16 марта 2010 в 09:50

Шаблон базовой настройки маршрутизатора Cisco

• Cisco

В последнее время приходится часто настраивать с нуля маршрутизаторы Cisco (в основном 800-1800 серии) для филиалов моей компании и дабы не набирать одни и теже команды третий десяток раз составил для себя небольшой шаблон настроек на разные случаи жизни. Сразу скажу что сертификаты от Cisco не получал, книжек по данным роутерам особо не читал, весь свой опыт приобрел методом научного тыка, курением мануалов на cisco.com и кое каким вдумчивым заимствованием кусков чужих конфигов…

Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем
#erase startup-config
дабы избавится от преднастроеного мусора и перегружаемся.

Настройка авторизации и доступа по SSH

Включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD

Даем имя роутеру
hostname <...>
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15

Настройка роутинга

Включаем ускоренную коммутацию пакетов
ip cef

Настройка времени

Временная зона GMT+2
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

Архивирование конфигов

Включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
log config
logging enable
hidekeys

Историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

Включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

Настройка локальной сети

Обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
description === LAN ===
ip address 192.168.???.1

Включаем на интерфейсе подсчет пакетов передаваемых клиентам - удобно просматривать кто съедает трафик
ip accounting output-packets

Посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

Исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168.???.1 192.168.???.99
! и настраиваем пул адресов
ip dhcp pool LAN
network 192.168.???.0 255.255.255.0
default-router 192.168.???.1
dns-server 192.168.???.1

Настройка Internet и Firewall

Настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
permit tcp any any eq 22

Включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

Настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
description === Internet ===
ip address ???.???.???.??? 255.255.255.???
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in

Ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 ???.???.???.???

Настройка NAT

На Интернет интерфейсе
interface FastEthernet0/0
ip nat outside

На локальном интерфейсе
interface Vlan1
ip nat inside

Создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168.???.??? any

Включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

Добавляем инспекцию популярных протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp

Отключение ненужных сервисов

No service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server

UPD. Убрал лишнее по советам хаброюзеров
UPD2. Добавил отключение ненужных сервисов
UPD3. Изменил настройка файрвола (спасибо

Очень часто у новичков возникает вопрос:

«Что нужно настроить на Cisco Catalyst с нуля?»

«Скачать дефолтовый конфиг для Cisco Catalyst»

«catalyst 2960 2950 3560 ip адрес по умолчанию»

«как настроить cisco catalyst «

Попробую немного помочь этим людям

1. Дефолтовых конфигов не бывает, т.к. у каждого своя сеть и свои «правила»
2. Нету у Cisco IP-адреса по умолчанию (это же не Dlink), все настраивается ручками и сначала через консоль.

Итак, попробуем разобраться в том, что желательно настроить на нулевом Cisco Catalyst ?

Например, часто встречающиеся:

• Cisco Catalyst 2950
• Cisco Catalyst 2960
• Cisco Catalyst 3550
• Cisco Catalyst 3560
• Cisco Catalyst 3560G

Я использовал Cisco Catalyst 3560G

0. Подключаемся к cisco по консольному кабелю через com порт:

FreeBSD через com порт:

cu -l /dev/cuad0

FreeBSD через переходник USB->Com:

• kldload uplcom.ko
• kldstat | grep uplcom (убедиться что подгрузился)
• подключить переходник к USB порту
• cu -l /dev/cuaU0

в Windows можно использовать Hiper Terminal для подключения к com порту

1. Зададим пароль на enable режим

Switch> enable
Switch# configure terminal
Switch(config)# enable password my-secret-password

2. Установим пароль для входа по telnet

Switch(config)# line vty 0 15
Switch(config-line)#password my-telnet-password

3. Сразу разрешим вход по telnet

Switch(config-line)# login
Switch(config)# exit

4. Зашифруем пароли, чтобы по sh run они не показывались в открытом виде

Switch(config)# service password-encryption

5. Зададим имя девайсу, например будет c3560G

Switch(config)# hostname c3560G

6. повесим / присвоим IP-адрес нашему девайсу

c3560G(config)# interface vlan 1
c3560G(config-if)# ip address 192.168.1.2 255.255.255.0
c3560G(config-if)# exit

7. Если вы ошибетесь при наборе чего либо в консоле, то циска начнет пытаться это отрезолвить, чем заставляет вас ждать, выключим эту фичу

c3560G(config)# no ip domain-lookup

8. Зададим имя домена

c3560G(config)# ip domain-name my-domain.ru

9. Зададим IP-адрес DNS сервера

c3560G(config)# ip name-server 192.168.1.15

10. Зададим время
если у вас есть доступный NTP сервер

c3560G(config)# ntp server 192.168.1.1 version 2 source vlan 1
c3560G(config)# ntp clock-period 36029056
c3560G(config)# ntp max-associations 1
где 192.168.1.1 - это IP-адрес NTP сервера
а используя «добавку» source vlan вы можете четко задать номер vlan с IP которого будет отправляться NTP запрос

если нет NTP сервера, то можно задать время вручную, но для этого придется выйти из режима конфигурирования

c3560G(config)# exit
c3560G# clock set 20:00:50 23 Aug 2008

11. Зададим переход с зимнего на летнее время и наоборот

c3560G# configure terminal
c3560G(config)# clock timezone MSK 3
c3560G(config)# clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00

12. Сделаем так, чтобы по команде show logging отображалось нормальное время, а не кол-во дней и т.п.

c3560G(config)# service timestamps log datetime localtime

13. Зададим дефолтовые настройки сразу всем портам на девайсе (у меня catalyst 24 порта + 4 SFP)

C3560G(config)# vlan 999
c3560G(config-vlan)# name unused_ports
c3560G(config-vlan)# shutdown
c3560G(config-vlan)# exit
c3560G(config)# interface range gi 0/1 - 28
c3560G(config-if-range)# description not_used
c3560G(config-if-range)# shutdown
c3560G(config-if-range)# no cdp enable
c3560G(config-if-range)# switchport nonegotiate
c3560G(config-if-range)# switchport access vlan 999
c3560G(config-if-range)# switchport mode access
c3560G(config-if-range)# exit

14. Выключим web-интерфейс, командная строка рулит

c3560G(config)# no ip http server

15. Зададим gateway по умолчанию (допустим это будет 192.168.1.1, т.к. мы присвоили девайсу IP 192.168.1.2/255.255.255.0)

c3560G(config)# ip default-gateway 192.168.1.1

16. Если этот свич будет моддерживать маршрутизацию (будет router`ом), то включим функцию маршрутизации (если это позволяет сам девайс и его прошивка)

3560G прекрасно справляется с функцией маршрутизации

c3560G(config)# ip routing
c3560G(config)# ip classless
c3560G(config)# ip subnet-zero

17. Если вы выолнили пункт 16-ть, то снова необходимо задать gateway по умолчанию, но уже другой командой

c3560G(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1

18. Настроим access-list для доступа к свичу только с определенных IP-адресов

c3560G(config)# ip access-list standard TELNET
c3560G(config-std-nacl)# permit 192.168.1.1
c3560G(config-std-nacl)# permit 192.168.1.15
c3560G(config-std-nacl)# exit

19. Применим этот access-list

c3560G(config)# line vty 0 15
c3560G(config-line)# access-class TELNET in

20. Зададим timeout неактивности telnet сессии, по истечении указанного времени, если вы в консольке ничего не вводили, то telnet соединение будет автоматически закрываться

c3560G(config-line)# exec-timeout 5 0
c3560G(config-line)# exit

21. Включим SNMP, но только read only (RO) и доступность только с хоста 192.168.1.1

c3560G(config)# snmp-server community RO-MY-COMPANY-NAME RO
c3560G(config)# snmp-server trap-source Vlan1
c3560G(config)# snmp-server source-interface informs Vlan1
c3560G(config)# snmp-server location SWITCH-LOCATION
c3560G(config)# snmp-server contact [email protected]
c3560G(config)# snmp-server host 192.168.1.1 RO-MY-COMPANY-NAME
c3560G(config)# exit

22. Ну и наконец сохраним свои труды

c3560G# copy running-config startup-config
или можно проще и короче

c3560G# wri

Море документации по catalyst`ам, и не только по ним, вы можете найти, ессно, на сайте производителя: www.cisco.com

Первоначальная настройка коммутатора Cisco.

December 18, 2009

В этой статье будет рассказано, про то как “запустить” свежекупленный коммутатор Cisco Catalyst 2960/3560/3750. В принципе, данные настройки применимы для всех коммутаторов cisco, данные серии коммутаторов указаны, более, для определенности.

Итак, у нас есть коммутатор Cisco Catalyst 2960 или 3560 или 3750. Внешне он будет выглядеть примерно так как на рис. 1.

На рис. 1 Перед нами “48″ портовый коммутатор который, если быть точным, обозначается как Catalyst 2960-48TC-S.

У него 48 портов 10/100 Ethernet мегабит в сек. (то есть портов которые могут работать как и на 10 мегабит в сек, так и на 100 мегабит сек в зависимости от того сколько мегабит в сек устройство к нему подключено на данный конкретный порт.) Кроме этих 48 портов, в нем дополнительно есть еще два порта 10/100/1000 (т.е. могущие работать и на 10 и на 100 и на 1000) и есть еще два места (слота) куда могут быть установлены так называемые модули SFP. SFP модули бывают и оптические, таким образом покупка за отдельную плату SFP модулей

и их установка в эти слоты позволит нам сделать так, чтоб наш коммутатор можно будет подключить по оптике к другим устройствам. Итого в данном коммутаторе есть 50 портов. То есть можно подключить к нему 50 устройств, 50 – не смотря на то, что есть 52 “дырочки”, так как одновременно работать SFP и медный “гигабитный” порт ПОД НИМ не могут. SFP слева и медный гигабитный справа – могут, но вот SFP “сверху” и “медный” порт под ним не могут.

Если посмотреть сзади (1) на этот коммутатор, то можно обнаружить еще две дырочки. Одна для подключения кабеля питания 220 вольт (2), вторая, похожая на порт к которому можно подключить ETHERNET , но которая таковым не является с надписью CONSOLE (3). Этот порт будет использоваться нами для первоначальной настройки коммутатора.

Внизу на рис. 2 представлен вид этого коммутатора сзади.

Берем голубой кабель который идет в комплекте с коммутатором. И подключаем его к COM порт компьютера. Запускаем программу HyperTerminal на компьютере. Выбираем COM порт к которому подключен коммутатор (обычно COM1), устанавливаем скорость передачи данных 9600 и включаем коммутатор.

При первом запуске коммутатора Cisco Catalyst, так как в нем нет никакой записанной конфигурации он запускает программу setup, которая посредством задания вам множества вопросов на английском языке, вроде бы сама пытается все настроить. Но имхо, этот setup только запутывает все, так что если вы увидите на экране такое:

То лучше сказать “n”, прервать тем самым setup, а потом самому настроить коммутатор с нуля. Тем более это очень просто.

Не бойтесь тут нажимать на что-то – вы ничего не сипортите. Жмите смело “n” и Enter потом.

После чего вы должны увидеть такое:

switch>

Это есть командный режим управления Коммутаторм Cisco. Дальше будем настраивать.

Первым делом нам нужно перейти в так называемый “привилегированный режим”, по сути это режим в котором можно конфигурировать, в отличии от того в котором мы находимся по умолчанию и имеем ограниченные воз0можности по управлению коммутатором. ” Привилегированный режим” это что-то вроде root режима в юникс и входа на windows пол админом. Переход в этот привелигированный режим производится просто – пишем enable и вводим пароль. Пароль по умолчанию на оборудовании cisco это либо “cisco”, либо “Cisco”, либо просто жмем enter не вводя ничего

switch>enable

Password:

Switch#

То что у нас изменилось приглашение на ввод и стало таким “switch#” говорит о том, что мы как раз вошли в тот самый привилегированный режим.

Задать ip адрес

Настроить параметры входа (в терминах cisco это настроить VTY, задать логин и пароль)

IP адрес для коммутатора cisco обычно задается заданием его на, так называемый, интерфейс VLAN 1. (Так как коммутатор, по идее, сам не обязательно должен иметь ip адрес для того чтоб выполнять свои функции, то ip адрес для его работы и не нужен. Он нужен только для управления им. А так как нет “физических” интерфейсов (портов) с IP адресами на коммутаторе, то такой адрес и задается виртуальному интерфейсу – который и является интерфейс VLAN 1).

Для того чтоб настраивать коммутатор Cisco нужно перейти в режим конфигурирования. Делает это заданием команды “configuration terminal”, что обозначает – ” настраиваем с терминала”. Задавать такую длинную команду лень. Мы и не будем. Дело в том, что cisco может сам по начальным буквам слова определять нужную команду (если введенные буквы неоднозначно определяют команду, то cisco его не выполнит, а предупредит об этом). Так что нам достаточно задать “conf t”

switch# conf t

Switch(config)#

switch(config)# – обозначает, что мы перешли в режим конфигурирования.

задаем ip адрес:

switch(config)#interface vlan 1 (входим в режим конфигурирования интерфеса VLAN 1)

Switch(config-if)#ip address 10.1.1.1 255.255.255.0 (задаем выбранный нами ip)

Switch(config-if)#no shutdown (эта команды включает интерфейс, по умолчанию он может быть выключен)

Switch(config-if)exit (выходим из режима конфигурирования интерфейса)

Switch(config)#exit (выходим из режима конфигурирования)

switch# conf t

Switch(config)# enable secret пароль_на_вход_в привилегированный режим

Switch(config)# exit

Switch#

Настраиваем параметры входа

switch# conf t

Switch(config)# line VTY 0 4

Switch(config-line)# login

Switch(config-line)#password пароль_на_вход

Switch(config-line)#exit

Switch(config)#exit

Switch#

Все. Первый сеанс настройки коммутатора Cisco почти завершен. Осталось только сохранить сделанную конфигурацию. Делается это командой “write mem”

switch# write mem

Building configuration

Switch#

Сохранились. Можно выдергивать консольный кабель, подключать к коммутатору компы и заходить, при необходимости, на данный коммутатор далее по телнет. При этом, для управления этим коммутатором нам нужно будет знать два пароля – “пароль_на_вход” и “пароль_на_вход_в привилегированный режим”. Запомните их.

Для быстрого конфигурирования коммутора можно сделать следующее:

Скопировать текст ниже в текстовый редактор, задать в нем ip адрес и пароли свои и просто вставить полученный текст (опция “передать главному компьютеру” в hyperterminal по клику правой мыши).

conf t

Interface vlan 1

Ip address 10.1.1.1 255.255.255.0

No shutdown

Exit

Enable secret пароль_на_вход_в привилегированный режим

Line VTY 0 4

Login

Password пароль_на_вход

Exit

Write mem

Компания Cisco - одна из ведущих транснациональных корпораций на рынке телекоммуникационного оборудования.

Продукция компании Cisco получила признание во всем мире из-за своей надежности и неприхотливости.

Настройка Cisco 2960: в этой статье мы выполним базовую настройку коммутатора. Статья будет полезна всем, начинающим работать с продукцией компании Cisco.

Шаг 1. Подключение оборудования Cisco

Настройка оборудования Cisco весьма специфична и несколько отличается от оборудования .

Например, для выполнения первичных настроек коммутаторов компании Cisco , нам потребуется фирменный плоский кабель RJ -45 – RS -232 голубого цвета (идет в комплекте с оборудованием) и наличие COM -порта на компьютере, с которого будет производиться настройка.

Решением вопроса является копирование папки HyperTerminal c Windows XP (месторасположение каталога – Program Files ) в любой удобный каталог Windows 7/8 .

Для запуска программы используется файл hypertrm .exe , который можно найти в той же папке.

Либо использовать программу Putty , которую помимо подключения к Cisco -оборудованию можно использовать для подключения к серверам, пр. с помощью SSH -подключения.

Переходим к подключению. На передней панели коммутатора ищем разъем RJ -45 с подписью «Console », и подключаем кабель.

Включаем питание коммутатора.

Заходим на компьютере в HyperTerminal, выбираем интерфейс разъема (COM1), скорость порта – 9600 Б/с, на все дальнейшие вопросы даем отрицательный ответ («No »).

Шаг 3. Общие принципы настройки оборудования Cisco

В целях безопасности на коммутаторах Cisco доступно 2 режима ввода команд: пользовательский режим для проверки состояния коммутатора и привилегированный режим (аналог пользователя root в UNIX или администратора в Windows) для изменения конфигурации коммутатора.

Для пользователей, привыкших работать в UNIX-системах, понять в каком режиме они работают не составит труда.

Для пользователей, работающих в Windows дадим пояснение, - если строка перед командной начинается с символа «#», вы в привилегированном режиме.

То же самое касается ввода пароля, как и в UNIX-системах, пароль, который вводит пользователь не отображается на экране.

Для перехода в привилегированный режим служит команда «enable», без кавычек, а для выхода «disable».

Приступим к первичной настройке коммутатора. При первой загрузке устройства мастер установки предложит выполнить пошаговую настройку, отказываемся от этого шага:

Continue with configuration dialog? : no

После чего оказываемся в пользовательский режиме:

Переходим в привилегированный режим, пароль по умолчанию, как правило, отсутствует, поэтому ничего не вводим, а нажимаем «Enter».

Switch> enable

Для задания настроек, касающихся всего коммутатора (задание имени коммутатора, IP-адреса , указание сервера синхронизации времени, пр), используется режим глобальной конфигурации, для настройки отдельных интерфейсов существует режим конфигурации интерфейса.

Шаг 4. Базовая настройка Cisco 2960

1. Изменим имя нашего коммутатора (по умолчанию имя Switch):

Switch# configure terminal

Switch(config)# hostname Switch01 (Задаем имя коммутатора – Switch01)

Switch01(config)#

В последующем это помогает быть уверенным, что конфигурация выполняется именно на нужном устройстве.

Также обращаем ваше внимание на то, что вместо длинных команд как, например, «configure terminal» существуют их короткие аналоги «conf t».

2. Зададим IP-адрес для интерфейса управления коммутатором.

Switch01(config)# interface fa0/0 (указываем интерфейс для настройки)

Switch01(config-if)# no shutdown (включаем интерфейс)

Switch01(config-if)# ip address 255.255.255.0 (задаем IP- адрес и маску)

Switch01(config-if)# exit (выходим из режима конфигурации интерфейса)

Switch01(config)#

3. Установим пароль для привилегированного режима:

Switch01(config)# enable secret pass1234 (пароль pass1234)

Switch01(config)# exit

Switch 01#

Важно! Установка пароля может быть выполнена двумя командами password и secret. В первом случае пароль хранится в конфигурационном файле в открытом виде, а во втором в зашифрованном. Если использовалась команда password , необходимо зашифровать пароли, хранящиеся в устройстве в открытом виде с помощью команды «service password-encryption» в режиме глобальной конфигурации.

4. Поскольку данные при telnet соединении передаются в открытом виде, для удаленного подключения к коммутатору будем использовать SSH -соединение позволяющее шифровать весь трафик.

Switch01# conf t

Switch 01(config )# ip domain name geek -nose .com (Указываем домен, если домена нет пишем любой)

Switch01(config)# crypto key generate rsa (Выполняем генерацию RSA- ключа для ssh)

Switch01(config)# ip ssh version 2 (Указываем версию ssh- протокола)

Switch01(config)# ip ssh autentification-retries 3 (Задаем кол- во попыток подключения по ssh)

Switch01(config)# service password-encryption (Сохраняем пароли в зашифрованном виде)

Switch 01(config )# line vty 0 2 (Переходим в режим конф-и терминальных линий)

Switch01(config-line)# transport input ssh (Разрешаем подключение только по ssh)

Switch01(config-line)# exec timeout 20 0 (Активируем автоматическое разъединение ssh- сессии через 20 минут)

Switch 01(config -line )# end (Выходим из режима конфигурирования)

Switch01# copy running-config startup-config (Сохраняем настройки)

Важно! Для выхода из подменю конфигурирования на 1 уровень выше, например, из «config -line » в «config » используется команда «exit ». Для полного выхода из режима конфигурирования используйте команду «end ».

Выше была описана базовая настройка ssh , с более продвинутой настройкой можно ознакомиться ниже:

Switch01# conf t

Switch01(config)# aaa new-model (Включаем ААА- протокол )

настроить cisco 3560

Всем привет, сегодня хочу рассмотреть вопрос, о том как настроить коммутаторы cisco 3 уровня модели OSI, на примере cisco 3560. Напомню, что коммутаторы cisco 3 уровня не используются для выхода в интернет в качестве шлюза, а только маршрутизируют трафик между vlan в локальной сети. Для выхода в интернет cisco как и все вендоры предоставляет маршрутизатор? ниже представлена самая распространенная схема подключения.

Оборудование и схема сети

Предположим, что у меня коммутатор 3 уровня cisco 3560 24 порта, он выглядит как то вот так.

Он будет маршрутизировать трафик между vlan в моей локальной сети, и к нему допустим будут подключены 3 коммутатора 2 уровня модели OSI, уровня доступа, коммутаторы cisco 2960, а сам cisco 3560 будет выступать в качестве коммутатора уровня распределения. Напомню, что на втором уровне коммутируется трафик на основе mac адресов. Уровень доступа это куда подключаются конечные устройства, в нашем случае компьютеры, сервера или принтеры.. Ниже схема.

Что такое коммутатор второго уровня

Коммутатор второго уровня это железка работающая на втором уровне сетевой модели OSI

• Коммутирует трафик на основе мак адресов
• Используется в качестве уровня доступа
• Служит для первичного сегментирования локальных сетей
• Самая маленькая стоимость за порт/пользователь

В технической документации коммутатор второго уровня обозначает в виде вот такого значка

Что такое коммутатор третьего уровня

Коммутатор третьего уровня это железка работающая на третьем уровне модели OSI умеющая:

• IP маршрутизация
• Агрегирование коммутаторов уровня доступа
• Использование в качестве коммутаторов уровня распределения
• Высокая производительность

В технической документации коммутатор третьего уровня обозначает в виде вот такого значка

Помогать мне будет в создании тестового стенда программа симулятор сети, Cisco packet tracer 6.2. Скачать Cisco packet tracer 6.2 , можно тут. Вот более детальная схема моего тестового полигона. В качестве ядра у меня cisco catalyst 3560, на нем два vlan: 2 и 3, со статическими ip адресами VLAN2 192.168.1.251 и VLAN3 192.168.2.251. Ниже два коммутатора уровня доступа, используются для организации VLAN и как аплинки. В локальной сети есть 4 компьютера, по два в каждом vlan. Нужно чтобы компьютер PC3 из vlan2 мог пинговать компьютер PC5 из vlan3.

С целью мы определились можно приступать. Напоминать, про то что такое vlan я не буду можете почитать тут.

Настройка cisco коммутатора 2 уровня

Настройка коммутатора второго уровня очень простая. Начнем настройку cisco catalyst 2960, как вы видите у меня компьютеры PC03 и PC04 подключены к Switch0, портам fa0/1 и fa0/2. По плану наш Switch0 должен иметь два vlan. Приступим к их созданию. Переходим в привилегированный режим и вводим команду

теперь в режим конфигурации

Создаем VLAN2 и VLAN3. Для этого пишем команду

задаем имя пусть так и будет VLAN2

Выходим из него

Аналогичным образом создаем VLAN3.

Теперь добавим интерфейс fa0/1 в vlan 2, а интерфейс fa0/2 в vlan 3. Пишем команду.

int fa 0/1

Говорим что порт будет работать в режиме доступа

switchport mode access

закидываем его в VLAN2

switchport access vlan 2

Теперь добавим fa0/2 в vlan 3.

switchport mode access

switchport access vlan 3

Теперь сохраним это все в памяти коммутатора командой

Настроим теперь trunk порт. В качестве trunk порта у меня будет гигабитный порт gig 0/1. Вводим команду для настройки порта gig 0/1.

Сделаем его режим trunk

switchport mode trunk

И разрешим через транк нужные вланы

Сохраняем настройки. Все настройка коммутатора второго уровня почти закончена.

Теперь таким же методом настраивает коммутатор Switch1 и компьютеры PC5 в VLAN2 и PC6 в VLAN3. Все на втором уровне модели OSI мы закончили, переходим к 3 уровню.

Настройка cisco 3560

Настройка cisco 3560, будет производится следующим образом. так как наше ядро должно маршрутизировать внутренний локальный трафик, то мы должны создать такие же vlan, задать им ip адреса, так как они будут выступать в роли шлюзов по умолчанию, а так же trunk порты.

Начнем с транк портов, у нас это gig 0/1 и gig 0/2.

заходим в настройку интерфейса gig 0/1 и gig 0/2

int range gig 0/1-2

Попытаемся включить режим транка

switchport mode trunk

но в итоге вы получите вот такую подсказку: Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode. Смысл ее в том, что вам сначала предлагают включить инкапсуляцию пакетов. Давайте настроим инкапсуляцию на cisco 3560.

switchport trunk encapsulation dot1q

Теперь укажем режим и разрешенные vlan

switchport mode trunk

switchport trunk allowed vlan 2,3

Сохраним настройки Cisco