Настройка Cisco 2960: устанавливаем коммутатор

С настройками сетевых коммутаторов Cisco сталкивается большинство сетевых инженеров. Рассмотрим более подробно начальную настройку на примере коммутатора Cisco 2960.

Рис.1. Коммутатор Cisco Catalyst 2960-X 48 GigE PoE 740W, 2 x 10G SFP+, LAN Base

Для подключения коммутатора к компьютеру для первичной настройки понадобится консольный кабель из комплекта коммутатора. Кабель может быть как с COM-портом, так и с современным USB-портом. Кабель выбирается в зависимости от наличия требуемого порта на управляющем компьютере. Вместо USB-кабеля возможно использование USB-COM переходника.

Рис. 2 Кабель с COM-портом для подсоединения коммутатора CISCO к компьютеру

Рис. 3 Переходник COM-USB для подключения коммутатора CISCO к компьютеру

В последнее время Cisco комплектует коммутаторы кабелями MiniUSB-USB для прямого подключения через порт MiniUSB к современным компьютерам. В таком случае необходимо использовать Cisco USB Console Driver. Для работы на компьютере под управлением Windows можно использовать любую терминальную программу (Hyperterminal, PuTTY и т.п.).

Первоначальная настройка коммутатора Cisco 2960

После начала сеанса связи с компьютером нам предлагается выполнить начальную настройку по встроенному сценарию в коммутаторе. Необходимо ответить “no”

Would you like to enter the initial configuration dialog? [yes/no]: no Press RETURN to get started! Switch>

Теперь мы в командной строке коммутатора. Вначале убедимся, что все настройки коммутатора сброшены к базовым.

Switch>enable Switch#show startup-config startup-config is not present Switch#

Из пользовательского режима переключаемся в привилегированный режим.

Switch>enable Switch#

Переключаемся в режим глобального конфигурирования.

Switch#configure terminal Enter configuration commands, one per line.  End with CNTL/Z. Switch(config)#

Задаем пароль для привилегированного режима.

Switch(config)#enable secret pass Switch(config)#

Рекомендуется запретить несанкционированный поиск в DNS.

Switch(config)#no ip domain-lookup Switch(config)#

Проверим настройку доступа по паролю. На экране ввода пароль не отображается.

Switch(config)#exit Switch#exit 01:19:48: %SYS-5-CONFIG_I: Configured from console by consoleexit Switch con0 is now available Press RETURN to get started. Unauthorized access is strictly prohibited. Switch>en Password:pass Switch#

Для доступа к управлению коммутатором настроим IP-адрес на виртуальном интерфейсе VLAN.

Switch#conf t Enter configuration commands, one per line.  End with CNTL/Z. Switch(config)#interface vlan1 1 Switch(config-if)#ip address 192.168.1.2 255.255.255.0 Switch(config-if)#no shutdown Switch(config-if)exit 03:21:33: %LINK-3-UPDOWN: Interface Vlan1, changed state to up 03:21:34: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up Switch(config)#

Установим пароль для доступа к консоли управления.

Switch(config)#line console 0 Switch(config-line)#password cisco Switch(config-line)#login Switch(config-line)#exit Switch(config)#

Для разрешения удаленного доступа по Telnet настроим VTY (Virtual Teletype).

Switch(config)#line vty 0 4 Switch(config-line)#password cisco Switch(config-line)#login Switch(config-line)#end Switch# 03:28:46: %SYS-5-CONFIG_I: Configured from console by console

Проверим состояние интерфейса SVI. Состояние интерфейса VLAN1 должно быть up/up, что указывает на его активное состояние и получение IP-адреса. Так как все порты коммутатора принадлежат VLAN1 по умолчанию, возможно обращаться к коммутатору на адрес, назначенный VLAN1.

Switch#show ip interface brief

Сохраним настройки.

Switch#copy running-config startup-config Destination filename [startup-config]? Building configuration… [OK] Switch#

Если необходима обратная задача – удаление текущих настроек коммутатора и возврат к настройкам по умолчанию, используем следующие команды.

Switch#erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete Switch# 06:48:31: %SYS-7-NV_BLOCK_INIT: Initalized the geometry of nvramreload Switch#reload Proceed with reload? [confirm] 06:48:46: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command

Для удаленного управления коммутатором по зашифрованному протоколу SSH  используем следующие настройки.

Switch# conf t

Включаем ААА—протокол.

Switch(config)# aaa new-model

Создаем пользователя root с максимальным уровнем привилегий – 15, пароль pass0.

Switch(config)# username root privilege 15 secret pass1230

Создаем правило доступа с названием 01, дающее право заходить по ssh всем хостам сети 192.168.0.0/24; вместо адреса сети можно указать IP-адрес.

Switch(config)# access—list 01 permit 192.168.0 0.0.0.255

Конфигурируем терминальные линии.

Switch(config)# line vty 0 2

Разрешаем вход в привилегированный режим.

Switch(config—line)# privilege level 15

Привязываем правило доступа по ssh к терминальной линии.

Switch(config—line)# access—class 23 in

Вывод лога только после полного ввода команды.

Switch(config—line)# logging synchronous

Выход из режима конфигурирования.

Switch(config—line)# end

Сохраняем настройки.

Switch# copy running-config startup-config

Как найти порт коммутатора Cisco 2960 с подключенным хостом

Часто возникает необходимость найти необходимый коммутатор и порт с подключенным пользователем или необходимым устройством. Нет необходимости искать визуально данный порт. Достаточно узнать MAC-адрес пользователя. Любой коммутатор хранит информацию о всех активных адресах. Допустим, необходимо найти порт коммутатора, в который подключен пользователь Петров с IP-адресом 192.168.10.100. MAC-адрес можно определить двумя способами:

• непосредственно на компьютере пользователя (под управлением Windows) с помощью команды ipconfig /all;

Рис. 4 Определение MAC-адреса на компьютере пользователя

• если известен IP-адрес компьютера пользователя, возможно узнать его MAC-адрес дистанционно при условии доступа к маршрутизатору Cisco (являющегося шлюзом по умолчанию для хоста). Таблица ARP маршрутизатора будет содержать необходимые соответствия MAC и IP-адреса.

Для поиска применяется команда sh arp | inc x.x.x.x, где х.х.х.х – ip адрес искомого хоста. Команда подается маршрутизатору.

Router#  sh arp | inc 192.168.10.100

Protocol	Address	Age (min)	Hardware Addr	Type	Interface
Internet	192.168.10.100	236	78ac.c0bb.74f2	ARPA	Vlan10

В протоколе видно, что устройство с ip адресом 192.168.10.100 имеет МАС-адрес 78ac.c0bb.74f2 и находится во Vlan 10. Определив МАС адрес устройства, проведем поиск его размещения на коммутаторе. Используем команду “show mac address-table”, которая выведет список всех МАС-адресов активных устройств, подключенных к коммутатору. Далее общаемся непосредственно с коммутатором.

Switch#sh mac address-table

Mac Address Table ——————————————- Vlan    Mac Address       Type        Ports —-         ————           ———      —— 1    1111.1111.1111    DYNAMIC     Fa0/1 2    2222.2222.2222    DYNAMIC     Fa0/2 3    3333.3333.3333    DYNAMIC     Fa0/3 4    4444.4444.4444    DYNAMIC     Fa0/4

Из-за значительного числа записей, которые присутствуют в этой таблице, рекомендуется использовать фильтр по нужному МАС адресу. Достаточно последних 4-х символов. В таком случае поиск МАС адреса 78ac.c0bb.74f2 выглядит так:

Switch#sh mac address-table | inc 74f2 10    78ac.c0bb.74f2    DYNAMIC     Gi0/1

Хост находится во Vlan 10, подключен к порту коммутатора Gigabitethernet 0/1.

Системный интегратор ВИСТЛАН устанавливает и конфигурирует локальные сети любой сложности на оборудовании Cisco.

Подключаем устройство через консольный кабель. При первой загрузке устройства мастер установки предложит выполнить пошаговую настройку, отказываемся от этого шага:

Continue with configuration dialog? [yes/no]: no

После чего оказываемся в пользовательский режиме:

Switch>

Переходим в привилегированный режим:

Switch> en Password:

Вводим пароль и жмем Enter

Switch#

Задаем имя коммутатора – C2960

Switch# configure terminal Switch(config)# hostname C2960 C2960(config)#

C2960(config)#vlan 2 C2960(config-vlan)#name ManagementVlan C2960(config-vlan)#ip address 192.168.200.1 255.255.255.0 C2960(config-vlan)# exit C2960(config)# exit C2960(config)#interface GigabitEthernet0/24 C2960(config-if)#switchport access vlan 2 C2960(config-if)#no shutdown C2960(config-if)# exit C2960(config)# exit

Альтернативный вариант:

C2960(config)# interface fa0/0 C2960(config-if)# no shutdown C2960(config-if)# ip address 192.168.200.1 255.255.255.0 C2960(config-if)# exit C2960(config)# exit

Установим пароль для привилегированного режима

C2960(config)# enable secret pa$$w0rd C2960(config)# exit C2960#

Установка пароля может быть выполнена командами password и secret. В первом случае пароль хранится в конфигурационном файле в открытом виде, а во втором — в зашифрованном. Если использовалась команда password, необходимо зашифровать пароли, хранящиеся в устройстве в открытом виде с помощью команды service password-encryption в режиме глобальной конфигурации.

Установим пароль для входа по telnet

C2960(config)# line vty 0 5 C2960(config-line)#password telnet-password

И разрешим вход по telnet:

C2960(config-line)# login C2960(config)# exit

Зашифруем пароли:

C2960(config)# service password-encryption

Если ошибиться при наборе чего-либо в консоли или ввести команду на русском, то Cisco попробует это отрезолвить, выключим эту особенность, не будем тратить время:

C2960(config)# no ip domain-lookup

Зададим имя домена:

C2960(config)# ip domain-name example-domain.com

Зададим IP-адрес DNS сервера:

C2960(config)# ip name-server 192.168.100.1

Чтобы по команде show logging отображалось нормальное время, а не количество дней и прочее пропишем:

C2960(config)# service timestamps log datetime localtime

Настроим access-list для доступа к свитчу только с указанных IP-адресов:

C2960(config)# ip access-list standard TELNET C2960(config-std-nacl)# permit 192.168.100.1 C2960(config-std-nacl)# permit 192.168.100.2 C2960(config-std-nacl)# exit

Применим этот access-list:

C2960(config)# line vty 0 5 C2960(config-line)# access-class TELNET in

Зададим timeout активности telnet сессии, по истечении указанного времени, если в консоли ничего не вводилось, то telnet соединение будет автоматически закрываться:

C2960(config-line)# exec-timeout 5 0 C2960(config-line)# exit

Напоследок сохраняемся:

C2960# copy running-config startup-config

или

C2960# wr

Компания Cisco — одна из ведущих транснациональных корпораций на рынке телекоммуникационного оборудования.

Продукция компании Cisco получила признание во всем мире из-за своей надежности и неприхотливости.

Содержание:

Настройка Cisco 2960: в этой статье мы выполним базовую настройку коммутатора. Статья будет полезна всем, начинающим работать с продукцией компании Cisco.

Шаг 1. Подключение оборудования Cisco

Настройка оборудования Cisco весьма специфична и несколько отличается от оборудования других производителей.

Например, для выполнения первичных настроек коммутаторов компании Cisco, нам потребуется фирменный плоский кабель RJ-45 – RS-232 голубого цвета (идет в комплекте с оборудованием) и наличие COM-порта на компьютере, с которого будет производиться настройка.

Большинство материнских плат современных настольных и портативных компьютеров не имеют соответствующего разъема. В таком случае необходимо искать переходник.

В последнее время Cisco стала комплектовать оборудование разъемом Mini—USB для консоли.

Для настройки устройства через порт Mini—USB, необходимо скачать cisco usb console driver.

Шаг 2. Настройка ГиперТерминала

Следующей проблемой, с которой вам придется столкнуться – это отсутствие ГиперТерминала (HyperTerminal) в Windows 7/8.

Решением вопроса является копирование папки HyperTerminalcWindowsXP (месторасположение каталога – ProgramFiles) в любой удобный каталог Windows 7/8.

Для запуска программы используется файл hypertrm.exe, который можно найти в той же папке.

Либо использовать программу Putty, которую помимо подключения к Cisco-оборудованию можно использовать для подключения к серверам, маршрутизаторам, пр. с помощью SSH-подключения.

Переходим к подключению. На передней панели коммутатора ищем разъем RJ-45 с подписью «Console», и подключаем кабель.

Включаем питание коммутатора.

Заходим на компьютере в HyperTerminal, выбираем интерфейс разъема (COM1), скорость порта – 9600 Б/с, на все дальнейшие вопросы даем отрицательный ответ («No»).

Шаг 3. Общие принципы настройки оборудования Cisco

В целях безопасности на коммутаторах Cisco доступно 2 режима ввода команд: пользовательский режим для проверки состояния коммутатора и привилегированный режим (аналог пользователя root в UNIX или администратора в Windows) для изменения конфигурации коммутатора.

Для пользователей, привыкших работать в UNIX-системах, понять в каком режиме они работают не составит труда.

Для пользователей, работающих в Windows дадим пояснение, — если строка перед командной начинается с символа «#», вы в привилегированном режиме.

То же самое касается ввода пароля, как и в UNIX-системах, пароль, который вводит пользователь не отображается на экране.

Для перехода в привилегированный режим служит команда «enable», без кавычек, а для выхода «disable».

Приступим к первичной настройке коммутатора. При первой загрузке устройства мастер установки предложит выполнить пошаговую настройку, отказываемся от этого шага:

Continue with configuration dialog? [yes/no]: no

После чего оказываемся в пользовательский режиме:

Switch>

Переходим в привилегированный режим, пароль по умолчанию, как правило, отсутствует, поэтому ничего не вводим, а нажимаем «Enter».

Switch> enable

Password:

Switch#

Для задания настроек, касающихся всего коммутатора (задание имени коммутатора, IP-адреса, указание сервера синхронизации времени, пр), используется режим глобальной конфигурации, для настройки отдельных интерфейсов существует режим конфигурации интерфейса.

Шаг 4. Базовая настройка Cisco 2960

1. Изменим имя нашего коммутатора (по умолчанию имя Switch):

Switch# configure terminal

Switch(config)# hostname Switch01 (Задаем имя коммутатора – Switch01)

Switch01(config)#

При наличии множества коммутаторов, рекомендуем в обязательном порядке присваивать уникальные имена для каждого из них.

В последующем это помогает быть уверенным, что конфигурация выполняется именно на нужном устройстве.

Также обращаем ваше внимание на то, что вместо длинных команд как, например, «configure terminal» существуют их короткие аналоги «conf t».

2. Зададим IP-адрес для интерфейса управления коммутатором.

Switch01(config)# interface fa0/0 (указываем интерфейс для настройки)

Switch01(config-if)# no shutdown (включаем интерфейс)

Switch01(config-if)# ip address 192.168.0.1 255.255.255.0 (задаем IP-адрес и маску)

Switch01(config-if)# exit (выходим из режима конфигурации интерфейса)

Switch01(config)#

3. Установим пароль для привилегированного режима:

Switch01(config)# enable secret pass1234 (пароль pass1234)

Switch01(config)# exit

Switch01#

Важно! Установка пароля может быть выполнена двумя командами password и secret. В первом случае пароль хранится в конфигурационном файле в открытом виде, а во втором в зашифрованном. Если использовалась команда password, необходимо зашифровать пароли, хранящиеся в устройстве в открытом виде с помощью команды «service password-encryption» в режиме глобальной конфигурации.

4. Поскольку данные при telnet соединении передаются в открытом виде, для удаленного подключения к коммутатору будем использовать SSH-соединение позволяющее шифровать весь трафик.

Switch01# clockset 12:00:00 15 April 2015 (Устанавливаем точное текущее время дату)

Switch01# conft

Switch01(config)# ipdomainnamegeek—nose.com (Указываем домен, если домена нет пишем любой)

Switch01(config)# crypto key generate rsa (Выполняем генерацию RSA-ключа для ssh)

Switch01(config)# ip ssh version 2 (Указываем версию ssh-протокола)

Switch01(config)# ip ssh autentification-retries 3 (Задаем кол—во попыток подключения по ssh)

Switch01(config)# service password-encryption (Сохраняем пароли в зашифрованном виде)

Switch01(config)# linevty 0 2 (Переходим в режим конф-и терминальных линий)

Switch01(config-line)# transport input ssh (Разрешаем подключение только по ssh)

Switch01(config-line)# exec timeout 20 0 (Активируем автоматическое разъединение ssh-сессии через 20 минут)

Switch01(config—line)# end (Выходим из режима конфигурирования)

Switch01# copy running-config startup-config (Сохраняем настройки)

Важно! Для выхода из подменю конфигурирования на 1 уровень выше, например, из «config—line» в «config» используется команда «exit». Для полного выхода из режима конфигурирования используйте команду «end».

Выше была описана базовая настройка ssh, с более продвинутой настройкой можно ознакомиться ниже:

Switch01# conft

Switch01(config)# aaa new-model (Включаем ААА—протокол)

Switch01(config)# usernamerootprivilege 15 secretpass1234 (Создаем пользователя root, с максимальным уровнем привилегий – 15, пароль pass1234)

Switch01(config)# access—list 01 permit 192.168.0 0.0.0.255 (Создаем правило доступа с названием 01 регламентирующие право заходить по ssh всем хостам сети 192.168.0.0/24; вместо адреса сети можно указать конкретный IP-адрес.

Внимательно подумайте есть ли необходимость в такой настройке для ваших задач.)

Switch01(config)# linevty 0 2 (Переходим в режим конф-и терминальных линий)

Switch01(config—line)# privilegelevel 15 (Разрешаем вход сразу в привилегированный режим )

Switch01(config—line)# access—class 23 in(Привязываем созданное правило доступа по ssh к терминальной линии)

Switch01(config—line)# loggingsynchronous (Очень неудобно когда лог-сообщения коммутатора прерывают ввод команд.

Отключая журнальные сообщения данной командой, коммутатор ждет завершение вводимой команды, а также вывода отчета о ее исполнении, после чего в случае необходимости выводит лог)

Switch01(config—line)# end (Выходим из режима конфигурирования)

Switch01# copy running-config startup-config (Сохраняем настройки)

На этом базовая настройка коммутатора Cisco 2960 завершена.

Используемые источники:

• https://www.vistlan.ru/info/blog/sovety-pokupatelyam/kak-nastraivat-cisco-2960/
• https://unlix.ru/базовая-настройка-коммутатора-cisco/
• http://geek-nose.com/nastrojka-cisco-2960-ustanavlivaem-kommutator/