит OID (Object IDentifier) и короткое описание. OID состоит из набора чисел разделенных точками. Он определяет объект и его положение в дереве MIB как показано на рисунке.

Рисунок 2.1 — Древовидная структура MIB

Как показано на рисунке, OID объекта A — 1.2.1.1. NMS зная этот OID может получить значения данного объекта. Таким образом в MIB определяется набор стандартных объектов для управляемых устройств.Для просмотра базы MIB можно использовать специализированное ПО называемое MIB Browser.
MIB разделяются на публичные (public) и частные (private). Public MIB определяются RFC и являются общими для всех поддерживающих их Агентов, например MIB для управления интерфейсами — IF-MIB определенный в RFC 2863. Private MIB создаются производителями оборудования и соответственно поддерживаются только на оборудовании данного производителя.
SNMP агент на коммутаторах SNR поддерживает основные публичные MIB, такие как MIB-II, IF-MIB, BRIDGE-MIB и др. а также Private SNR MIB.

2.5.3. Описание RMON

RMON это расширение стандарта SNMP. База RMON MIB обладает улучшенным набором свойств для удаленного управления, так как содержит агрегированную информацию об устройстве, не требующую передачи по сети больших объемов информации. Объекты RMON MIB включают дополнительные счетчики ошибок в пакетах, более гибкие средства анализа трендов и статистики, более мощные средства фильтрации для захвата и анализа отдельных пакетов, а также более сложные условия установления сигналов предупреждения. Агенты RMON MIB более интеллектуальны по сравнению с агентами MIB-I или MIB-II и выполняют значительную часть работы по обработке информации об устройстве, которую раньше выполняли менеджеры.
RMON содержит 10 групп. Коммутаторы SNR поддерживают наиболее часто используемые группы 1,2,3 и 9:

  • Statistics — текущие накопленные статистические данные о характеристиках пакетов, количестве коллизий и т. п.

  • History — статистические данные, сохраненные через определенные промежутки времени для последующего анализа тенденций их изменений.

  • Alarms — пороговые значения статистических показателей, при превышении которых агент RMON посылает сообщение менеджеру.

  • Event — условия регистрации и генерации событий.

Группы Alarm и Event позволяют отслеживать изменения любых количественных показателей в сети и оповещать при их превышении.

2.5.4. Настройка SNMP

            1. Включение/отключение SNMP агента

Команда

Описание

snmp-server enable

no snmp-server enable

! В режиме глобальной конфигурации

Включение SNMP Агента на коммутаторе

Отключение SNMP Агента на коммутаторе

           
             2. Настройка SNMP community

Команда

Описание

snmp-server community {ro | rw} {0 | 7} <string> [access {<num-std>|<name>}] [ipv6-access {<ipv6-num-std>|<ipv6-name>}] [read <read-view-name>] [write <write-view-name>]

no snmp-server community <string> [access {<num-std>|<name>}] [ipv6-access {<ipv6-num-std>|<ipv6-name>}]

!  В режиме глобальной конфигурации

Настройка SNMP community

ro — только чтение

rw — чтение и запись

0 — community в открытом виде

7 — community в зашифрованном виде

<string> — SNMP community

<num-std>|<name> — номер или имя IP ACL со списком разрешенных адресов для данного community

<ipv6-num-std>|<ipv6-name> номер или имя IPv6 ACL со списком разрешенных адресов для данного community

<read-view-name> — Имя SNMP View для чтения

<write-view-name> имя SNMP View для чтения и записи

Удаление SNMP community

               3. Настройка ограничения доступа к SNMP серверу

Команда

Описание

snmp-server securityip enable

snmp-server securityip disable

!  В режиме глобальной конфигурации

Включение ограничения доступа к SNMP серверу

Отключение ограничения доступа к SNMP серверу

snmp-server securityip {<ipv4-address>|<ipv6-address> }

no snmp-server securityip {<ipv4-address>|<ipv6-address> }

!  В режиме глобальной конфигурации

Добавление адреса <ipv4-address>|<ipv6-address> к списку разрешенных адресов для доступа к SNMP серверу

Удаление <ipv4-address>|<ipv6-address> из списка разрешенных адресов для доступа к SNMP серверу

                4. Настройка engine ID

Команда

Описание

snmp-server engineid <engine-string>

no snmp-server engineid

!  В режиме глобальной конфигурации

Настройка engine-id <engine-string> для SNMPv3 сервера

Отмена engine-id

                5. Настройка пользователя SNMP

Команда

Описание

snmp-server user <user-string> <group-string> [{authPriv {3des|aes|des} <key> | authNoPriv } auth {md5 | sha} <pass>] [access {<num-std>|<name>}] [ipv6-access {<ipv6-num-std>|<ipv6-name>}]

no snmp-server user <user-string> [access {<num-std>|<name>}] [ipv6-access {<ipv6-num-std>|<ipv6-name>}]

!  В режиме глобальной конфигурации

Добавление пользователя в группу SNMP

<user-string> — имя пользователя

<group-string> — имя SNMP группы

authPriv — использовать шифрование данных 3des|aes|des

<key> — ключ

authNoPriv — Не использовать шифрование данных

auth {md5 | sha} — использовать аутентификацию md5 или sha

<pass> — пароль

<num-std>|<name> — номер или имя IP ACL со списком разрешенных адресов для данного пользователя

<ipv6-num-std>|<ipv6-name> номер или имя IPv6 ACL со списком разрешенных адресов для данного пользователя

Удаление SNMP пользователя либо ограничения доступа пользователя по ACL

                6. Настройка SNMP группы

Команда

Описание

snmp-server group <group-string> {noauthnopriv|authnopriv|authpriv} [[read <read-string>] [write <write-string>] [notify <notify-string>]] [access {<num-std>|<name>}] [ipv6-access <ipv6-num-std>|<ipv6-name>}]

no snmp-server group <group-string> {noauthnopriv|authnopriv|authpriv} [access {<num-std>|<name>}] [ipv6-access <ipv6-num-std>|<ipv6-name>

! В режиме глобальной конфигурации

Создание SNMP группы

<group-string> — имя группы

noauthnopriv — без шифрования паролей и данных

authnopriv — шифрование паролей без шифрования данных

authpriv — шифрование и паролей и данных

<read-string> — имя SNMP View с доступом только на чтение

<write-string> — имя SNMP View с доступом на чтение и запись

<notify-string> — имя SNMP View с правами на уведомления

<num-std>|<name> — номер или имя IP ACL со списком разрешенных адресов для данной группы

<ipv6-num-std>|<ipv6-name> номер или имя IPv6 ACL со списком разрешенных адресов для данной группы

Удаление группы SNMP <group-string> либо ограничения доступа по ACL для группы

                  7. Настройка SNMP View

Команда

Описание

snmp-server view <view-string> <oid-string> {include|exclude}

no snmp-server view <view-string> [<oid-string>]

!  В режиме глобальной конфигурации

Настройка SNMP View

<view-string> — имя SNMP View

<oid-string> — OID

include — добавить OID в View

exclude — исключить OID из View

Удаление SNMP View <view-string> либо отмена настройки <oid-string> для данного SNMP View

                  8. Настройка SNMP TRAP

Команда

Описание

snmp-server enable traps

no snmp-server enable traps

! В режиме глобальной конфигурации

Глобальное включение SNMP Trap

Отключение SNMP Trap

snmp-server host {<host-ipv4-address> | <host-ipv6-address>} {v1|v2c| {v3 {noauthnopriv | authnopriv | authpriv}}} <string>

no snmp-server host {<host-ipv4-address> | <host-ipv6-address> } {v1 | v2c | {v3 {noauthnopriv | authnopriv | authpriv}}} <string>

!  В режиме глобальной конфигурации

Настройка ipv4/ipv6 адреса <host-ipv4-address>/<host-ipv6-address> на который будут отсылаться Trap сообщения

v1|v2c|v3 — Версия SNMP Trap

noauthnopriv|authnopriv|authpriv — настройки шифрования (только для SNMPv3)

<string> — community (для SNMPv1/v2c); имя пользователя для SNMPv3

Удаление ipv4/ipv6 адреса для отправки Trap сообщения с community <string>

snmp-server trap-source {<ipv4-address> | <ipv6-address>}

no snmp-server trap-source {<ipv4-address> | <ipv6-address>}

!  В режиме глобальной конфигурации

Настройка ipv4/ipv6 адреса коммутатора для отправки SNMP Trap сообщений

Отмена настройки ipv4/ipv6 адреса коммутатора для отправки SNMP Trap сообщений

[no] switchport updown notification enable

!  В режиме конфигурации порта

Включение/отключение отсылки трапов при изменении статуса порта UP/Down.

По умолчанию вкл.

                  9. Включение/отключение RMON

Команда

Описание

rmon enable

no rmon enable

!  В режиме глобальной конфигурации

Включить RMON

Отключить RMON


2.5.5. Примеры настройки SNMP

Во всех примерах IP-адрес NMS — 1.1.1.5, ip-адрес SNMP-агента (коммутатора) 1.1.1.9.

Сценарий 1: NMS используется для получения данных через SNMP с коммутатора.

Switch(config)#snmp-server enable
Switch(config)#snmp-server community rw private
Switch(config)#snmp-server community ro public
Switch(config)#snmp-server securityip 1.1.1.5
NMS использует SNMP community public с правами только на чтение, community private имеет права на чтение и запись.

Сценарий 2: NMS используется для получения SNMP Trap с коммутатора c community usertrap

Switch(config)#snmp-server enable
Switch(config)#snmp-server host 1.1.1.5 v1 usertrap
Switch(config)#snmp-server enable traps

Сценарий 3:NMS использует SNMPv3 для получения данных с коммутатора с пользователем tester, паролем hellotst и доступом на чтение, запись и уведомления на всю ветку OID с .1.

Switch(config)#snmp-server enable
Switch(config)#snmp-server user tester UserGroup authnoPriv auth md5 hellotst
Switch(config)#snmp-server group UserGroup AuthnoPriv read max write max notify max
Switch(config)#snmp-server view max 1 include

2.5.6. SNMP Troubleshooting

При возникновении проблем с получением или отправкой данных с SNMP сервера на коммутатор проверьте следующие пункты:

  • Соединение между SNMP сервером и коммутатором утилитой ping

  • На коммутаторе включен SNMP агент (команда sh snmp status)

  • IP-адрес NMS правильно сконфигурирован в команде snmp-server securityip

  • SNMP Community для SNMPv1/v2 или аутентификация для SNMPv3 правильно сконфигурирована и совпадает с конфигурацией на NMS.

  • Используя команду sh snmp проверьте что коммутатор получает и отправляет пакеты. Также можно использовать команду debug snmp packet для вывода отладочной информации о работе SNMP агента.

Пошаговое руководство по выполнению наиболее типовых задач, связанных с обслуживанием коммутаторов Cisco Catalyst 2950. А именно: настройка VLAN, сброс пароля, переустановка повреждённой операционной системы Cisco IOS. Подробно рассмотрен вопрос подключения, в том числе через com-порт.

Данная статья является продолжением Основы TCP/IP для будущих дилетантов, где я рассказывал о теоретических основах построения ЛВС. Как и прошлая статья, эта — рассчитана на новичков в области.

Подключение к коммутатору

Для того, что бы выполнить какую либо настройку коммутатора, к нему надо подключиться с персонального компьютера или ноут-бука. Есть два вида подключения — через com порт или через web интерфейс.

Подключение через com порт

Для подключения через com порт вам понадобится «консольный провод». Это, как правило, голубой плоский провод. Он должен идти в комплекте с коммутатором. Один конец провода подсоединяется к com порту вашего ПК (у ноутбуков, как правило, нет com порта; конечно, если вы не носите с собой док-станцию). Этот конец называется DB-9. Другой конец вставляете в место для подключения к коммутатору через консоль. Где именно оно находится — сказать невозможно, это зависит от конкретной модели. Но, как правило, оно подписано соответствующим образом, и находится на задней панели коммутатора. Место для подключения консоли выглядит так же, как обычный 10mb/100mb порт на коммутаторе. Коннектор (т.е. наконечник) на другом конце консольного провода, как и коннектор для витой пары, называется RJ-45. Таким образом, читая документацию, вы можете увидеть такое определение: RJ-45 — to DB-9. Так иногда обозначают консольный провод. Подключение этого провода недолжно вызвать у вас каких либо затруднений, т.к. запутаться или вставить провод не туда практически невозможно.

Далее вам надо запустить терминал. Нажмите Пуск->Выполнить и напишите hypertrm (ОС Windows). В появившимся окне напишите любое имя соединения и нажмите Enter. Далее нажмите на кнопку «стандартные настройки» и выберите com порт, к которому подключили консольный провод. При этом коммутатор должен быть выключен. Если вы его не выключили, сделайте это сейчас. Затем нажмите кнопку ОК. И после чего включите питание коммутатора. Через несколько секунд вам на консоль начнёт выводиться информация о ходе загрузки операционной системы коммутатора. Но можно (а иногда и нужно) включить коммутатор без загрузки операционной системы, а войти в bootloader и загрузить систему вручную. Подробнее об этом читайте в пункте Установка ОС IOS. Теперь вам придётся немного подождать пока операционная система распакуется, flash память инициализируется и система загрузится. Затем на консоль выведется приглашение, после чего надо подождать ещё секунд 10 (зависит от модели коммутатора). И после всего этого вы наконец получаете консоль управления, в которой можете набирать команды, тем самым осуществляя настройку коммутатора. Функциональность коммутатора очень большая, и чем младше модель тем больше функциональность. Объяснение всех функций выходит за рамки этого файла помощи. Здесь вы можете научится использовать одну из самых главных функций коммутатора — настройка VLAN-ов. Подробнее читайте пункты VLAN-ы, теория и VLAN-ы, практика.

Возможно, процесс подключения может показаться вам долгим и неудобным, но на практике он занимает не более двух минут вместе с подсоединением консольного провода. После того, как вы выполните все выше написанные действия, первая команда, которую надо ввести коммутатору — enable. Эта команда дает вам права администратора коммутатора, и вам становится доступен полный набор команд, которыми надо производить настройку. Но, после набора команды enable коммутатор может спросить у вас пароль. Если вы не знаете пароль и вам не у кого его спросить, то пароль надо сбросить. В дальнейшем, так же как и пароль, можно сбросить и все настройки, если они были неудачными. Об этом вы можете подробнее прочитать в пункте Восстановление забытого пароля. Если настройки уже сброшены, то коммутатор, после загрузки ОС, задаст вам несколько вопросов, касающихся основных настроек. Если у вас не возникает сложности с чтением технической литературы на английском языке, то это не должно составить для вас проблему. Но замечу, что на второй вопрос, про managment надо ответить no.

Если же операционная система не загрузилась, вероятно, вам придётся её переустановить. Подробнее об этом читайте в пункте Установка ОС IOS. Но учтите, что не загрузиться без явных на то причин она не могла. Если вы не уверены в том, что делаете, то не стоит выполнять указания из пункта по установке ОС IOS. Всё таки лучше обратиться к специалисту, хотя бы для того, что бы выявить причину, по которой не загружается ОС. Такой случай можно считать экстренным. В переустановке ОС на коммутатор нет ничего сложного, но, повторюсь, что без явной на то причины ОС не могла выйти из стоя. Так же предупрежу вас, что существуют такие ситуации, после которых коммутатор невозможно починить в «домашних» условиях, и его придётся вести в сервис, внеся кругленькую сумму за ремонт. Если вы не уверены в том, что делаете, вы можете случайно ввести коммутатор в такое состояние.

Подключение через web интерфейс

Если коммутатор уже включён, вы можете подсоединиться к нему через web интерфейс. Для этого вам надо подключить ваш ПК или ноутбук к порту коммутатора обычной витой парой (пачкордом). Хотя это не всегда возможно, в зависимости от модели коммутатора, от его местонахождения и от имеющихся на нём настроек (web интерфейс может быть запрещён/отключён). Для подключения по web интерфейсу вам необходимо знать ip адрес коммутатора (точнее ip адрес, при обращении на который коммутатор выдаёт web интерфейс), и порт, на который надо подключиться.

Если вы этого не знаете, то вам надо загрузить коммутатор через com порт, как описано выше, удалить/переименовать файл конфигурации, если он есть, и пройти первичную настройку коммутатора, в ходе которой вам будет задан вопрос об ip адресе, заходя на который обычным броурезом с вашего ПК, вы получите web интерфейс коммутатора.

После того, как вы зайдёте на web интерфейс коммутатора, вы можете управлять им двумя способами. Первый: нажимать соответствующие кнопки, предоставляемые интерфейсом. Второй: обычным набором команд, вызвав через web интерфейс Telnet консоль.

Замечу, что некоторые версии операционной системы коммутатора работают не со всеми броузерами. Так же вам может потребоваться java2 sdk (jdk) определённой версии.

VLAN-ы, практика

Предполагается, что у вас уже есть доступ к веб интерфейсу или консоли телнета коммутатора. Настройка через графическую консоль осуществляется по разному, в зависимости от версии операционной системы. Но принцип всегда один и тот же. Здесь будет показан частный случай настройки VLAN через веб-интерфейс операционной системы IOS 12.1.

Настройка VLAN через веб-интерфейс

Внимание! При установке порта, через который вы управляете коммутатором, в не интерфейсный vlan (по умолчанию это vlan 1), соединение с коммутатором будет прервано. После входа на веб-интерфейс, нажмите на Smartports в меню интерфейса. Затем выберите порты, которые будут использоваться в работе и нажмите кнопку Customize, как показано на рисунке:

Затем напишите номер VLAN-а, которому должен принадлежать порт, и нажмите кнопку «done». Если такого VLAN-а не существует, он автоматически создастся, не задавая каких либо вопросов. К примеру, вы можете поставить порты 1, 2 и 3 в VLAN номер 1, а порты 18 и 20 в VLAN номер 37. Установите нужным портам нужный вам VLAN как показано на рисунке:

Затем нажмите кнопку «submit» (внизу страницы) для вступления изменений в силу.

Настройка VLAN через консоль

  • Войдите в привилегированный режим командой enable.
  • Войдите в базу данных vlan-ов: vlan database.
  • Командой ? вы можете посмотреть, какие команды можно делать в базе данных vlan-ов.
  • Командой vlan 200 вы создадите и активизируете новый vlan. 200 — это номер vlan-а. Здесь может быть любая цифра от 1 до 1005.
  • show покажет вам имеющиеся vlan-ы и информацию о них.
  • Команда no делает обратное действие команды, идущей после неё. Например, no vlan 200 удалит vlan с идентификационным номером 200.
  • Теперь пишем команду exit и выходим и базы данных vlan-ов. Теперь нам надо добавить нужный нам порт в нужный нам vlan.
  • Для этого войдите в режим конфигурации, командой configure. На вопрос, что конфигурировать, ответьте terminal.
  • Затем выберите нужный вам порт командой interface FastEthernet 0/17, где 17 — это номер порта.
  • Вы попадаете в режим конфигурации порта. Так же, что бы посмотреть свои возможности, наберите команду ?.
  • Для пролистывания вывода на строку нажимайте любую кнопку, на экран — пробел, прервать вывод списка информации на монитор — Ctrl + z или Ctrl + c.
  • Затем командой switchport access vlan 200 устанавливаем порт в нужный нам vlan. 200 — номер vlan-а.
  • После выхода из режима конфигурации, командой show vlan просмотрите результат проделанных действий.

Теперь можете подключить в соответствующие порты персональные компьютеры, и командой ping убедится, что они находятся поштучно в разных сетях, так, как вы настроили vlan.

Восстановление забытого пароля

Если вы не знаете пароль к коммутатору, то его нужно сбросить. Для этого выполните следующие действия:

Подключитесь к коммутатору через консоль. Как это сделать — подробно описано в пункте Подключение к коммутатору. Но на этот раз подключаться надо немного по-другому. Нам надо зайти в bootloader. Для этого, перед включением питания коммутатора, нажмите и удерживайте кнопку «mode» (кнопка на передней панели, слева, обычно подписана). Включайте питание удерживая это кнопку, и держите её до тех пор, пока вы не увидите на консоли приглашение bootloader-а. Это должно произойти через несколько секунд после включения питания.

От сюда вы можете управлять файлами во флеш памяти коммутатора. Но перед этим её надо инициализировать. Для этого наберите команду flash_init. После этого вы можете просматривать, копировать, удалять файлы и каталоги из памяти. Команды для этого почти такие же, как в операционной системе MS-DOC. Для того, что бы просмотреть содержимое флэш памяти, наберите команду dir flash: Замечу, что если в MS_DOC вы бы набирали «C:» или «D:», то тут надо набирать «flash:», т.е. знак «» не нужен. После набора этой команды, вы должны увидеть примерно следующее:

Directory of flash:/
  3  drwx       10176   Mar 01 2001 00:04:34  html
  6  -rwx        2343   Mar 01 2001 03:18:16  config.text
171  -rwx     1667997   Mar 01 2001 00:02:39  c2950-i6q412-mz.121-9.EA1.bin
  7  -rwx        3060   Mar 01 2001 00:14:20  vlan.dat
172  -rwx         100   Mar 01 2001 00:02:54  env_vars
 
7741440 bytes total (3884509 bytes free)

Здесь, html — это каталог, в котором находится web интерфейс. config.text — фийл, в котором хранятся все настройки коммутатора, в том числе и пароль. c2950-i6q412-mz.121-9.EA1.bin — операционная система коммутатора. Зависит от серии коммутатора. vlan.dat — здесь хранятся настройки vlan-ов. env_vars — файл с переменными окружения. Однажды, вам может понадобиться этот файл при установке операционной системы на отформатированную флэш-память коммутатора. Об этом читайте подробнее в пункте Установка ОС IOS.

Далее, переименуйте конфигурационный файл, если он вам понадобится в будущем, или, если настройки коммутатора не нужны, просто удалите его. Для переименования, команда, соответственно, такая: rename flash:config.text flash:config.text.old. Для удаления delete flash:config.text. Далее загружаем операционную систему либо выключением и повторным включением питания, либо командой reset либо командой boot. Последнее предпочтительнее.

После загрузки, операционная система задаст вам вопрос: «Continue with the configuration dialog? [yes/no]:». Если файл конфигурации вам не нужен, и на предыдущем шаге вы его удалили, то ответьте Y. И на этом можно закончить чтение этого пункта, поскольку в процессе предварительной настройки, коммутатор спросит вас, какой пароль установить. Если файл конфигурации содержит множество настроек, которые стабильно работали на производстве, и на предыдущем шаге вы его переименовали, ответьте N.

Далее, войдите в привилегированный режим командой enable. Пароль коммутатор спрашивать не будет. Затем переименуйте файл конфигурации обратно, командой rename flash:config.text.old flash:config.text. Теперь примените настройки из этого файла к текущей настройке коммутатора и установите новый пароль:

switch# copy flash:config.text system:running-config
Source filename [config.text]?
Destination filename [running-config]?

switch# config terminal
switch(config)# enable secret <password>
switch(config)# enable password <password>
switch(config)# exit
switch#

switch# copy running-config startup-config

Это всё. Теперь, при входе на коммутатор и вводе команды enable, правильным паролем будет являться тот, который вы ввели в место «<password>» на предыдущем шаге.

Установка ОС IOS

Коммутаторы серии Cisco Catalyst и многие другие коммутаторы работают под управлением операционной системы IOS. Эта ОС представляет из себя один файл, размером 1,5 — 4,0 мегабайта, в зависимости от версии коммутатора. Каждая версия IOS предназначена лишь для одной серии коммутаторов. Серия коммутаторов может состоять из множества коммутаторов. Ниже изображено несколько коммутаторов серии Catalyst 2950:

Операционная система IOS для коммутаторов серии Cat2950 будет работать на всех изображённых коммутаторах. Но, хотя, в данной серии, есть исключение — это LRE (Long Reach Ethernet) коммутатор. Для него нужна другая версия IOS. Имена файлов операционных систем выглядят примерно так: c2950lre-i6k2l2q4-mz.121-22.EA7.bin. Это как раз IOS для последнего из изображённых коммутаторов. Как можно заметить, после цифр «2950» идут буквы «lre». Операционная система распространяется в виде бинарного файла и, в большинстве случаев, в виде *.tar архива. В архиве лежит этот же бинарный файл, а так же каталог html, в котором находится web интерфейс коммутатора. Операционная система должна прилагаться к коммутатору. Но если прилагаемый диск с ОС утерян, или вы хотите обновить ОС, то вам придётся её скачать. Скачать IOS для любого оборудования фирмы Cisco можно с их официального сайта (cisco.com), предварительно оплатив и составив договор с ними на сервисное обслуживание.

Установку IOS можно производить тремя способами: скопировать файл операционной системы через xmodem или через TFTP сервер. Третий способ — через web интерфейс. Но эта возможность не всегда имеется, и реализуется она каждый раз по разному, в зависимости от версии IOS. Поэтому рассмотрим только первые два способа.

Xmodem

Установку по протоколу xmodem надо осуществлять только в том случае, когда на коммутаторе операционная система либо стёрта либо повреждена. Время копирования IOS размером в 3 мегабайта во флэш память коммутатора — примерно один час. Для переустановки IOS по протоколу Xmodem вам надо подключиться к коммутатору через консоль, как описано в пункте Подключение к коммутатору и войти в bootloader, как описано в пункте Восстановление забытого пароля.

Далее, надо инициализировать флеш память командой flash_init. Затем просмотрите, что имеется в данный момент в памяти коммутатора: dir flash:. В конце списка файлов, находящихся в памяти, пишется размер памяти и имеющееся свободное пространство. Убедитесь, что вам хватит места, что бы закачать IOS. Если места нет — удалите *.tar и *.bin файлы командой delete flash:file_name.tar(bin). Так же можно отформатировать память командой format flash:.

После того, как пространство расчищено, можно приступать к копированию. Наберите команду copy xmodem: flash:file_name.bin и немедленно(!) отправьте нужный файл через терминал. Нажмите в меню терминала Передача->Отправить файл. В появившемся окне выберите xmodem, как показано на рисунке, и файл, который вы хотите передать:

Замечу, что если вы закачаете операционную систему в виде *.tar архива — это ни к чему не приведёт. Поскольку у bootloader-а отсутствуют функции разархивации.

После окончания копирования, перезагрузите коммутатор. Возможно, если вы форматировали флеш память, вам придётся создать файл env_vars, в котором нужно написать mac адрес вашего коммутатора. Для этого, внимательно просмотрите информацию, которую выдаёт bootloader при загрузке и найдите в ней mac адрес. Затем командой set MAC_ADDR xx:xx:xx:xx:xx:xx введите mac адрес в список переменных окружения, и затем наберите команду set_param. Флеш память при этом должна быть инициализирована. После этих действий должен создастся файл env_vars, что вы можете проверить командой dir flash:. Web интерфейс можно закачать только в виде *.tar архива, поскольку в каталоге html содержится огромное количество файлов. Это лучше сделать через TFTP, т.к. он в сотни раз быстрее.

TFTP

Установить IOS через TFTP можно только в том случае, если коммутатор в текущий момент находится в рабочем состоянии (т.е. IOS загружен), и вы находитесь в привилегированном режиме (команда enable). Для копирования файлов при помощи TFTP вам понадобится программа TFTPServer. Вы можете скачать её из интернета. Она занимает менее полутора мегабайт. Установите эту программу на свой компьютер и запустите. Не забудьте дать соответствующие указания вашему брендмаузеру, или отключите его на время копирования файлов. Скопируйте файлы, которые хотите передать, в каталог к TFTP серверу, или в любой другой каталог, предварительно указав это программе, как показано на картинке:

Вероятно, вам захочется использовать TFTP только для того, что бы закачать web интерфейс операционной системы. В таком случае в вашем *.tar арвите должен быть только каталог html. Саму ОС нужно удалить из архива. Что бы сделать это под windows, установите программу total commander. Это файловый менеджер, который поддерживает формат *.tar архива, т.е. позволяет просматривать архив, удалять/добавлять файлы и каталоги и многое другое.

Коммутатор должен быть включен, IOS загружен, Telnet консоль запущена. Наберите в консоли copy tftp: flash:, и ответьте на несколько вопросов, которые задаст вам коммутатор. После чего начнётся закачка. И, если в архиве находится только web интерфейс, он закачается примерно за 10-15 секунд. После чего вам надо разархивировать web интерфейс. Для этого наберите команду archive tar /xtract 1.tar flash:, где 1.tar — это закачавшийся архив.

Переустановка операционной системы IOS на коммутатор завершена.

Как настроить коммутаторы Cisco - пошаговое руководство

Когда мы думаем о подключении в сети, маршрутизатор, вероятно, является первым устройством, которое приходит на ум, но коммутаторы играют жизненно важную роль в обеспечении связи устройств. Коммутаторы могут принимать входящий / исходящий трафик и передавать его в направлении конечного пункта назначения. Cisco является одним из самых известных поставщиков коммутаторов на рынке, и в этой статье мы рассмотрим как настроить коммутаторы Cisco.

Contents

  • 1 Прежде чем мы начнем: узнайте, какое оборудование вы используете, и загрузите PuTTY 
  • 2 1. Подключите коммутатор к замазке
      • 2.0.1 Сохраните настройки и запустите PuTTY CLI
  • 3 2. Войдите в привилегированный режим EXEC и установите имя хоста для коммутатора.
  • 4 3. Назначьте пароль для коммутатора
  • 5 4. Настройте пароли доступа Telnet и консоли
      • 5.0.1 Telnet
      • 5.0.2 Приставка
  • 6 5. Настройте IP-адреса с помощью доступа Telnet
  • 7 6. Настройте IP-адрес управления (или интерфейс управления)
  • 8 7. Назначьте шлюз по умолчанию для коммутатора
  • 9 8. Отключите неиспользуемые открытые порты
  • 10 9. Сохраните настройки конфигурации
  • 11 10. Настройте NetFlow для управления коммутатором Cisco (дополнительно)
      • 11.0.1 Создать запись потока
      • 11.0.2 Создайте экспортер потока
      • 11.0.3 Создать монитор потока
  • 12 Настройте коммутатор Cisco для душевного спокойствия! 

Прежде чем мы начнем: узнайте, какое оборудование вы используете, и загрузите PuTTY 

Первый шаг — проверить, какое оборудование вы используете, прежде чем начать. Если вы используете коммутатор Cisco, вам нужно знать, какая у вас модель. Вы также хотите проверить физическое состояние устройства и убедиться, что ни один из кабелей не поврежден. Вы можете включить маршрутизатор, чтобы убедиться в отсутствии повреждений освещения / индикаторов.

Теперь, когда вы убедились, что устройство находится в рабочем состоянии, вы готовы начать настройку. В этом руководстве мы собираемся настроить коммутатор Cisco через Интерфейс командной строки (CLI) с открытым исходным кодом клиента SSH / Telnet PuTTY (хотя вы можете использовать другой инструмент, если хотите).

1. Подключите коммутатор к замазке

Чтобы начать настройку, вы хотите подключить консоль коммутатора к PuTTY. Вы можете сделать это, выполнив следующие действия:

  1. Подключите коммутатор к PuTTY с помощью 9-контактного последовательного кабеля.
  2. Теперь откройте PuTTY и откроется окно Конфигурация PuTTY. Перейти к Тип соединения настройки и проверьте последовательный опция (показана ниже).
    Как настроить коммутаторы Cisco - пошаговое руководство
  3. Перейти к категория раздел списка на левой стороне и выберите последовательный вариант.
  4. Когда отобразятся параметры, управляющие страницей локальных последовательных линий, введите COM-порт, к которому подключено ваше устройство, в Последовательная линия для подключения коробка, например. COM1.
  5. Затем введите скорость цифровой передачи вашей модели коммутатора. Для управляемых коммутаторов серии 300 и 500 это 115200.
  6. Перейти к Биты данных поле и введите 8.
  7. Теперь иди к Останавливает биты поле и введите 1.
  8. Нажать на паритет раскрывающееся меню и выберите Никто вариант.
  9. Перейти к Управление потоком раскрывающееся меню и выберите Никто вариант.

Сохраните настройки и запустите PuTTY CLI

Чтобы сохранить настройки PuTTY для следующей сессии, сделайте следующее:

  1. Нажать на сессия вариант из Список категорий в левой части страницы.
    Как настроить коммутаторы Cisco - пошаговое руководство
  2. Перейти к Сохраненная сессия поле и введите имя для ваших настроек, например. Comparitech.
  3. Нажмите на Сохранить кнопка для сохранения настроек.
  4. нажмите открыто кнопка внизу страницы, чтобы запустить CLI.

В командной строке отобразится следующее сообщение:

переключатель>

2. Войдите в привилегированный режим EXEC и установите имя хоста для коммутатора.

Введите команду enable, чтобы войти в привилегированный режим EXEC (на этом этапе вам не нужен пароль, потому что вы находитесь в конфигурации по умолчанию, в которой его нет!):

включить 

Затем войдите в режим глобальной конфигурации и введите следующую команду:

Switch # настроить терминал 
Переключатель (конфигурации) #

Вы можете упростить поиск коммутатора в сети, назначив имя хоста. Введите следующую команду, чтобы назначить имя хоста:

Switch (config) # имя хоста access-switch1 
доступа switch1 (конфигурации # 1

3. Назначьте пароль для коммутатора

После того, как вы присвоили имя хоста, вы захотите создать пароль, чтобы контролировать, кто имеет доступ к привилегированному режиму EXEC (чтобы никто не мог войти в систему). Чтобы назначить пароль администратора, введите следующую команду:

access-switch1 (config) # включить секрет COMPARI7ECH

Не забудьте выбрать надежный пароль, чтобы его было сложнее понять.

4. Настройте пароли доступа Telnet и консоли

Следующим шагом является настройка паролей для доступа к Telnet и консоли. Настройка паролей для них важна, потому что это делает ваш коммутатор более безопасным. Если кто-то без авторизации получает доступ к telnet, он подвергает вашу сеть серьезному риску. Вы можете настроить пароли, введя следующие строки (см. Верхний абзац для Telnet и нижний абзац для доступа к консоли).

Telnet

access-switch1 (config) # строка vty 0 15

access-switch1 (config-line) # пароль COMPARI7ECH

access-switch1 (config-line) # вход

access-switch1 (config-line) # выход

доступа switch1 (конфигурации) #

Приставка

access-switch1 (config) # линия консоли 0

access-switch1 (config-line) # пароль COMPARI7ECH 

access-switch1 (config-line) # вход

access-switch1 (config-line) # выход

доступа switch1 (конфигурации) #

5. Настройте IP-адреса с помощью доступа Telnet

Следующим шагом является определение того, какие IP-адреса будут иметь доступ к Telnet, и добавление их с помощью PuTTY CLI. Чтобы выбрать разрешенные IP-адреса, введите следующую команду (замените перечисленные IP-адреса на IP-адреса компонентов, которым вы хотите предоставить разрешение):

access-switch1 (config) # ip стандарт доступа к списку доступа TELNET-ACCESS

access-switch1 (config-std-nacl) # разрешение 216.174.200.21

access-switch1 (config-std-nacl) # разрешение 216.174.200.21

access-switch1 (config-std-nacl) # выход

Вы также можете настроить списки контроля доступа (ACL) для линий виртуального терминала (VTY). ACL гарантируют, что только администратор может подключиться к маршрутизатору через Telnet.

access-switch1 (config) # строка vty 0 15

access-switch1 (config-line) # класс доступа TELNET-ACCESS в

access-switch1 (config-line) # выход

доступа switch1 (конфигурации) #

6. Настройте IP-адрес управления (или интерфейс управления)

Далее необходимо настроить IP-адрес управления. По умолчанию коммутаторы не имеют IP-адреса, что означает, что вы не можете подключиться к нему через Telnet или SSH. Для решения этой проблемы вы можете выбрать виртуальную локальную сеть (VLAN) на коммутаторе и создать виртуальный интерфейс с IP-адресом. Вы можете сделать это, введя следующую команду:

access-switch1 (config) # интерфейс vlan 1

access-switch1 (config-if) # ip address 10.1.1.200 255.255.255.0

access-switch1 (config-if) # выход

доступа switch1 (конфигурации) #

Новый IP-адрес управления находится в VLAN1, которую другие компьютеры теперь будут использовать для подключения.

7. Назначьте шлюз по умолчанию для коммутатора

На этом этапе вы хотите назначить шлюз по умолчанию для коммутатора. По умолчанию шлюз — это адрес маршрутизатора, с которым будет связываться коммутатор. Если вы не настроите шлюз по умолчанию, VLAN1 не сможет отправлять трафик в другую сеть. Чтобы назначить шлюз по умолчанию, введите команду ниже (измените IP-адрес на адрес вашего маршрутизатора).

access-switch1 (config) # ip default-gateway 10.1.1.254

8. Отключите неиспользуемые открытые порты

Рекомендуется отключить все неиспользуемые открытые порты на коммутаторе. Киберпреступники часто используют незащищенные порты как способ проникновения в сеть. Закрытие этих портов уменьшает количество точек входа в вашу сеть и повышает безопасность вашего коммутатора. Введите диапазон портов, которые вы хотите закрыть, введя следующую команду (вы должны изменить 0 / 25-48 на порты, которые вы хотите закрыть):

access-switch1 (config) # диапазон интерфейса fe 0 / 25-48

access-switch1 (config-if-range) # выключение

access-switch1 (config-if-range) # выход

доступа switch1 (конфигурации) #

9. Сохраните настройки конфигурации

Как только вы закончили настройку маршрутизатора, пришло время сохранить вашу конфигурацию. Сохранение конфигурации обеспечит совпадение ваших настроек при открытии следующего сеанса. Для сохранения введите следующую команду:

access-switch1 (config) # выход
access-switch1 # wr

Не забывайте сохранять любые изменения в ваших настройках перед закрытием интерфейса командной строки..

10. Настройте NetFlow для управления коммутатором Cisco (дополнительно)

Также полезно использовать анализатор сетевого трафика для мониторинга сетевого трафика. В качестве устройства Cisco ваш коммутатор будет иметь протокол связи NetFlow. Тем не менее, он должен быть настроен в первую очередь. Вы можете настроить NetFlow, выполнив четыре шага ниже. Прежде чем мы начнем, войдите в режим глобальной конфигурации, выполнив следующую команду:

Switch # настроить терминал 

Создать запись потока

  1. Первым шагом является создание записи потока (вы можете изменить имя). Вы можете сделать это, введя следующую команду:#flow record Comparitechrecord
  2. После того, как вы ввели предыдущую команду, вам нужно установить адрес источника IPv4, адрес назначения IPv4, протокол iPv4, порт источника транспорта, порт назначения транспорта, DOS IPv4, вход интерфейса и выход интерфейса. Вы можете сделать это, введя следующую команду:Switch # соответствует исходному адресу ipv4 

    Switch # match ipv4 адрес назначения 

    Коммутатор # соответствует протоколу ipv4 

    Коммутатор # соответствует транспортному исходному порту 

    Коммутатор # соответствует транспортному порту назначения 

    Switch # match ipv4 tos 

    Переключатель # соответствует входу интерфейса 

    Коммутатор # собирать выходные данные интерфейса 

  3. Чтобы завершить настройку записи потока и определить тип данных, которые вы собираетесь собирать, введите следующие команды:Коммутатор # собирать выходные данные интерфейса 

    Switch # собирать встречные байты 

    Switch # сбор счетчика пакетов 

    Переключатель # собирать метку времени sys-uptime первым 

    Переключатель # собирать метку времени sys-uptime последний 

Создайте экспортер потока

    1. Теперь вы должны создать экспортер потока для хранения информации, которую вы хотите экспортировать во внешний анализатор сети. Первый шаг — назвать экспортер потока:Switch # flow exporter Comparitechexport
    2. Введите IP-адрес сервера, на котором включен сетевой анализатор (измените IP-адрес):Переключатель № назначения 117.156.45.241
    3. Настройте интерфейс, с которым вы хотите экспортировать пакеты:Переключатель # источник назначения gigabitEthernet 0/1 
    4. Настройте порт, который программный агент будет использовать для прослушивания сетевых пакетов:Коммутатор # транспортный UDP 2055 
    5. Установите тип данных протокола, который вы собираетесь экспортировать, введя эту команду:Коммутатор # протокол экспорта netflow-v9 
    6. Чтобы убедиться в отсутствии пропусков при отправке данных потока, введите следующую команду:Switch # template data timeout 60 

Создать монитор потока

  1. После того, как вы настроили экспортер потока, пришло время создать монитор потока. Создайте монитор потока с помощью следующей команды:<Switch # монитор потока Comparitechmonitor
  2. Свяжите монитор потока с записью потока и экспортером, который мы настроили ранее:Переключатель # запись Comparitechrecord Switch # экспортер Comparitechexport
  3. Чтобы убедиться, что информация о потоке собирается и нормализуется без задержки, введите следующую команду:Switch # cache тайм-аут активен 60 Switch # таймаут таймаута неактивен 15 
  4. Введите команду выхода:Switch # выход 
  5. Вам необходимо ввести интерфейсы, которые будут собирать данные NetFlow. Если это интерфейс Ethernet, вы должны ввести следующее:Коммутатор # интерфейс гигабитныйEthernet 0/1
  6. Используйте следующую команду для настройки NetFlow на нескольких интерфейсах (команда ввода будет по-прежнему собирать данные в обоих направлениях):Switch # ip flow monitor Мониторинг входного сигнала 
  7. Если вы хотите собирать данные NetFlow только на одном интерфейсе, вы должны использовать команду ввода и вывода. Таким образом, вы должны ввести следующее:Switch # ip flow monitor Мониторинг входного сигнала Switch # ip flow monitor Выходной сигнал сравнительного монитора 
  8. Выйдите из режима конфигурации, введя следующую команду:Switch # выход 
  9. Сохраните ваши настройки, чтобы закончить.

Правильная настройка коммутатора Cisco означает, что ваша сеть может эффективно устанавливать соединения. Выполнение простых задач, таких как настройка паролей и создание списков контроля доступа, которые могут получить доступ к коммутатору, позволяет вам оставаться в безопасности в сети. Неполные или неправильные конфигурации — это уязвимость, которую злоумышленники могут использовать.

Настройка коммутатора Cisco — это только полдела, вам также необходимо регулярно отслеживать его состояние. Любые проблемы с производительностью вашего коммутатора могут оказать существенное влияние на ваших пользователей.

Использование инструмента мониторинга сети и анализатора сети может помочь вам удаленно контролировать коммутаторы и анализировать проблемы производительности. Потеря времени на настройку коммутатора и назначение надежных паролей дает вам душевное спокойствие, позволяя безопасно общаться в Интернете.

Понравилась статья? Поделить с друзьями:
  • Аторис инструкция по применению цена 10мг цена
  • Блок управления одоризатором бу 102 инструкция
  • Нимесулид свечи ректальные инструкция по применению
  • Как получить лицензию на травматический пистолет через госуслуги пошаговая инструкция
  • Кальций д3 никомед остеофорте инструкция цена