Начальная конфигурация коммутатора Cisco

У меня в руках оказался коммутатор Cisco c3750x-24, На его примере, расскажу, о начальной настройке коммутатора.

При первом включении, после долгой загрузки коммутатор выдает предложение запустить диалог стартовой конфигурации:

Would you like to enter the initial configuration dialog? [yes/no]:

можно им воспользоваться, но я предпочитаю отказаться от него и выполнить конфигурацию вручную, поэтому отвечаем «no»

получаем приглашение «Switch>» и переходим в привилегированный режим командой «enable» после этого приглашение поменяется на «#»

Switch>enable
Switch#

Теперь перейдем в режим конфигурации коммутатора командой «configure terminal» и зададим пользователя «admin» и пароль для него

Switch(config)#username admin privilege 15 secret 0 [пароль]

privelege указывает на уровень привилегий для данного пользователя от 0 до 15 (15 самый высокий) secret указывает на то, что пароль будет храниться в зашифрованном виде, если  вместо secret написать password то пароль будет храниться в виде текста.

Дальше зададим пароль на enable:

Switch(config)#enable secret 0 [пароль]

Теперь перейдем к настройке aaa (authenticationauthorizationaccounting)

Switch(config)#aaa new-model
Switch(config)#aaa authentication login vty local
Switch(config)#aaa authorization network default if-authenticated

Затем настроим порядок аутентификации по telnet

Switch(config)#line vty 0 4
Switch(config-line)#login authentication vty
Switch(config-line)#exit
Switch(config)#line vty 5 15
Switch(config-line)#login authentication vty
Switch(config-line)#exit

Дальше нужно дать коммутатору IP адрес для того чтобы в дальнейшем можно было его конфигурировать и мониторить.




В рядовых случаях управление устройствами выносят в отдельный VLAN, в моем случае это VLAN 100, нужно объявить его на коммутаторе и задать порты которые являются членами данного VLAN, итак:

Switch(config)#vlan 100
Switch(config-vlan)#name "** Management"
Switch(config-vlan)#exit
Switch(config)#interface gigabitEthernet 1/0/21
Switch(config-if)#switchport access vlan 100
Switch(config-if)#exit

Мы объявили 100 VLAN дали ему имя «** Management» и сделали порт 21 его членом, теперь назначим коммутатору IP адрес 10.10.10.116 в этом влане.

Switch(config)#interface vlan 100
Switch(config-if)#ip address 10.10.10.116 255.255.255.0
Switch(config-if)#exit

Если компьютер с которого вы будете управлять на коммутатором находится в этой же подсети, то этого достаточно, но в моем случае все не совсем так, я попадаю в эту подсеть через маршрутизатор, поэтому нужно указать на коммутаторе адрес шлюза:

Switch(config)#ip default-gateway 10.10.10.1

Теперь можно испытать доступность коммутатора, подключив его 21 портом в нужную нам сеть и проверив доступность по telnet. Дальнейшую конфигурацию можем проводить удаленно (не через консольный порт).

Если у вас в сети есть NTP сервер, допустим с адресом 10.10.10.2 можно сказать, чтобы коммутатор брал время с него, делается это так:

Switch(config)#ntp server 10.10.10.2

Ну и напоследок можно дать коммутатору имя, я назову его «c3750x-3», т.к. на сегодняшний момент это третий подобный свитч в моей сети.

Switch(config)#hostname c3750x-3

Наконец не забываем сохранить выполненную нами конфигурацию, командой «write»

c3750x-3(config)#exit
c3750x-3#write
Building configuration...
[OK]

На этом первоначальную настройку можно считать завершенной, можно переходить к более детальной настройке коммутатора.

Начальная конфигурация коммутатора Cisco: 5 комментариев

  1. Нету темы по DMZ. В интернете нет таких подробных мануалов. А те которые есть они по Cisco ASA

  2. Долго искал и не мог понять какое оборудование нужно для dmz. У меня 2960. Думал что этого достаточно. Теперь знаю что нужна АСА. Теперь не могу найти толковую инструкцию как пробрасывать порты (например 80-й порт http) между двумя созданными вланами.

    1. Совершенно верно, что коммутатор не подходит для разграничения зон безопасности, не того класса устройство. Что касается доступа между 2 VLAN по определенным портам, на ASA, к сожалению не приходилось решать, такие задачи, т.к. работал с Juniper. Но логика следующая — требуется разделить VLAN на разные зоны безопасности и за тем настраивать правила взаимодействия между этими зонами, копайте в эту сторону. В терминах ASA должны быть интерфейсы с разными уровнями безопасности (security-level) и правила взаимодействия между этими уровнями.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *