У меня в руках оказался коммутатор Cisco c3750x-24, На его примере, расскажу, о начальной настройке коммутатора.
При первом включении, после долгой загрузки коммутатор выдает предложение запустить диалог стартовой конфигурации:
Would you like to enter the initial configuration dialog? [yes/no]:
можно им воспользоваться, но я предпочитаю отказаться от него и выполнить конфигурацию вручную, поэтому отвечаем «no»
получаем приглашение «Switch>» и переходим в привилегированный режим командой «enable» после этого приглашение поменяется на «#»
Switch>enable Switch#
Теперь перейдем в режим конфигурации коммутатора командой «configure terminal» и зададим пользователя «admin» и пароль для него
Switch(config)#username admin privilege 15 secret 0 [пароль]
privelege указывает на уровень привилегий для данного пользователя от 0 до 15 (15 самый высокий) secret указывает на то, что пароль будет храниться в зашифрованном виде, если вместо secret написать password то пароль будет храниться в виде текста.
Дальше зададим пароль на enable:
Switch(config)#enable secret 0 [пароль]
Теперь перейдем к настройке aaa (authentication, authorization, accounting)
Switch(config)#aaa new-model Switch(config)#aaa authentication login vty local Switch(config)#aaa authorization network default if-authenticated
Затем настроим порядок аутентификации по telnet
Switch(config)#line vty 0 4 Switch(config-line)#login authentication vty Switch(config-line)#exit Switch(config)#line vty 5 15 Switch(config-line)#login authentication vty Switch(config-line)#exit
Дальше нужно дать коммутатору IP адрес для того чтобы в дальнейшем можно было его конфигурировать и мониторить.
В рядовых случаях управление устройствами выносят в отдельный VLAN, в моем случае это VLAN 100, нужно объявить его на коммутаторе и задать порты которые являются членами данного VLAN, итак:
Switch(config)#vlan 100 Switch(config-vlan)#name "** Management" Switch(config-vlan)#exit Switch(config)#interface gigabitEthernet 1/0/21 Switch(config-if)#switchport access vlan 100 Switch(config-if)#exit
Мы объявили 100 VLAN дали ему имя «** Management» и сделали порт 21 его членом, теперь назначим коммутатору IP адрес 10.10.10.116 в этом влане.
Switch(config)#interface vlan 100 Switch(config-if)#ip address 10.10.10.116 255.255.255.0 Switch(config-if)#exit
Если компьютер с которого вы будете управлять на коммутатором находится в этой же подсети, то этого достаточно, но в моем случае все не совсем так, я попадаю в эту подсеть через маршрутизатор, поэтому нужно указать на коммутаторе адрес шлюза:
Switch(config)#ip default-gateway 10.10.10.1
Теперь можно испытать доступность коммутатора, подключив его 21 портом в нужную нам сеть и проверив доступность по telnet. Дальнейшую конфигурацию можем проводить удаленно (не через консольный порт).
Если у вас в сети есть NTP сервер, допустим с адресом 10.10.10.2 можно сказать, чтобы коммутатор брал время с него, делается это так:
Switch(config)#ntp server 10.10.10.2
Ну и напоследок можно дать коммутатору имя, я назову его «c3750x-3», т.к. на сегодняшний момент это третий подобный свитч в моей сети.
Switch(config)#hostname c3750x-3
Наконец не забываем сохранить выполненную нами конфигурацию, командой «write»
c3750x-3(config)#exit c3750x-3#write Building configuration... [OK]
На этом первоначальную настройку можно считать завершенной, можно переходить к более детальной настройке коммутатора.
Спасибо за статью. Мы теперь коллеги, я тоже буду заниматься этими, понимаешь, c3750g…
Нету темы по DMZ. В интернете нет таких подробных мануалов. А те которые есть они по Cisco ASA
Что конкретно по DMZ вы хотели бы узнать?
Долго искал и не мог понять какое оборудование нужно для dmz. У меня 2960. Думал что этого достаточно. Теперь знаю что нужна АСА. Теперь не могу найти толковую инструкцию как пробрасывать порты (например 80-й порт http) между двумя созданными вланами.
Совершенно верно, что коммутатор не подходит для разграничения зон безопасности, не того класса устройство. Что касается доступа между 2 VLAN по определенным портам, на ASA, к сожалению не приходилось решать, такие задачи, т.к. работал с Juniper. Но логика следующая — требуется разделить VLAN на разные зоны безопасности и за тем настраивать правила взаимодействия между этими зонами, копайте в эту сторону. В терминах ASA должны быть интерфейсы с разными уровнями безопасности (security-level) и правила взаимодействия между этими уровнями.