Руководства, Инструкции, Бланки

Catalyst 2950 инструкция

Рейтинг: 4.3/5.0 (914 проголосовавших)

Категория: Инструкции

Описание

Пример настройки коммутатора Cisco Catalyst 2950, как настроить свитч Cisco Catalyst 2950, конфиг Cisco Каталист 2950

Пример настройки коммутатора Cisco Catalyst 2950 [09.02.2007]


Несмотря на то, что эта модель коммутатора далеко не нова и, в отличие от своего собрата 2955 не имеет возможности подключения через гигабитные порты, не говоря уже о более продвинутых устройствах типа Cisco Catalyst 3750 с их поддержкой PoE, все равно Cisco Catalyst 2950 продолжает пользоваться популярностью из-за своих достаточно широких возможностей и простоты настройки. Очень часто эти коммутаторы используются для разбиения локальной сети на VLAN - виртуальные сети, члены которых не могут видеть друг друга. Помимо безопасности, это дает возможность связывать несколько коммутаторов с несколькими VLAN с помощью одного кабеля - trunk-режим работы порта. Приведу пример с некоторыми комментариями:

no service pad
service timestamps debug uptime # в debug-режиме указывать время работы
service timestamps log uptime # записывать время работы в лог

service password-encryption # скрывает пароли при выводе командами типа show running-config
hostname c2950-01 # сетевое имя коммутатора Cisco Catalyst 2950
!
aaa new-model # новый синтаксис команд протокола AAA
aaa authentication login VTY local # аутентификация через VTY

username cwork password 7 15413909153A05297F
username cisco password 7 0822455D0A16
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation # автоматически восстанавливать работу порта, если отключение произошло из-за port-security после errdisable recovery interval, но только если посторонний MAC-адрес более не обнаруживается на порту
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause loopback
errdisable recovery interval 30 # задание интервала для восстановления порта после ошибки или нарушения безопасности порта
ip subnet-zero # разрешает использовать нулевую подсеть

spanning-tree mode pvst # включение per VLAN spanning-tree
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id # использовать расширения 802.1t для pvst
dot1x system-auth-control

interface FastEthernet0/1
switchport access vlan 3
switchport mode access
speed 10
spanning-tree portfast

… # те же настройки для портов 2-5

interface FastEthernet0/6
switchport access vlan 2
switchport mode access
speed 10
mls qos cos 5
mls qos trust cos
spanning-tree portfast

… # те же настройки для портов 7-14

interface FastEthernet0/15
switchport mode access
speed 100
spanning-tree portfast

… # те же настройки для портов 16-23

interface FastEthernet0/24 # создаем транк 802.1q, в этот порт подключаем маршрутизатор для inter-VLAN routing
switchport mode trunk
switchport nonegotiate # отключение DTP (отключение автоопределения – access или trunk режим)
speed 100
load-interval 60
spanning-tree portfast trunk

interface Vlan1 # настройка интерфейса, через который подключаемся к коммутатору для его настройки
ip address 192.168.0.3 255.255.255.0
no ip route-cache

ip default-gateway 192.168.0.1
no ip http server # отключаем, так как HTTP-сервер нам не нужен (настройка через telnet, а держать его просто так небезопасно)
logging 192.168.1.2
logging 192.168.1.3
snmp-server community tRvd1K6j RO # SNMP-community с правами на чтение
snmp-server community 74HwZegr RW # SNMP-community с правами на запись
snmp-server location 123456, Moscow, Spasskaya str. 5
snmp-server enable traps snmp authentication warmstart linkdown linkup coldstart
snmp-server enable traps config
snmp-server enable traps copy-config
snmp-server enable traps syslog
snmp-server enable traps entity
snmp-server enable traps flash insertion removal
snmp-server enable traps bridge
snmp-server enable traps stpx
snmp-server enable traps rtr
snmp-server enable traps c2900
snmp-server enable traps vtp
snmp-server enable traps vlancreate
snmp-server enable traps vlandelete
snmp-server enable traps port-security
snmp-server enable traps MAC-Notification
snmp-server enable traps envmon fan shutdown supply temperature status
snmp-server enable traps hsrp
snmp-server enable traps cluster
snmp-server enable traps vlan-membership
snmp-server host 192.168.1.2 tRvd1K6j
snmp-server host 192.168.1.3 tRvd1K6j
rtr responder

line con 0 # настраиваем пароль на консоль
password 7 060506324F41
line vty 0 15 # и на терминальный доступ
password 7 060506324F41
login authentication VTY

Такая конфигурация дает нам 2 VLAN (2 и 3 - с 1 по 5 и с 6 по 14 порты), 15-23 порты не включаются в VLAN'ы - можно либо перераспределить их между VLAN'ами, либо оставить неиспользуемым, и один trunk - 24 порт, который свяжет этот коммутатор с другим, на котором также можно настроить VLAN'ы 2 и 3 - тогда клиенты из них будут взаимодействовать независимо от того, в какой из двух связанных коммутаторов они подключены, причем только с устройствами из своего VLAN. И учтем, что для соединения коммутаторов нам потребуется всего один кабель на 2 VLAN'а.

Catalyst 2950 инструкция:

  • скачать
  • скачать
  • Другие статьи

    Just another network blog: Передайте пакетик

    Передайте пакетик. Начальная настройка коммутатора Cisco Catalyst

    На столе стоит эта прекрасная железка модели 2950, кабель питания воткнут в розетку, а консольный кабель нежно подключен в соответствующий разъем. Начнем. Запускаем Putty. указываем там вид подключения Serial, жмем ОК и Enter в появившемся черном окошечке. Вуаля, вот оно, приглашение командной строки.
    Первым делом даем коммутатору имя. как корабль назовешь, так он и поплывет. Фантазией я, правда, не богат так что.
    Switch>enable
    Switch#conf ter
    Enter configuration commands, one per line. End with CNTL/Z.
    Switch(config)#host
    Switch(config)#hostname Catalyst
    Catalyst(config)# Имя дали, дадим фамилию. Установим IP-адрес. Как известно, адрес коммутатора есть не что иное как адрес 1-го VLAN.
    Catalyst(config)#int vlan 1
    Catalyst(config-if)#ip address 192.168.10.30 255.255.255.0
    Catalyst(config-if)#no shutdown
    Catalyst(config-if)# Не забываем включить VLAN 1 командой no shutdown. По умолчанию изначально все интерфейсы находятся в VLAN 1. Попробуем пропинговать нашу железку:

    andrey@darkstar:

    $ ping 192.168.10.30
    PING 192.168.10.30 (192.168.10.30) 56(84) bytes of data.
    64 bytes from 192.168.10.30: icmp_req=2 ttl=255 time=1.69 ms
    64 bytes from 192.168.10.30: icmp_req=3 ttl=255 time=1.64 ms
    64 bytes from 192.168.10.30: icmp_req=4 ttl=255 time=1.73 ms Чудесно. Далее, чтоб отрезать эту пуповину в виде консольного кабеля настроим SSH. Чтобы SSH заработал нужно провести ряд действий: настроить имя хоста, домен, непосредственно саму виртуальную консоль, и сгенерировать ключ шифрования. Не забывайте, что для SSH v2 необходим ключ длинною не меньше 1024 бита, по умолчанию IOS предлагает 512 бит. Это дает возможность использовать только SSH v1.5.
    Catalyst(config)#ip domain-name unix.nt
    Catalyst(config)#username andrey password passw0rd
    Catalyst(config)#line vty 0 ?
    <1-15> Last Line number
    Catalyst(config)#line vty 0 15
    Catalyst(config-line)#password 0 123
    Catalyst(config-line)#login authentication ?
    WORD Use an authentication list with this name.
    default Use the default authentication list.
    Catalyst(config-line)#login authentication def
    AAA: Warning authentication list "default" is not defined for LOGIN.
    Catalyst(config-line)#transport input ssh telnet
    Catalyst(config-line)#exec-timeout 60 0
    Catalyst(config-line)# Последеняя команда введена для того, чтобы при отсутствии активности сессия завершалась через 60 минут и 0 секунд. Это много, но мне лень после похода за чаем заново логиниться и вводить пароль.
    Генерируем ключ (ключ генерировать не обязательно, если его не будет, то он в любом случае сгенерируется во время загрузки)
    Catalyst(config)#crypto key generate rsa Тут SSH должен заработать и я смогу войти удаленно на коммутатор под именем andrey и паролем passw0rd. Так и есть, вот только в режим администратора войти я не могу. Конечно, ведь пароль администратора не задан. Исправляем ошибку:
    Catalyst(config)#enable secret supersecretpass и вот оно счастье, коммутатор можно ставить в стойку и рулить им из своего уютненького ноутбука с обоиной в виде фото Дженифер Лопес.
    Теперь давайте добавим маршрут по умолчанию, дабы рулить можно было еще и из дома девушки пол-третьего ночи через SSH. Ну и DNS-сервер, просто чтоб было:
    Catalyst(config)#ip default-gateway 192.168.10.1
    Catalyst(config)#ip name-server 8.8.8.8

    Надеюсь, никого не смутит, что указан DNS-сервер гугла. Проверяем:

    Catalyst#ping cisco.com
    Translating "cisco.com". domain server (8.8.8.8) [OK]
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 72.163.4.161, timeout is 2 seconds:
    .
    Success rate is 100 percent (5/5), round-trip min/avg/max = 164/166/172 ms
    Catalyst#

    Работает. Теперь чтоб часики правильно шли настроим временную зону с учетом перехода на летнее время и укажем NTP-сервер:

    Catalyst(config)#clock timezone KIEV +2
    Catalyst(config)#clock summer-time KIEV recurring
    Catalyst(config)#ntp server 96.47.67.105

    Catalyst#show clock
    19:23:07.107 KIEV Sun Jun 16 2013
    Catalyst#

    О, и самое главное! Не забудьте сохранить конфиг:


    Catalyst#write memory
    Building configuration.
    [OK] Или, как рекомендуют в Cisco:
    Catalyst#copy running-config startup-config
    Destination filename [startup-config]?
    Building configuration.
    [OK]

    Catalyst 2950 инструкция - Важно знать

    Catalyst 2950 инструкция

    ??isco 2950 is a catalyst series of that provide flexible, intelligent switching for secure networks. ??isco catalyst 2950 series switch is a fixed-configuration stackable standalone switch that provides wire speed Fast and Gigabit Ethernet connectivity. The switch offers two distinct sets of software features and a range of configurations to allow small, midsize and enterprise branch offices and industrial environments to select the right combination for the network edge. With its additional security features and advanced quality of service along with high availability makes it stand out among the others. The enhanced image software delivers the intelligent services such as the rate limiting and security filtering for deployment at the network edge. For the industrial level networks, the new and innovative cisco 2955 catalyst series switch is a new switch that is ideal for the industrial Ethernet deployments, intelligent transportation systems and transportation network solutions. It is also useful for many military and utility market applications where the environmental conditions exceed the specifications of other commercial switching products. The cisco network assistant that is available for the 2950 series is a free centralized management application that simplifies the administration task of thewireless access points and. Cisco network assistant offer user friendly GUI interface to easily configure trouble shoot and enable as well as monitor the network and cisco 2950 datasheet is the perfect choice as well. ??isco 2950 configuration guide tells you about the specifications and benefits of the software and hardware of the product. ??isco 2950 guide gives you the every single step guidance to install and make connectivity of the product. Make your business work with the changing market trends and cope with the new challenges with the help of the cisco 2950 series switch. Catalyst 2950 Switch INCLUDING LICENSE AND WARRANTY Catalyst 2950 Switch Catalyst 2950 Desktop Switch.

    См. также Поиск Навигация В других проектах
    • Последнее изменение этой страницы: 19.03.2016

    Первоначальная настройка Cisco Catalyst

    Первоначальная настройка Cisco Catalyst

    Очень часто у новичков возникает вопрос:
    «Что нужно настроить на Cisco Catalyst с нуля?»
    или встречается запрос в google:
    «Скачать дефолтовый конфиг для Cisco Catalyst»
    или
    «catalyst 2960 2950 3560 ip адрес по умолчанию»
    или
    «как настроить cisco catalyst «
    Попробую немного помочь этим людям

    1. Дефолтовых конфигов не бывает, т.к. у каждого своя сеть и свои «правила»

    2. Нету у Cisco IP-адреса по умолчанию (это же не Dlink), все настраивается ручками и сначала через консоль.

    Итак, попробуем разобраться в том, что желательно настроить на нулевом Cisco Catalyst ?

    Например, часто встречающиеся:

    * Cisco Catalyst 2950
    * Cisco Catalyst 2960
    * Cisco Catalyst 3550
    * Cisco Catalyst 3560
    * Cisco Catalyst 3560G

    Я использовал Cisco Catalyst 3560G

    0. Подключаемся к cisco по консольному кабелю через com порт:

    FreeBSD через com порт:

    FreeBSD через переходник USB->Com:

    в Windows можно использовать Hiper Terminal для подключения к com порту

    1. Зададим пароль на enable режим

    2. Установим пароль для входа по telnet

    3. Сразу разрешим вход по telnet

    4. Зашифруем пароли, чтобы по sh run они не показывались в открытом виде

    5. Зададим имя девайсу, например будет c3560G

    6. повесим / присвоим IP-адрес нашему девайсу

    7. Если вы ошибетесь при наборе чего либо в консоле, то циска начнет пытаться это отрезолвить, чем заставляет вас ждать, выключим эту фичу

    8. Зададим имя домена

    9. Зададим IP-адрес DNS сервера

    10. Зададим время
    если у вас есть доступный NTP сервер

    где 192.168.1.1 – это IP-адрес NTP сервера
    а используя «добавку» source vlan вы можете четко задать номер vlan с IP которого будет отправляться NTP запрос

    если нет NTP сервера, то можно задать время вручную, но для этого придется выйти из режима конфигурирования

    11. Зададим переход с зимнего на летнее время и наоборот

    12. Сделаем так, чтобы по команде show logging отображалось нормальное время, а не кол-во дней и т.п.

    13. Зададим дефолтовые настройки сразу всем портам на девайсе (у меня catalyst 24 порта + 4 SFP)

    Рекомендую: все неиспользуемые порты держать выключенными, а ещё лучше создать влан (например 999) и все выключенные порты переместить в него:

    14. Выключим web-интерфейс, командная строка рулит ??

    15. Зададим gateway по умолчанию (допустим это будет 192.168.1.1, т.к. мы присвоили девайсу IP 192.168.1.2/255.255.255.0)

    16. Если этот свич будет моддерживать маршрутизацию (будет router`ом), то включим функцию маршрутизации (если это позволяет сам девайс и его прошивка)

    3560G прекрасно справляется с функцией маршрутизации

    17. Если вы выолнили пункт 16-ть, то снова необходимо задать gateway по умолчанию, но уже другой командой

    18. Настроим access-list для доступа к свичу только с определенных IP-адресов

    19. Применим этот access-list

    20. Зададим timeout неактивности telnet сессии, по истечении указанного времени, если вы в консольке ничего не вводили, то telnet соединение будет автоматически закрываться

    21. Включим SNMP, но только read only (RO) и доступность только с хоста 192.168.1.1

    22. Ну и наконец сохраним свои труды

    или можно проще и короче

    Море документации по catalyst`ам, и не только по ним, вы можете найти, ессно, на сайте производителя: www.cisco.com

    Похожие записи
  • Cisco Catalyst 2950


    Об Оптивере | Направления | Производители | Цены | Новости | Поддержка | Решения | Спецпрограммы | Карьера |eng

    Cisco Catalyst серии 2950

    Новые модели коммутаторов Cisco Catalyst серии 2950 обеспечивают Fast Ethernet и Gigabit Ethernet соединения для сетей среднего размера и предоставляют наряду с традиционной LAN-коммутацией такие интеллектуальные услуги как улучшенное качество обслуживания (QoS), управление полосой пропускания, фильтры защиты и multicast управление. Совместное использование коммутаторов Catalyst серии 2950 и 3550 позволяет обеспечить IP-маршрутизацию от края к ядру сети. Новые коммутаторы поставляются с программным обеспечением EI (Enhanced Software Image).

    В состав нового модельного ряда Cisco Catalyst серии 2950 входят следующие коммутаторы:

    Catalyst 2950G-12 (WS-C2950G-12-EI)

    10/100 - 12 портов. GBIC 1000BaseX - 2 порта

    Catalyst 2950G-24 (WS-C2950G-24-EI)

    10/100 - 24 порта. GBIC 1000BaseX - 2 порта

    Catalyst 2950G-24-DC (WS-C2950G-24-EI-DC)

    10/100 - 24 порта. GBIC 1000BaseX - два порта

    Catalyst 2950G-48 (WS-C2950G-48-EI)

    10/100 - 48 портов. GBIC 1000BaseX - 2 порта

    Встроенные гигабитные Ethernet-порты поддерживают широкий перечень GBIC-трансиверов, включая Cisco GigaStack®, 1000BaseSX, 1000BaseLX/LH, 1000BaseZX и 1000BaseT (в перспективе). Двойное GBIC-исполнение предоставляет пользователям увеличение доступности и uplink-избыточности, позволяющее выполнять один тип stacking и uplink конфигурации с сохранением возможности перехода к другой конфигурации в будущем.

    Интеллектуальные Ethernet-коммутаторы Catalyst серии 2950 поддерживают Layer 2 - 4 качество обслуживания, обеспечивающее идентификацию потоков и защиту от перегрузок сетевого трафика, и позволяющее сетевым администраторам эффективно назначать приоритеты для критических приложений (ERP, IP-телефония, CAD/CAM). Коммутаторы Catalyst 2950 позволяют классифицировать и реклассифицировать входящие пакеты на основе IP- и МАС-адресов отправителя и получателя или Layer 4 TCP/UDP-порта, используя для этого поля DSCP (Differentiated Services Code Point) в IP-пакете и/или 802.1р CoS (Class of Service) в Ethernet-пакете, а также защиту и маркировку входящих пакетов до их попадания в совместный буфер.

    Новые модели Catalyst серии 2950 поддерживают четыре выходные очереди для каждого порта, позволяющие администратору сети более эффективно назначать приоритеты для различных приложений в LAN. На выходе коммутатор определяет порядок обработки очередей на основе WRR (Weighted Round Robin).

    Коммутаторы обеспечивают распределение полосы пропускания для различных приложений на основе нескольких критериев, включая МАС- и IP-адреса отправителя и получателя, и ТСР/UDP-номер порта. Каждый Fast Ethernet порт поддерживает до шести policer, а гигабитный порт - до 60, что позволяет эффективно управлять полосой пропускания LAN.

    Усовершенствованная безопасность данных достигается использованием аппаратно реализованных параметров управления доступом (АСР). Сетевые менеджеры также могут выполнять более высокоуровневую защиту данных с частным краевым VLAN, обеспечивая межпортовую изоляцию и направление потока данных от его точки входа в агрегирующее устройство по определенному виртуальному пути, исключая направление трафика на другой порт.

    Внедренное в Catalyst 3550 программное обеспечение Cisco Cluster Management Suite (CMS) обеспечивает стандартные соединения (Ethernet, Fast Ethernet, Fast EtherChannel, Gigabit Ethernet и Gigabit EtherChannel), поддерживает одновременное конфигурирование и поиск неисправностей при использовании стандартного Web-браузера и значительно упрощает выполнение конвергентных приложений и предоставление широкого спектра сетевых услуг. Для обеспечения использования ресурсов для приложений с недостатком полосы пропускания (например multicast) коммутаторы серии 2950 поддерживают протокол IGMP (Internet Group Management Protocol), работающий под управлением программного обеспечения CMS. Новые модели коммутаторов могут также управляться посредством продуктов CiscoWorks 2000, являющихся средством сетевого менеджмента корпоративного класса.

    Основные эксплуатационно-технические характеристики коммутаторов Catalyst серии 2950:

    Шаблон для настройки коммутаторов catalyst2950 Citrin s site

    Citrin's site Шаблон для настройки коммутаторов catalyst2950


    . 1. Данный шаблон предназначен для коммутаторов Catalyst 2950,
    . но с минимальными изменениями может быть использован для других Catalyst'ов
    . 2. Такие настройки использовались для подключения к интернету небольших офисных сетей.
    !

    алгоритм обработки пакетов rlogin и telnet для оптимизации ими полосы пропускания. Смысл его - при работе telnet-а происходит
    . передача каждого символа в отдельном пакете. Соотвественно к 40 байтам IP/TCP заголовков добавляется 1 байт полезной нагрузки.
    . Алгоритм Нагля накапливает байты и отправляет их не в соответствии с механизмом плавающего окна, а только после получения ACK
    . от удаленного узла. Таким образом алгоритм Нагля оптимизирует полосу пропускания.
    . Включать имеет смысл только на каналах с маленькой полосой пропускания.
    . Алгоритм описан в RFC 896
    service nagle
    !
    . на каталистах этот сервис не нужен. Насколько знаю это что-то связанное с X.25
    no service pad
    !
    . Периодически посылать пакеты, даже если сессия неактивна
    . Нужно чтобы:
    . 1. NAT не разрывал соединение
    . 2. Чтоб зависшая сессия не висела долго - если нет keepalive пакетов сессия сбрасывается.
    . об этом можно почитать на cisco.com в статье Using service tcp-keepalives to Avoid Hung Telnet Sessions
    service tcp-keepalives-in
    service tcp-keepalives-out
    !
    . В дебаге указывать месное время с точностью до миллисекунд
    service timestamps debug datetime msec localtime
    !
    . В логе указывать местное время
    service timestamps log datetime localtime
    !
    . Скрывать пароли от случайного подглядывания.
    . На вид они не читаются, но есть алгоритм который позволяет узнать исходный пароль.
    service password-encryption
    !
    . Нумеровать сообщения которые пишутся в лог
    . это позволяет узнать, что какие то сообщения были потеряны либо из за rate-limit на самой циске,
    . либо при передаче по сети (это возможно так как протокол syslog использует udp и повторной отправки сообщений нет)
    service sequence-numbers
    !
    . отключем dhcp - все равно на какталисте он не нужен, только занимает память и снижает защищенность
    no service dhcp
    !
    . Имя это sw порядковый номер коммутатора. обозначение PoP hostname sw1.msk8
    !
    . Выделить в оперативной памяти буфер 256 Кб для записи логов
    . не смотря на то, что логи пишутся по сети на сервер, если связь по сети временно отсутствовала, то
    . посмотреть ошибки можно будет тоолько в локальном буфере командой show logging
    logging buffered 262144 debugging
    !
    . Писать в лог не больше 10 сообщений (уровня debugging, informational и notifications) в секунду, чтоб не вызвать этим перегрузку
    . сообщетия уровня warnings и выше (errors, critical, alerts, emergencies) пишутся не смотря на это ограничение скорости
    logging rate-limit 10 except warnings
    !
    . На консоль (rs-232) выводить только критические сообщения, т. к. вывод сообщений на консоль замедляет работу
    logging console critical
    !
    . Включаем AAA
    aaa new-model
    !
    . По умолчанию при заходе на каталист (через telnet или console) аутентификацмя идет через tacacs+. Если tacacs+ сервер недоступен, то для входа используется enable secret (логин при этом не спрашивается, сразу пароль)
    aaa authentication login default group tacacs+ enable
    !
    . Авторизация идет через tacacs+, если он недоступен то авторизацию проходит любой,
    . кто прошёл аутентификацию, т. е. ввел enable secret
    aaa authorization exec default group tacacs+ if-authenticated
    !
    . Посылать stop-пакет, если был неправильно введен логин/пароль
    . нужно, чтобы в /var/log/tac_plus.acct попадали попытки подобрать пароль
    aaa accounting send stop-record authentication failure
    !
    . Для учета работы через телнет использовать tacacs+
    . записи о том, что когда заходил на циску и когда выходил пишутся в /var/log/tac_plus.acct
    aaa accounting exec default start-stop group tacacs+
    !
    . Посылать на tacacs+ сообщения о перезагрузке каталиста
    aaa accounting system default start-stop group tacacs+
    !
    . Задаем enable, чтоб если tacacs+ не работает по нему мы зайти на каталист
    enable secret good_password
    !
    . Указываем часовой пояс, разница времени по сравнению с UTC - 3 часа
    clock timezone MSK 3
    !
    . Когда переводить часы на летнее время
    clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00
    !
    . Автоматически восстанавливать работу порта если он отключился по port security по прошествии errdisable recovery interval
    . если мака который вызвал отключение на порту больше нет
    errdisable recovery cause security-violation
    !
    . В состоянии errdisable порт находится 120 секунд, после этого пробует включиться если
    . для данной причины была указана команда errdisable recovery cause
    errdisable recovery interval 120
    !
    . Разрешить использование 0 в номере подсети
    ip subnet-zero
    !
    . Запретить обработку опций ip пакета source routing
    . в современных сетях это не используется для нормальной работы и нужно отключить из соображений безопасности
    no ip source-route
    !
    . Ограничить скорость посылаемых каталистом icmp пакетов типа destination unreachable до 1-го пакета в секунду (1000 мс)
    ip icmp rate-limit unreachable 1000
    !
    . То же самое но для icmp destination unreachable, подтип fragmentation is needed and DF set
    ip icmp rate-limit unreachable DF 1000
    !
    . Включаем TCP Selective Acknowledgment для повышения производительности tcp на каналах, где есть потери пакетов
    . Более подробно про SACK можно прочитать в RFC2018
    . если в пределах окна было потеряно несколько пакетов SACK позволяет повторно отправить только потерянные пакеты,
    . а не все пакеты начиная с первого потеряно. Например, без SACK если были посланы пакеты с 1-го по 8-й и потеряны
    . 4-й и 7-й пакеты, то передающий хост получить подтверждение о приеме только 1, 2 и 3-го пакетов и должен будет повторно
    . отправить 4, 5, 6, 7, 8. Если включить SACK то будет получены подтверждения для пакетов 1, 2, 3, 5, 6, 8 и повторно
    . нужно будет отправить только 4-й и 7-й пакеты.
    ip tcp selective-ack
    !
    . Включаем опцию TCP timestamp для более точного измерения RTT что повышает производительность TCP
    . более подробно описано в RFC1323
    ip tcp timestamp
    !
    . Включаем path mtu discovery, который необходим если по маршруту есть участки с mtu меньше чем 1500 байт
    . более подробно можно прочитать про эту команду на cisco.com ip tcp path-mtu-discovery
    . указываем список доменов, который подставляют когда указано только имя хоста, без домена (в командах ping, traceroute, telnet и др.)
    ip domain-list example.ru
    ip domain-list msk8.example.ru
    . имя домена для данного хоста
    ip domain-name example.ru
    . наши ДНС сервера
    ip name-server 192.168.144.68
    ip name-server 192.168.146.6
    !
    . per vlan spanning tree
    spanning-tree mode pvst
    . включать по умолчанию bpdufilter для портов с настройкой spanning-tree portfast
    spanning-tree portfast bpdufilter default
    . описание этой команды на cisco.com найти не удалось
    no spanning-tree optimize bpdu transmission
    . исползовать расширения 802.1t для pvst
    spanning-tree extend system-id
    !
    !
    . Порт, подключенный к маршрутизатору или серверу
    . на котром настроен inter-vlan routing
    interface FastEthernet0/1
    . перед любым description ставим -- чтобы он не сливался с конфигом, а выделялся
    description -- to gw1.msk8
    . 802.1q транк
    switchport mode trunk
    . не распозновать режим (mode access или mode trunk) автоматически
    switchport nonegotiate
    . загрузка интерфейса, показываемая в show int вычисляется за последние 60 секунд
    load-interval 60
    . сразу переводить порт в forwarding без задержки
    spanning-tree portfast trunk
    !
    . Порт, к которому подключен другой коммутатор
    . Обращаю внимание, что spanning-tree portfast в этом случае прописывать нельзя
    interface FastEthernet0/2
    description -- to sw2.msk8
    switchport mode trunk
    switchport nonegotiate
    load-interval 60
    !
    . Настройки порта для клиента, подключенного к общему vlan
    . чтобы он не мог менять IP на маршрутизаторе с помощью static arp привязываем ip к mac
    . а чтобы не мог менять MAC прописываем на порту port-security
    interface FastEthernet0/3
    description «»--«» 1111 Firmname, office 303
    switchport access vlan 100
    switchport mode access
    switchport nonegotiate
    switchport port-security
    load-interval 60
    . отключаем на клиентских портах cdp - клиентам не нужно знать технически подробности нашего оборудования no cdp enable
    . сразу переводить порт в forwarding без задержки, кроме того на таких портах у нас по умолчанию включается bpdufilter
    spanning-tree portfast
    !
    . Клиент для которого выделен отдельный vlan
    interface FastEthernet0/4
    description -- 2222 Firm2name, room 302
    switchport access vlan 14
    switchport mode access
    switchport nonegotiate
    load-interval 60
    no cdp enable
    spanning-tree portfast
    !
    . Неиспользуемые порты помещаем в 1001 vlan чтоб они не имели доступа к сети.
    . shutdown на таких портах не делам, чтоб видеть подключено к ним что то или нет.
    !
    interface FastEthernet0/5
    switchport access vlan 1001
    switchport mode access
    switchport nonegotiate
    load-interval 60
    spanning-tree portfast
    !
    . …………………….
    . …………………….
    !
    interface FastEthernet0/24
    switchport access vlan 1001
    switchport mode access
    switchport nonegotiate
    load-interval 60
    spanning-tree portfast
    !
    . Интерфейс, через который мы получаем доступ к коммутатору
    interface Vlan1
    description -- management interface
    ip address 192.168.144.51 255.255.255.248
    no ip redirects
    no ip proxy-arp
    no ip route-cache
    !
    . Шлюз по умолчанию
    ip default-gateway 192.168.144.49
    . Отключаем веб интерфейс. Во многих версиях IOS он подвержен DoS.
    no ip http server
    !
    . Ограничиваем доступ к коммутатру по telnet
    . это особенно актуально учитывая что пароль при подключении по telnet передается открытым текстом
    . и нужны дополнительные меры для защиты от подключения извне
    ip access-list extended vty-access
    remark -- hosts permitted to access the router
    permit tcp 192.168.144.0 0.0.0.255 any
    permit tcp 192.168.146.0 0.0.0.7 any
    deny tcp any any range 0 65535 log-input
    deny ip any any log-input
    !
    . сервер на который мы по сети пишем логи. На нем настрое syslogd
    logging 192.168.144.67
    !
    . Сервера по которым мы можем синхронизировать время
    . если не использовать этот access list то у злоумышленника будет шанс изменить время на коммутаторе
    access-list 2 remark -- ntp hosts to which the router can synchronize
    access-list 2 permit 192.168.144.80
    access-list 2 permit 192.168.144.68
    access-list 2 deny any log
    !
    . Указываем на какие сервера можно можно копировать конфигурацию (или с каких)
    . если дана команда по snmp
    . без этого включать WR snmp community небезопасно
    access-list 4 remark -- tftp servers to/from which config download/upload is permitted
    access-list 4 permit 192.168.144.67
    access-list 4 deny any
    !
    . Ограничиваем доступ по snmp на чтение
    access-list 5 remark -- hosts permitted to read snmp MIBs on the switch
    access-list 5 permit 192.168.144.34
    access-list 5 permit 192.168.144.64 0.0.0.7
    access-list 5 deny any log
    !
    . Ограничиваем доступ по snmp на запись. Чем меньше хостов здесь указаны, тем спокойнее можно спать.
    access-list 6 remark -- hosts permitted to write snmp MIBs on the switch
    access-list 6 permit 192.168.144.67
    access-list 6 deny any log
    . snmp community для доступа на чтение. Я предпочитаю генерировать случайную строку программой pwgen
    . 5 - номер акцесс листа.
    snmp-server community XXXXX RO 5
    . То же саме но с доступом на запись. Обязательно указываем aceess list
    snmp-server community XXXXX RW 6
    . Физическое расположение сервера.
    . Настоятельно рекомендую указывать, чтоб не перепутать что где стоит. Когда каталистов в сети много помнить наизусть это нерельно.
    snmp-server location Dmitrovka 98, 2 floor
    . контактная информация
    snmp-server contact noc@example.ru
    !
    . акцесс лист с адресами куда можно по tftp копировать конфиг, если была команда на это по snmp
    snmp-server tftp-server-list 4
    tacacs-server host 192.168.144.67 key XXXXXX
    .
    . Текст, который показывается при подключении к коммутатору
    banner motd *

    *
    !
    . Короткие алиасы к частоиспользуемым командам, для ускорения работы.
    alias exec acl show access-lists
    alias exec sm show mac-address-table
    alias exec srb sh run | b
    alias exec uptime show version | i uptime
    alias exec cpu show proces cpu | inc CPU
    alias exec d debug
    alias exec nd undebug all
    alias exec sd show debug
    alias exec mn terminal monitor
    alias exec nm terminal no monitor
    alias exec sl show log
    alias exec cl clear log
    alias exec ct configure terminal
    alias exec sr show running-config
    !
    line con 0
    . Увеличиваем кол-во запоминаемых команд
    history size 256
    . Что бы не пытался ресолвить через ДНС то что получилось в результате опечатки при наборе команды
    transport preferred none
    . Перывать traceroute по нажатию Ctrl+C
    escape-character 3
    line vty 0 15
    . Указываем aceess list которым ограничен доступ по telnet
    access-class vty-access in
    . После 300 минут неактивности закрываем сессию
    exec-timeout 300 0
    history size 256
    transport preferred none
    transport input telnet
    transport output telnet
    escape-character 3
    !
    . Ключ, который используется для уатентификации в ntp
    ntp authentication-key 1 md5 xxxxxx xx
    . Включаем его использование
    ntp authenticate
    ntp trusted-key 1
    . Акцесс лист в котором указаны сервера
    ntp access-group peer 2
    . ntp сервера, по которым синхронизируем время
    ntp server 192.168.144.80 key 1
    ntp server 192.168.144.68 key 1
    !
    end

    net/tempate_catalyst.txt · Последние изменения: 2016/08/30 02:20 — citrin

    Инструменты страницы

    Сброс настроек на коммутаторе Cisco Catalyst 2950

    Это маленькая заметка о том, как сбросить все настройки Cisco IOS версии 12.X на коммутаторах Cisco на примере коммутатора Cisco Catalyst 2950 WS-C2950T-24.

    Для сброса настроек нам потребуется прямой физический доступ к порту console на задней части коммутатора и соответствующий кабель RJ45-DB9 (Female ). В случае отсутствия оригинального кабеля изготовить его можно самостоятельно используя схему распиновки, приведённую в документе Catalyst 2950 Switch Hardware Installation Guide (раздел Connectors and Cables ):

    Так как в большинстве современных компьютеров наличие COM-порта это редкость, для подключения выше-обозначенного интерфейсного кабеля к рабочей станции администратора можно воспользоваться конвертером DB9-USB. Я использую для этих целей конвертер “средней паршивости” TRENDnet-TU-S9.

    Итак, подключаемся с рабочей станции администратора через COM-порт к консоли коммутатора с помощью любого терминального клиента, например, PuTTy.

    Параметры терминального соединения:
    Speed — 9600, Data bits – 8. Stop bits – 1, Parity – None, Flow control – XON/XOFF

    После того как подключение к консоли установлено успешно (в терминальном клиенте появились данные с устройства), нажимаем на лицевой стороне коммутатора кнопку Mode. Удерживая кнопку Mode выключаем и затем снова включаем кабель питания.

    Дожидаемся первичной загрузки Boot Loader и приглашения загрузчика командной строки switch:.

    Вводим команду flash_init и нажимаем Enter.

    Вводим команду load_helper и нажимаем Enter .
    После этого выполним команду получения списка файлов расположенных на флэш-накопителе коммутатора командой dir flash:.

    Основная конфигурация коммутатора находится в файле config.text. список VLAN — в файле vlan.dat. Удалим эти файлы командой «delete » с указанием накопителя и имени файла:

    Отправляем коммутатор в перезагрузку:

    После того, как коммутатор будет загружен, IOS запустит процедуру первоначальной настройки, где можно будет задать новые учётные данные для доступа к устройству и сетевые параметры интерфейса управления. Если этого не произошло, можно запустить эту процедуры командой setup.

    Дополнительные источники информации: