16 Μαρτίου 2010 στις 09:50

Πρότυπο βασικής διαμόρφωσης δρομολογητή Cisco

• Cisco

ΣΕ Πρόσφατασυχνά πρέπει να ρυθμιστούν από την αρχή Cisco routers(κυρίως σειρές 800-1800) για τα υποκαταστήματα της εταιρείας μου και για να μην πληκτρολογήσω τις ίδιες εντολές για τρίτη δωδεκάδα, δημιούργησα ένα μικρό πρότυπο για τον εαυτό μου για διαφορετικές ρυθμίσεις. Θα πω αμέσως ότι δεν έλαβα πιστοποιητικά από τη Cisco, δεν διάβασα ιδιαίτερα βιβλία σε αυτούς τους δρομολογητές, κέρδισα όλη μου την εμπειρία με επιστημονικό σπάσιμο, διαβάζοντας εγχειρίδια στο cisco.com και με κάποιο στοχαστικό δανεισμό κομματιών των ρυθμίσεων άλλων...

Λοιπόν, αποσυσκευάστε το ρούτερ, γεμίστε το πιο πρόσφατο υλικολογισμικό(η ελάχιστη προηγμένη ασφάλεια απαιτείται για το SSH), κάντε
#erase startup-config
για να απαλλαγείτε από τα προρυθμισμένα σκουπίδια και να κάνετε επανεκκίνηση.

Ρύθμιση εξουσιοδότησης και πρόσβασης μέσω SSH

Ενεργοποίηση κρυπτογράφησης κωδικού πρόσβασης
κρυπτογράφηση κωδικού πρόσβασης υπηρεσίας
! χρησιμοποιούμε νέο μοντέλοΑΑΑ και τοπική βάση δεδομένωνχρήστες
ααα νέο-μοντέλο
aaa έλεγχος ταυτότητας προεπιλεγμένη τοπική σύνδεση
! δημιουργήστε έναν χρήστη με μέγιστα δικαιώματα
όνομα χρήστη προνόμιο διαχειριστή 15 μυστικός ΚΩΔΙΚΟΣ ΚΩΔΙΚΟΣ

Δώστε ένα όνομα στο δρομολογητή
όνομα κεντρικού υπολογιστή<...>
ip domain-name router.domain
! δημιουργήστε ένα κλειδί για SSH
Το κλειδί κρυπτογράφησης δημιουργεί συντελεστή rsa 1024
! συντονισμός SSH
ip ssh time-out 60
ip ssh έλεγχος ταυτότητας-επαναπροσπαθήσεις 2
ip ssh έκδοση 2
! και επιτρέψτε το στην απομακρυσμένη κονσόλα
γραμμή vty 0 4
είσοδος μεταφοράς telnet ssh
επίπεδο προνομίων 15

Ρύθμιση δρομολόγησης

Ενεργοποίηση ταχείας εναλλαγής πακέτων
ip cef

Ρύθμιση της ώρας

Ζώνη ώρας GMT+2
ζώνη ώρας ρολογιού Ουκρανία 2
ρολόι θερινής ώρας Ουκρανίας επαναλαμβανόμενο την περασμένη Κυριακή Μαρ 2:00 περασμένη Κυριακή 2:00 Οκτωβρίου
! ενημέρωση του ρολογιού του συστήματος μέσω NTP
ntp ενημέρωση-ημερολόγιο
! Είναι καλύτερο να ρυθμίσετε τους διακομιστές ntp με IP, γιατί εάν ο διακομιστής DNS δεν είναι διαθέσιμος όταν ο διακομιστής DNS είναι υπερφορτωμένος, τότε οι ρυθμίσεις ονόματος χάνονται...
διακομιστής ntp NTP.SERVER.1.IP
διακομιστής ntp NTP.SERVER.2.IP

Αρχειοθέτηση παραμέτρων

Ενεργοποιούμε την αρχειοθέτηση όλων των αλλαγών παραμέτρων, αποκρύπτοντας τους κωδικούς πρόσβασης στα αρχεία καταγραφής
αρχείο
log config
ενεργοποίηση καταγραφής
κρυψώνες

Το ιστορικό των αλλαγών παραμέτρων μπορεί να προβληθεί με την εντολή
εμφάνιση όλων των ρυθμίσεων αρχείου καταγραφής

Ρυθμίσεις DNS

Ενεργοποίηση ανάλυσης ονόματος
αναζήτηση τομέα ip
! ενεργοποίηση εσωτερικού διακομιστή DNS
διακομιστής ip dns
! εγγραφουμε πάροχος DNS
ip name-server XXX.XXX.XXX.XXX
! σε περίπτωση που προσθέσουμε μερικά δημόσιο DNSδιακομιστές
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

Ρύθμιση τοπικού δικτύου

Συνήθως, οι θύρες του εσωτερικού διακόπτη στο δρομολογητή συνδυάζονται στο Vlan1
διεπαφή Vlan1
περιγραφή === LAN ===
διεύθυνση ip 192.168.???.1

Επιτρέπουμε την καταμέτρηση των πακέτων που μεταδίδονται στους πελάτες στη διεπαφή - είναι βολικό να δούμε ποιος καταναλώνει την κυκλοφορία
λογιστικά ip output-packets

Μπορείτε να δείτε τα στατιστικά στοιχεία χρησιμοποιώντας την εντολή
εμφάνιση λογιστικής ip
! Σαφή
καθαρή λογιστική ip

Ρύθμιση διακομιστή DHCP

Εξαίρεση ορισμένων διευθύνσεων από την πισίνα
ip dhcp excluded-address 192.168.???.1 192.168.???.99
! και δημιουργήστε μια ομάδα διευθύνσεων
ip dhcp πισίνα LAN
δικτύου 192.168.???.0 255.255.255.0
default-router 192.168.???.1
dns-server 192.168.???.1

Ρύθμιση Διαδικτύου και Τείχους προστασίας

Ρύθμιση του φίλτρου εισερχόμενη κίνηση(από προεπιλογή όλα είναι απενεργοποιημένα)
ip access-list εκτεταμένο τείχος προστασίας
άδεια tcp οποιαδήποτε εξίσωση 22

Ενεργοποιήστε την επιθεώρηση κυκλοφορίας μεταξύ του τοπικού δικτύου και του Διαδικτύου
ip inspect όνομα INSPECT_OUT dns
ip inspect όνομα INSPECT_OUT icmp
ip inspect όνομα INSPECT_OUT ntp
ip ελέγξτε το όνομα INSPECT_OUT tcp router-traffic
ip επιθεωρήστε το όνομα INSPECT_OUT udp router-traffic
ip ελέγξτε το όνομα INSPECT_OUT icmp router-traffic

Διαμορφώνουμε τη θύρα Διαδικτύου και προσαρτούμε κάποια προστασία σε αυτήν
διεπαφή FastEthernet0/0
περιγραφή === Διαδίκτυο ===
διεύθυνση IP ???.???.???.??? 255.255.255.???
εικονική επανασυναρμολόγηση ip
ip επαληθεύστε unicast αντίστροφη διαδρομή
χωρίς ανακατευθύνσεις ip
χωρίς ip directed-broadcast
χωρίς ip proxy-arp
δεν υπάρχει ενεργοποίηση cdp
ip έλεγχος INSPECT_OUT έξω
ip access-group FIREWALL in

Και τέλος, η προεπιλεγμένη πύλη
ip route 0.0.0.0 0.0.0.0 ???.???.???.???

Ρύθμιση NAT

Στη διεπαφή Διαδικτύου
διεπαφή FastEthernet0/0
ip nat έξω

Στην τοπική διεπαφή
διεπαφή Vlan1
ip nat μέσα

Δημιουργία λίστας IP με πρόσβαση στο NAT
ip access-list εκτεταμένη NAT
permit ip host 192.168.???.??? όποιος

Ενεργοποιήστε το NAT εξωτερική διεπαφή
ip nat μέσα στη λίστα πηγών Διεπαφή NAT Υπερφόρτωση FastEthernet0/0

Προσθήκη επιθεώρησης δημοφιλών πρωτοκόλλων
ip inspect όνομα INSPECT_OUT http
ip επιθεωρήστε το όνομα INSPECT_OUT https
ip inspect όνομα INSPECT_OUT ftp

Απενεργοποίηση περιττών υπηρεσιών

Δεν υπάρχει υπηρεσία tcp-small-servers
καμία υπηρεσία udp-small-servers
κανένα δάχτυλο υπηρεσίας
καμία διαμόρφωση υπηρεσίας
χωρίς σέρβις
χωρίς δάχτυλο ip
δεν υπάρχει πηγή-διαδρομή ip
χωρίς διακομιστή ip http
δεν υπάρχει ip http ασφαλής διακομιστής
χωρίς διακομιστή εκκίνησης ip

UPD. Αφαίρεσα τα περιττά πράγματα σύμφωνα με τις συμβουλές των habrousers
UPD2. Προστέθηκε η απενεργοποίηση περιττών υπηρεσιών
UPD3. Άλλαξε τη ρύθμιση του τείχους προστασίας (ευχαριστώ

Πολύ συχνά οι αρχάριοι έχουν μια ερώτηση:

"Τι πρέπει να ρυθμιστεί στο Cisco Catalyst από την αρχή;"

"Λήψη προεπιλεγμένων ρυθμίσεων για Cisco Catalyst"

"καταλύτης 2960 2950 3560 προεπιλεγμένη διεύθυνση IP"

"πώς να ρυθμίσετε τον καταλύτη cisco"

Θα προσπαθήσω να βοηθήσω λίγο αυτούς τους ανθρώπους

1. Δεν υπάρχουν προεπιλεγμένες ρυθμίσεις, επειδή... ο καθένας έχει το δικό του δίκτυο και τους δικούς του «κανόνες»
2. Η Cisco δεν έχει προεπιλεγμένη διεύθυνση IP (δεν είναι Dlink), όλα ρυθμίζονται χειροκίνητα και πρώτα μέσω της κονσόλας.

Λοιπόν, ας προσπαθήσουμε να καταλάβουμε τι είναι σκόπιμο να ρυθμίσετε σε έναν μηδενικό καταλύτη Cisco;

Για παράδειγμα, κοινά:

• Cisco Catalyst 2950
• Cisco Catalyst 2960
• Cisco Catalyst 3550
• Cisco Catalyst 3560
• Cisco Catalyst 3560G

χρησιμοποίησα Cisco Catalyst 3560G

0. Συνδεθείτε στο cisco μέσω καλωδίου κονσόλας μέσω θύρας com:

FreeBSD μέσω θύρας com:

cu -l /dev/cuad0

FreeBSD μέσω προσαρμογέα USB->Com :

• kldload uplcom.ko
• kldstat | grep uplcom (βεβαιωθείτε ότι είναι φορτωμένο)
• συνδέστε τον προσαρμογέα στη θύρα USB
• cu -l /dev/cuaU0

στα Windows μπορείτε να χρησιμοποιήσετε το Hiper Terminal για να συνδεθείτε θύρα com

1. Ορίστε έναν κωδικό πρόσβασης για τη λειτουργία ενεργοποίησης

Switch>enable
Τερματικό διαμόρφωσης διακόπτη#
Switch(config)# enable password my-secret-password

2. Ορίστε έναν κωδικό πρόσβασης για τη σύνδεση στο telnet

Switch(config)# line vty 0 15
Switch(config-line)#password my-telnet-password

3. Ας επιτρέψουμε αμέσως τη σύνδεση μέσω telnet

Switch(config-line)# login
Switch(config)# exit

4. Ας κρυπτογραφήσουμε τους κωδικούς πρόσβασης ώστε το sh run να μην τους εμφανίζει ανοιχτή μορφή

Switch(config)# υπηρεσία κωδικού πρόσβασης-κρυπτογράφηση

5. Ας δώσουμε στη συσκευή ένα όνομα, για παράδειγμα c3560G

Switch(config)# όνομα κεντρικού υπολογιστή c3560G

6. εκχώρηση / εκχώρηση διεύθυνσης IP στη συσκευή μας

c3560G(config)# διεπαφή vlan 1
c3560G(config-if)# διεύθυνση IP 192.168.1.2 255.255.255.0
c3560G(config-if)# έξοδος

7. Εάν κάνετε λάθος όταν πληκτρολογείτε κάτι στην κονσόλα, τότε το ciska θα αρχίσει να προσπαθεί να το επιλύσει, κάτι που σας κάνει να περιμένετε, απενεργοποιήστε αυτήν τη δυνατότητα

c3560G(config)# χωρίς αναζήτηση τομέα ip

8. Ορίστε το όνομα τομέα

c3560G(config)# ip domain-name my-domain.ru

9. Ας ορίσουμε Διεύθυνση IP DNSδιακομιστές

c3560G(config)# ip name-server 192.168.1.15

10. Ας ορίσουμε την ώρα
εάν έχετε διαθέσιμο διακομιστή NTP

c3560G(config)# ntp διακομιστής 192.168.1.1 έκδοση 2 πηγή vlan 1
c3560G(config)# ntp clock-period 36029056
c3560G(config)# ntp max-associations 1
όπου 192.168.1.1 είναι η διεύθυνση IP του διακομιστή NTP
και χρησιμοποιώντας το "add-on" source vlan, μπορείτε να καθορίσετε με σαφήνεια τον αριθμό vlan από την IP από την οποία θα σταλεί το αίτημα NTP

εάν δεν υπάρχει διακομιστής NTP, μπορείτε να ρυθμίσετε την ώρα χειροκίνητα, αλλά για να το κάνετε αυτό θα πρέπει να βγείτε από τη λειτουργία διαμόρφωσης

c3560G(config)# έξοδος
c3560G# σετ ρολογιού 20:00:50 23 Αυγούστου 2008

11. Ορίστε τη μετάβαση από το χειμώνα στο ΘΕΡΙΝΗ ΩΡΑκαι αντίστροφα

c3560G# τερματικό διαμόρφωσης
c3560G(config)# ζώνη ώρας ρολογιού MSK 3
c3560G(config)# ρολόι θερινή ώρα MSD επαναλαμβανόμενη περασμένη Κυριακή Μαρ 2:00 περασμένη Κυρ 2:00 Οκτ.

12. Ας βεβαιωθούμε ότι η εντολή show logging εμφανίζει την κανονική ώρα και όχι τον αριθμό των ημερών κ.λπ.

c3560G(config)# timestamps υπηρεσίας καταγραφή ημερομηνίας τοπικής ώρας

13. Ας ορίσουμε τις προεπιλεγμένες ρυθμίσεις σε όλες τις θύρες της συσκευής ταυτόχρονα (έχω καταλύτη 24 θύρες + 4 SFP)

C3560G(config)# vlan 999
c3560G(config-vlan)# όνομα unused_ports
c3560G(config-vlan)# τερματισμός λειτουργίας
c3560G(config-vlan)# έξοδος
c3560G(config)# εύρος διεπαφής gi 0/1 - 28
c3560G(config-if-range)# περιγραφή not_used
c3560G(config-if-range)# τερματισμός λειτουργίας
c3560G(config-if-range)# χωρίς ενεργοποίηση cdp
c3560G(config-if-range)# switchport nonegotiate
c3560G(config-if-range)# switchport access vlan 999
c3560G(config-if-range)# πρόσβαση σε λειτουργία θύρας μεταγωγής
c3560G(config-if-range)# έξοδος

14. Απενεργοποιήστε τη διεπαφή ιστού, γραμμή εντολώνκανόνες

c3560G(config)# χωρίς διακομιστή ip http

15. Ορίστε την προεπιλεγμένη πύλη (ας πούμε ότι θα είναι 192.168.1.1, αφού εκχωρήσαμε στη συσκευή IP 192.168.1.2/255.255.255.0)

c3560G(config)# ip default-gateway 192.168.1.1

16. Εάν αυτός ο διακόπτης υποστηρίζει δρομολόγηση (θα είναι δρομολογητής), τότε θα ενεργοποιήσουμε τη λειτουργία δρομολόγησης (αν το επιτρέπει η ίδια η συσκευή και το υλικολογισμικό της)

Το 3560G κάνει εξαιρετική δουλειά με τη λειτουργία δρομολόγησης

c3560G(config)# δρομολόγηση ip
c3560G(config)# ip χωρίς κλάση
c3560G(config)# ip subnet-zero

17. Εάν ολοκληρώσατε το βήμα 16, τότε πρέπει και πάλι να ορίσετε την προεπιλεγμένη πύλη, αλλά με διαφορετική εντολή

c3560G(config)# διαδρομή ip 0.0.0.0 0.0.0.0 192.168.1.1

18. Ρυθμίστε μια λίστα πρόσβασης για πρόσβαση στον διακόπτη μόνο με συγκεκριμένες διευθύνσεις IP

c3560G(config)# ip access-list standard TELNET
c3560G(config-std-nacl)# άδεια 192.168.1.1
c3560G(config-std-nacl)# άδεια 192.168.1.15
c3560G(config-std-nacl)# έξοδος

19. Ας εφαρμόσουμε αυτήν τη λίστα πρόσβασης

c3560G(config)# γραμμή vty 0 15
c3560G(config-line)# Access-class TELNET in

20. Ας ορίσουμε το χρονικό όριο για την αδράνεια της συνεδρίας telnet· μετά την καθορισμένη ώρα, εάν δεν εισαγάγατε τίποτα στην κονσόλα, η σύνδεση telnet θα κλείσει αυτόματα

c3560G(config-line)# exec-timeout 5 0
c3560G(config-line)# έξοδος

21. Ενεργοποιήστε το SNMP, αλλά μόνο για ανάγνωση (RO) και προσβάσιμο μόνο από τον κεντρικό υπολογιστή 192.168.1.1

c3560G(config)# snmp-server κοινότητα RO-MY-COMPANY-NAME RO
c3560G(config)# snmp-server trap-source Vlan1
c3560G(config)# snmp-server source-interface ενημερώνει το Vlan1
c3560G(config)# snmp-τοποθεσία διακομιστή SWITCH-LOCATION
c3560G(config)# snmp-επαφή διακομιστή [email προστατευμένο]
c3560G(config)# snmp-server host 192.168.1.1 RO-MY-COMPANY-NAME
c3560G(config)# έξοδος

22. Και τέλος, ας σώσουμε τα έργα μας

c3560G# copy running-config startup-config
ή μπορεί να είναι απλούστερο και πιο σύντομο

c3560G# wri

Μπορείτε να βρείτε μια τεράστια τεκμηρίωση για τους καταλύτες, και όχι μόνο για αυτούς, στον ιστότοπο του κατασκευαστή: www.cisco.com

Αρχική ρύθμιση ενός μεταγωγέα Cisco.

18 Δεκεμβρίου 2009

Αυτό το άρθρο θα σας πει πώς να "ξεκινήσετε" έναν πρόσφατα αγορασμένο διακόπτη Cisco Catalyst 2960/3560/3750. Κατ' αρχήν, αυτές οι ρυθμίσεις ισχύουν για όλους τους μεταγωγείς Cisco· αυτές οι σειρές διακοπτών υποδεικνύονται, επιπλέον, για βεβαιότητα.

Έτσι, έχουμε έναν διακόπτη Cisco Catalyst 2960 ή 3560 ή 3750. Εξωτερικά, θα μοιάζει κάπως στο Σχ. 1.

Στο Σχ. 1 Μπροστά μας βρίσκεται ένας διακόπτης θύρας “48″, ο οποίος, για την ακρίβεια, ορίζεται ως Catalyst 2960-48TC-S.

Διαθέτει 48 θύρες Ethernet 10/100 Mbps. (δηλαδή θύρες που μπορούν να λειτουργήσουν και στα 10 megabits ανά δευτερόλεπτο και στα 100 megabits ανά δευτερόλεπτο, ανάλογα με το πόσα megabits ανά δευτερόλεπτο είναι συνδεδεμένη η συσκευή στη συγκεκριμένη θύρα.) Εκτός από αυτές τις 48 θύρες, έχει επιπλέον δύο θύρες 10/100/1000 (δηλαδή, μπορούν να λειτουργήσουν σε 10, 100 και 1000) και υπάρχουν δύο ακόμη μέρη (υποδοχές) όπου μπορούν να εγκατασταθούν οι λεγόμενες μονάδες SFP. Οι μονάδες SFP είναι επίσης οπτικές, επομένως αγοράζετε μονάδες SFP με ξεχωριστή χρέωση

και η εγκατάστασή τους σε αυτές τις υποδοχές θα μας επιτρέψει να βεβαιωθούμε ότι ο διακόπτης μας μπορεί να συνδεθεί μέσω οπτικών σε άλλες συσκευές. Συνολικά, αυτός ο διακόπτης έχει 50 θύρες. Δηλαδή, μπορείτε να συνδέσετε 50 συσκευές σε αυτό, 50 - παρά το γεγονός ότι υπάρχουν 52 "τρύπες", καθώς το SFP και η χάλκινη θύρα "gigabit" UNDER IT δεν μπορούν να λειτουργήσουν ταυτόχρονα. Η SFP στα αριστερά και η χάλκινη θύρα gigabit στα δεξιά μπορούν, αλλά η SFP "από πάνω" και η θύρα "χάλκινη" κάτω από αυτήν δεν μπορούν.

Αν κοιτάξετε το πίσω μέρος (1) αυτού του διακόπτη, μπορείτε να βρείτε δύο ακόμη τρύπες. Ένα για τη σύνδεση καλωδίου τροφοδοσίας 220 volt (2), το δεύτερο, παρόμοιο με μια θύρα στην οποία μπορείτε να συνδέσετε ETHERNET, αλλά που δεν είναι μια με την επιγραφή CONSOLE (3). Θα χρησιμοποιήσουμε αυτήν τη θύρα για να διαμορφώσουμε αρχικά τον διακόπτη.

Παρακάτω στο Σχ. Το σχήμα 2 δείχνει την πίσω όψη αυτού του διακόπτη.

Παίρνουμε το μπλε καλώδιο που συνοδεύει τον διακόπτη. Και συνδέστε το με Θύρα COMυπολογιστή. Εκκινήστε το πρόγραμμα HyperTerminal στον υπολογιστή σας. Επιλέξτε τη θύρα COM στην οποία είναι συνδεδεμένος ο διακόπτης (συνήθως COM1), ρυθμίστε τον ρυθμό μεταφοράς δεδομένων στο 9600 και ενεργοποιήστε τον διακόπτη.

Όταν ξεκινάτε για πρώτη φορά το μεταγωγέα Cisco Catalyst, επειδή δεν έχει εγγραφεί καμία ρύθμιση παραμέτρων, εκτελεί ένα πρόγραμμα εγκατάστασης που σας θέτει μια σειρά από ερωτήσεις για να αγγλική γλώσσα, φαίνεται σαν να προσπαθεί να ρυθμίσει τα πάντα μόνη της. Αλλά IMHO, αυτή η ρύθμιση απλώς μπερδεύει τα πάντα, οπότε αν δείτε αυτό στην οθόνη:

Είναι καλύτερα να πείτε "n", διακόπτοντας έτσι τη ρύθμιση και, στη συνέχεια, διαμορφώστε τον διακόπτη μόνοι σας από την αρχή. Επιπλέον, είναι πολύ απλό.

Μην φοβάστε να κάνετε κλικ σε κάτι εδώ - δεν θα χαλάσετε τίποτα. Μη διστάσετε να πατήσετε το "n" και να το Enter αργότερα.

Μετά από αυτό θα πρέπει να δείτε αυτό:

διακόπτης>

Ειναι εκει λειτουργία εντολής Cisco Switch Management. Στη συνέχεια θα το διαμορφώσουμε.

Πρώτα απ 'όλα, πρέπει να πάμε στη λεγόμενη "προνομιακή λειτουργία", ουσιαστικά αυτή είναι μια λειτουργία στην οποία μπορούμε να διαμορφώσουμε, σε αντίθεση με αυτήν στην οποία βρισκόμαστε από προεπιλογή και έχουμε περιορισμένες δυνατότητες διαχείρισης του διακόπτη. Η "προνομιακή λειτουργία" είναι κάτι σαν τη λειτουργία root στο Unix και συνδεθείτε στα Windows ως διαχειριστής. Η μετάβαση σε αυτήν την προνομιακή λειτουργία είναι απλή - γράψτε enable και εισαγάγετε τον κωδικό πρόσβασης. Ο προεπιλεγμένος κωδικός πρόσβασης στον εξοπλισμό της cisco είναι είτε "cisco" ή "Cisco" ή απλά πατήστε Enterχωρίς να μπει τίποτα

switch>enable

Κωδικός πρόσβασης:

Διακόπτης#

Το γεγονός ότι η προτροπή εισαγωγής μας άλλαξε και έγινε "διακόπτης#" υποδηλώνει ότι μόλις μπήκαμε στην ίδια προνομιακή λειτουργία.

Ορισμός διεύθυνσης IP

Διαμόρφωση παραμέτρων σύνδεσης (με όρους Cisco αυτό σημαίνει ρύθμιση VTY, ορισμός σύνδεσης και κωδικού πρόσβασης)

Η διεύθυνση IP για έναν μεταγωγέα Cisco ρυθμίζεται συνήθως με τη ρύθμιση του στο λεγόμενο Διασύνδεση VLAN 1. (Δεδομένου ότι ο ίδιος ο διακόπτης, θεωρητικά, δεν χρειάζεται απαραίτητα να έχει διεύθυνση IP για να εκτελεί τις λειτουργίες του, δεν χρειάζεται διεύθυνση IP για τη λειτουργία του. Χρειάζεται μόνο για τη διαχείρισή του. Και επειδή δεν υπάρχουν «φυσικές» διεπαφές (θύρες) με διευθύνσεις IP στο μεταγωγέα, τότε αυτή η διεύθυνση ορίζεται εικονική διεπαφή– που είναι η διεπαφή VLAN 1).

Για να διαμορφώσετε έναν διακόπτη Cisco, πρέπει να μεταβείτε στη λειτουργία διαμόρφωσης. Αυτό γίνεται με τον καθορισμό της εντολής "τερματικό διαμόρφωσης", που σημαίνει "διαμόρφωση από το τερματικό". Είναι πολύ τεμπέλικο να εκδίδεις τόσο μεγάλη εντολή. Δεν θα το κάνουμε. Το γεγονός είναι ότι η ίδια η Cisco μπορεί να προσδιορίσει από τα αρχικά γράμματα μιας λέξης η σωστή εντολή(εάν τα εισαγόμενα γράμματα ορίζουν διφορούμενα την εντολή, τότε η cisco δεν θα την εκτελέσει, αλλά θα προειδοποιήσει για αυτήν). Οπότε πρέπει απλώς να ορίσουμε το "conf t"

διακόπτης# conf t

Switch(config)#

switch(config)# – σημαίνει ότι έχουμε μπει σε λειτουργία διαμόρφωσης.

ορίστε τη διεύθυνση IP:

switch(config)#interface vlan 1 (εισαγωγή σε λειτουργία διαμόρφωσης διασύνδεσης VLAN 1)

Switch(config-if)#ip address 10.1.1.1 255.255.255.0 (ορίστε την ip που επιλέξαμε)

Switch(config-if)#no shutdown (αυτή η εντολή ενεργοποιεί τη διεπαφή, μπορεί να είναι απενεργοποιημένη από προεπιλογή)

Switch(config-if)exit (έξοδος από τη λειτουργία διαμόρφωσης διεπαφής)

Switch(config)#exit (έξοδος από τη λειτουργία διαμόρφωσης)

διακόπτης# conf t

Switch(config)# ενεργοποίηση μυστικού κωδικού πρόσβασης για προνομιακή λειτουργία

Switch(config)# exit

Διακόπτης#

Διαμόρφωση παραμέτρων σύνδεσης

διακόπτης# conf t

Switch(config)# line VTY 0 4

Switch(config-line)# login

Switch(config-line)#password login_password

Switch(config-line)#exit

Switch(config)#exit

Διακόπτης#

Ολα. Η πρώτη συνεδρία εγκατάστασης μεταγωγέα Cisco έχει σχεδόν ολοκληρωθεί. Το μόνο που μένει είναι να αποθηκεύσετε τη διαμόρφωση που έχετε κάνει. Αυτό γίνεται με την εντολή "write mem"

διακόπτης# γράψε mem

Διαμόρφωση κτιρίου

Διακόπτης#

Διατηρημένο. Μπορείτε να τραβήξετε το καλώδιο της κονσόλας, να συνδέσετε υπολογιστές στο διακόπτη και, εάν χρειάζεται, να αποκτήσετε περαιτέρω πρόσβαση σε αυτόν τον διακόπτη μέσω telnet. Ταυτόχρονα, για να διαχειριστούμε αυτόν τον διακόπτη θα χρειαστεί να γνωρίζουμε δύο κωδικούς - "login_password" και "privileged mode_login_password". Θυμηθείτε τους.

Για να ρυθμίσετε γρήγορα τον διακόπτη, μπορείτε να κάνετε τα εξής:

Αντιγράψτε το παρακάτω κείμενο σε επεξεργαστής κειμένου, ορίστε τη διεύθυνση IP και τους κωδικούς πρόσβασης σε αυτό και απλώς επικολλήστε το κείμενο που προκύπτει (την επιλογή «αποστολή στον κεντρικό υπολογιστή» στο υπερτερματικό κάνοντας δεξί κλικ).

conf t

Διεπαφή vlan 1

Διεύθυνση IP 10.1.1.1 255.255.255.0

Χωρίς διακοπή λειτουργίας

Εξοδος

Ενεργοποίηση μυστικού κωδικού πρόσβασης_to_login_to προνομιακή λειτουργία

Γραμμή VTY 0 4

Σύνδεση

Κωδικός πρόσβασης Κωδικός πρόσβασης

Εξοδος

Γράψτε μιμίδιο

Η Cisco είναι μία από τις κορυφαίες διεθνικές εταιρείες στην αγορά τηλεπικοινωνιακού εξοπλισμού.

Τα προϊόντα Cisco έχουν κερδίσει την αναγνώριση σε όλο τον κόσμο λόγω της αξιοπιστίας και της ανεπιτήδευσής τους.

Εγκατάσταση Cisco 2960: Σε αυτό το άρθρο, θα εκτελέσουμε τη βασική ρύθμιση του διακόπτη. Το άρθρο θα είναι χρήσιμο σε όλους όσους αρχίζουν να εργάζονται με προϊόντα Cisco.

Βήμα 1: Σύνδεση εξοπλισμού Cisco

Ρυθμίσεις Εξοπλισμός Ciscoπολύ συγκεκριμένο και κάπως διαφορετικό από τον εξοπλισμό.

Για παράδειγμα, για να εκτελέσουμε τις αρχικές ρυθμίσεις των διακοπτών Cisco, θα χρειαστούμε ένα ιδιόκτητο μπλε επίπεδο καλώδιο RJ-45 – RS-232 (περιλαμβάνεται με τον εξοπλισμό) και μια θύρα COM στον υπολογιστή από την οποία θα γίνουν οι ρυθμίσεις.

Η λύση στο πρόβλημα είναι να αντιγράψετε τον φάκελο HyperTerminal από τα Windows XP (θέση καταλόγου - Αρχεία προγράμματος) σε οποιοδήποτε βολικός κατάλογος Windows 7/8.

Για να εκτελέσετε το πρόγραμμα, χρησιμοποιήστε το αρχείο hypertrm .exe, το οποίο βρίσκεται στον ίδιο φάκελο.

Ή χρησιμοποιήστε το πρόγραμμα Putty, το οποίο, εκτός από τη σύνδεση με εξοπλισμό Cisco, μπορεί να χρησιμοποιηθεί για σύνδεση σε διακομιστές κ.λπ. χρησιμοποιώντας σύνδεση SSH.

Ας προχωρήσουμε στη σύνδεση. Στον μπροστινό πίνακα του διακόπτη, αναζητήστε την υποδοχή RJ-45 με την ένδειξη "Κονσόλα" και συνδέστε το καλώδιο.

Ενεργοποιήστε το διακόπτη.

Πηγαίνουμε στο HyperTerminal στον υπολογιστή, επιλέγουμε τη διεπαφή σύνδεσης (COM1), η ταχύτητα θύρας είναι 9600 B/s και απαντάμε αρνητικά ("Όχι") σε όλες τις περαιτέρω ερωτήσεις.

Βήμα 3. Γενικές αρχές για την εγκατάσταση εξοπλισμού Cisco

Για λόγους ασφαλείας, οι μεταγωγείς Cisco έχουν διαθέσιμες 2 λειτουργίες εισαγωγής εντολών: λειτουργία χρήστη για έλεγχο της κατάστασης του διακόπτη και προνομιακή λειτουργία (ανάλογη με χρήστης rootσε UNIX ή διαχειριστή στα Windows) για να αλλάξετε τη διαμόρφωση του διακόπτη.

Για τους χρήστες που έχουν συνηθίσει να εργάζονται σε συστήματα UNIX, δεν θα είναι δύσκολο να καταλάβουν σε ποιο τρόπο λειτουργούν.

Για χρήστες που εργάζονται σε Windows, θα δώσουμε μια εξήγηση - εάν η γραμμή πριν από την εντολή ξεκινά με τον χαρακτήρα "#", βρίσκεστε σε προνομιακή λειτουργία.

Το ίδιο ισχύει και για την εισαγωγή κωδικού πρόσβασης, καθώς στα συστήματα UNIX, ο κωδικός που εισάγει ο χρήστης δεν εμφανίζεται στην οθόνη.

Για να μεταβείτε σε προνομιακή λειτουργία, χρησιμοποιήστε την εντολή "enable", χωρίς εισαγωγικά και για έξοδο από την "απενεργοποίηση".

Ας αρχίσουμε αρχική εγκατάστασηδιακόπτης. Όταν εκκινείτε τη συσκευή σας για πρώτη φορά, ο οδηγός εγκατάστασης θα σας ζητήσει να το κάνετε βήμα προς βήμα ρύθμιση, εγκαταλείπουμε αυτό το βήμα:

Συνέχεια με το παράθυρο διαλόγου διαμόρφωσης; : όχι

Τότε βρισκόμαστε σε λειτουργία χρήστη:

Μεταβαίνουμε σε προνομιακή λειτουργία, ο προεπιλεγμένος κωδικός πρόσβασης, κατά κανόνα, απουσιάζει, επομένως δεν εισάγουμε τίποτα, αλλά πατάμε "Enter".

Switch>enable

Για να ρυθμίσετε τις ρυθμίσεις που σχετίζονται με ολόκληρο το διακόπτη (ρύθμιση ονόματος μεταγωγέα, διεύθυνση IP, καθορισμός διακομιστή συγχρονισμού ώρας, κ.λπ.), χρησιμοποιείται η καθολική λειτουργία διαμόρφωσης· για τη διαμόρφωση μεμονωμένων διεπαφών, υπάρχει μια λειτουργία διαμόρφωσης διεπαφής.

Βήμα 4: Βασική εγκατάσταση Cisco 2960

1. Αλλάξτε το όνομα του διακόπτη μας (το προεπιλεγμένο όνομα είναι Switch):

Τερματικό διαμόρφωσης διακόπτη#

Switch(config)# όνομα κεντρικού υπολογιστή Switch01 (Ορίστε το όνομα του διακόπτη – Switch01)

Switch01(config)#

Στο μέλλον, αυτό βοηθά να είστε βέβαιοι ότι η διαμόρφωση πραγματοποιείται ακριβώς επιθυμητή συσκευή.

Εφιστούμε επίσης την προσοχή σας στο γεγονός ότι αντί για μεγάλες εντολές όπως "configure terminal", υπάρχουν σύντομα ανάλογα "conf t".

2. Ορίστε τη διεύθυνση IP για τη διεπαφή διαχείρισης μεταγωγέα.

Switch01(config)# interface fa0/0 (καθορίστε τη διεπαφή προς διαμόρφωση)

Switch01(config-if)# χωρίς τερματισμό (ενεργοποιήστε τη διεπαφή)

Switch01(config-if)# διεύθυνση IP 255.255.255.0 (ορίστε τη διεύθυνση IP και τη μάσκα)

Switch01(config-if)# έξοδος (έξοδος από τη λειτουργία διαμόρφωσης διεπαφής)

Switch01(config)#

3. Ορίστε έναν κωδικό πρόσβασης για την προνομιακή λειτουργία:

Switch01(config)# enable secret pass1234 (κωδικός πρόσβασης 1234)

Έξοδος Switch01(config)#

Διακόπτης 01#

Σπουδαίος!Ο ορισμός ενός κωδικού πρόσβασης μπορεί να γίνει με δύο εντολές: κωδικός πρόσβασης και μυστικός. Στην πρώτη περίπτωση, ο κωδικός πρόσβασης αποθηκεύεται στο αρχείο ρυθμίσεωνσε καθαρή μορφή και στη δεύτερη σε κρυπτογραφημένη μορφή. Εάν χρησιμοποιήσατε την εντολή κωδικού πρόσβασης, πρέπει να κρυπτογραφήσετε τους κωδικούς πρόσβασης που είναι αποθηκευμένοι σε καθαρό κείμενο στη συσκευή χρησιμοποιώντας την εντολή "κρυπτογράφηση κωδικού πρόσβασης υπηρεσίας" σε λειτουργία καθολικής διαμόρφωσης.

4. Δεδομένου ότι τα δεδομένα κατά τη διάρκεια μιας σύνδεσης telnet μεταδίδονται σε καθαρό κείμενο, για απομακρυσμένη σύνδεσηΘα χρησιμοποιήσουμε μια σύνδεση SSH στο διακόπτη, η οποία μας επιτρέπει να κρυπτογραφούμε όλη την κίνηση.

Switch01# conf t

Switch 01(config )# ip domain name geek -nose .com (Καθορίστε τον τομέα, εάν δεν υπάρχει τομέας, γράψτε κάποιον)

Switch01(config)# κλειδί κρυπτογράφησης δημιουργεί rsa (Δημιουργούμε ένα κλειδί RSA για ssh)

Switch01(config)# ip ssh έκδοση 2 (Καθορίστε την έκδοση πρωτοκόλλου ssh)

Switch01(config)# ip ssh authentication-retries 3 (Ορίστε τον αριθμό των προσπαθειών σύνδεσης μέσω ssh)

Switch01(config)# υπηρεσία κωδικού πρόσβασης-κρυπτογράφηση (Αποθήκευση κωδικών πρόσβασης σε κρυπτογραφημένη μορφή)

Διακόπτης 01(config )# line vty 0 2 (Μετάβαση στη λειτουργία διάσκεψης και τερματικών γραμμών)

Switch01(config-line)# είσοδος μεταφοράς ssh (Επιτρέπονται οι συνδέσεις μόνο μέσω ssh)

Switch01(config-line)# exec timeout 20 0 (Ενεργοποιούμε την αυτόματη αποσύνδεση της συνεδρίας ssh μετά από 20 λεπτά)

Διακόπτης 01 (config -line )# end (Έξοδος από τη λειτουργία διαμόρφωσης)

Switch01# copy running-config startup-config (Αποθηκεύστε τις ρυθμίσεις)

Σπουδαίος!Για έξοδο από το υπομενού διαμόρφωσης ένα επίπεδο υψηλότερα, για παράδειγμα, από το "config -line" στο "config" χρησιμοποιήστε την εντολή "exit". Για πλήρης έξοδοςαπό τη λειτουργία διαμόρφωσης, χρησιμοποιήστε την εντολή "end".

Περιγράφηκε παραπάνω βασική ρύθμιση ssh, μπορείτε να βρείτε πιο προηγμένες ρυθμίσεις παρακάτω:

Switch01# conf t

Switch01(config)# aaa new-model (Ενεργοποίηση πρωτοκόλλου AAA)

διαμορφώστε το cisco 3560

Γεια σε όλους, σήμερα θέλω να εξετάσω το ερώτημα πώς να ρυθμίσετε τους διακόπτες Cisco επιπέδου 3 του μοντέλου OSI, χρησιμοποιώντας ως παράδειγμα το Cisco 3560. Επιτρέψτε μου να σας υπενθυμίσω ότι οι διακόπτες επιπέδου 3 της Cisco δεν χρησιμοποιούνται για πρόσβαση στο Διαδίκτυο ως πύλη , αλλά δρομολογήστε μόνο την κυκλοφορία μεταξύ των βλανών εντός τοπικό δίκτυο. Η Cisco, όπως όλοι οι προμηθευτές, παρέχει δρομολογητή για πρόσβαση στο Διαδίκτυο; Παρακάτω είναι το πιο κοινό διάγραμμα σύνδεσης.

Διάγραμμα εξοπλισμού και δικτύου

Ας υποθέσουμε ότι έχω έναν διακόπτη Cisco 3560 24-port layer 3, μοιάζει κάπως έτσι.

Θα δρομολογήσει την κυκλοφορία μεταξύ vlan στο τοπικό μου δίκτυο και ας πούμε 3 διακόπτες επιπέδου 2 του μοντέλου OSI, επίπεδο πρόσβασης, διακόπτες Cisco 2960 θα συνδεθούν σε αυτό και το ίδιο το Cisco 3560 θα λειτουργεί ως διακόπτης επιπέδου διανομής. Να σας υπενθυμίσω ότι στο δεύτερο επίπεδο η κυκλοφορία γίνεται με βάση διευθύνσεις mac. Το επίπεδο πρόσβασης είναι το σημείο που συνδέονται οι τελικές συσκευές, στην περίπτωσή μας υπολογιστές, διακομιστές ή εκτυπωτές.Ακολουθεί το διάγραμμα.

Τι είναι ένας διακόπτης επιπέδου 2

Ένας διακόπτης δεύτερου επιπέδου είναι ένα κομμάτι υλικού που λειτουργεί στο δεύτερο επίπεδο μοντέλο δικτύου OSI

• Εναλλάσσει την κυκλοφορία με βάση τις διευθύνσεις MAC
• Χρησιμοποιείται ως επίπεδο πρόσβασης
• Εξυπηρετεί για την κύρια τμηματοποίηση τοπικών δικτύων
• Χαμηλότερο κόστος ανά θύρα/χρήστη

Στην τεχνική τεκμηρίωση, ένας διακόπτης δεύτερου επιπέδου υποδεικνύεται με αυτό το εικονίδιο:

Τι είναι ένας διακόπτης επιπέδου 3

Ένας διακόπτης επιπέδου 3 είναι ένα κομμάτι υλικού που λειτουργεί στο επίπεδο 3 του μοντέλου OSI και είναι ικανό:

• Δρομολόγηση IP
• Πρόσβαση στη συγκέντρωση διακόπτη επιπέδου
• Χρήση ως διακόπτες στρώματος διανομής
• Υψηλή απόδοση

Στην τεχνική τεκμηρίωση, ένας διακόπτης τρίτου επιπέδου υποδεικνύεται από αυτό το εικονίδιο:

Θα με βοηθήσει να δημιουργήσω πάγκος δοκιμώνπρόγραμμα προσομοιωτή δικτύου, ιχνηλάτης πακέτων Cisco 6.2. Μπορείτε να κατεβάσετε το Cisco packet tracer 6.2 εδώ. Εδώ είναι ένα πιο λεπτομερές διάγραμμα της τοποθεσίας δοκιμών μου. Ως πυρήνα, έχω ένα Cisco catalyst 3560, έχει δύο vlans: 2 και 3, με στατικές διευθύνσεις IP VLAN2 192.168.1.251 και VLAN3 192.168.2.251. Παρακάτω υπάρχουν δύο διακόπτες επιπέδου πρόσβασης, που χρησιμοποιούνται για την οργάνωση VLAN και ως uplinks. Υπάρχουν 4 υπολογιστές στο τοπικό δίκτυο, δύο σε κάθε vlan. Είναι απαραίτητο ο υπολογιστής PC3 από το vlan2 να μπορεί να κάνει ping στον υπολογιστή PC5 από το vlan3.

Μόλις αποφασίσουμε για τον στόχο, μπορούμε να ξεκινήσουμε. Δεν θα σας υπενθυμίσω τι είναι το vlan, μπορείτε να διαβάσετε εδώ.

Ρύθμιση ενός διακόπτη Cisco Layer 2

Η ρύθμιση ενός διακόπτη Layer 2 είναι πολύ απλή. Ας αρχίσουμε εγκατάσταση cisco catalyst 2960, όπως μπορείτε να δείτε, οι υπολογιστές μου PC03 και PC04 είναι συνδεδεμένοι στο Switch0, στις θύρες fa0/1 και fa0/2. Σύμφωνα με το σχέδιο, το Switch0 μας θα πρέπει να έχει δύο vlan. Ας αρχίσουμε να τα δημιουργούμε. Μεταβείτε στην προνομιακή λειτουργία και πληκτρολογήστε την εντολή

τώρα σε λειτουργία διαμόρφωσης

Δημιουργούμε VLAN2 και VLAN3. Για να γίνει αυτό γράφουμε την εντολή

ορίστε το όνομα και ας είναι VLAN2

Ας ξεφύγουμε από αυτό

Δημιουργούμε VLAN3 με τον ίδιο τρόπο.

Τώρα ας προσθέσουμε τη διεπαφή fa0/1 στο vlan 2 και τη διεπαφή fa0/2 στο vlan 3. Γράψτε την εντολή.

int fa 0/1

Λέμε ότι η θύρα θα λειτουργεί σε λειτουργία πρόσβασης

πρόσβαση σε λειτουργία θύρας μεταγωγής

βάλτε το στο VLAN2

πρόσβαση στο switchport vlan 2

Τώρα ας προσθέσουμε το fa0/2 στο vlan 3.

πρόσβαση σε λειτουργία θύρας μεταγωγής

πρόσβαση στο switchport vlan 3

Τώρα ας τα αποθηκεύσουμε όλα στη μνήμη του διακόπτη με την εντολή

Ας διαμορφώσουμε τώρα τη θύρα κορμού. Ως port trunk θα έχω θύρα gigabitσυναυλία 0/1. Εισαγάγετε την εντολή για να διαμορφώσετε τη θύρα gig 0/1.

Ας το κάνουμε λειτουργία κορμού

πορτμπαγκάζ λειτουργίας διακόπτη

Και θα επιλύσουμε τα απαραίτητα vlans μέσω του κορμού

Αποθηκεύστε τις ρυθμίσεις. Όλη η διαμόρφωση του διακόπτη δεύτερου επιπέδου έχει σχεδόν ολοκληρωθεί.

Τώρα η ίδια μέθοδος χρησιμοποιείται για τη διαμόρφωση του διακόπτη Switch1 και των υπολογιστών PC5 σε VLAN2 και PC6 σε VLAN3. Έχουμε τελειώσει τα πάντα στο δεύτερο επίπεδο του μοντέλου OSI, ας προχωρήσουμε στο επίπεδο 3.

Ρύθμιση του Cisco 3560

Το Cisco 3560 θα διαμορφωθεί ως εξής. αφού ο πυρήνας μας πρέπει να δρομολογεί εσωτερικά τοπική κυκλοφορία, τότε πρέπει να δημιουργήσουμε τα ίδια vlan, να τους δώσουμε διευθύνσεις IP, αφού θα λειτουργούν ως προεπιλεγμένες πύλες, καθώς και ως θύρες κορμού.

Ας ξεκινήσουμε με τις θύρες trunk, για εμάς αυτές είναι gig 0/1 και gig 0/2.

μεταβείτε στις ρυθμίσεις διεπαφής gig 0/1 και gig 0/2

int range gig 0/1-2

Ας προσπαθήσουμε να ενεργοποιήσουμε τη λειτουργία κορμού

πορτμπαγκάζ λειτουργίας διακόπτη

αλλά στο τέλος θα λάβετε αυτήν την προτροπή: Η εντολή απορρίφθηκε: Μια διεπαφή της οποίας η ενθυλάκωση του κορμού είναι "Auto" δεν μπορεί να ρυθμιστεί σε λειτουργία "trunk". Το νόημά του είναι ότι πρώτα σας ζητείται να ενεργοποιήσετε την ενθυλάκωση πακέτων. Ας διαμορφώσουμε την ενθυλάκωση στο Cisco 3560.

ενθυλάκωση κορμού θύρας διακόπτη dot1q

Τώρα ας καθορίσουμε τη λειτουργία και τα επιτρεπόμενα vlans

πορτμπαγκάζ λειτουργίας διακόπτη

Επιτρεπόμενος κορμός μεταγωγέα vlan 2,3

Ας αποθηκεύσουμε τις ρυθμίσεις της Cisco