Начальное конфигурирование коммутатора

Любой коммутатор после приобретения можно подключать, и он будет работать. При этом, все порты будут находиться в базовом vlan 1, и доступ для конфигурации не будет защищен никаким паролем (табл. 2.2 – 2.3).

Таблица 2.2 - Список основных команд для начального конфигурирования коммутатора

команда	описание
configure terminal	вход в режим глобальной конфигурации
hostname name	устанавливается имя коммутатора
line con 0	переход в подрежим конфигурирования доступа по консольному порту
line vty 5 15	переход в подрежим конфигурирования доступа через Ethernet порты с указанием числа одновременно открываемых сессий.
login	вход в подрежим конфигурирования пароля при доступе через консоль (cons) или по telnet сессии (vty)
password pass	установка пароля на подключение по консоли (cons) или через telnet (vty)
enable pass	установка пароля на вход в привилегированный режим (пароль сохраняется в открытом виде)
enable secret pass	установка пароля на вход в привилегированный режим (пароль сохраняется в зашифрованном виде)
ip address addr subn	установка адреса коммутатора для подключения к нему по Telnet
ip default-gateway addr	установка адреса шлюза для подключения через удаленную сеть
interface fastethernet 0/x	вход в подрежим конфигурации интерфейса с номером Х
duplex{ auto || full || half }	настройка интерфейса на режим передачи информации
speed{10|100|1000| auto| nonegotiate }	настройка скорости работы интерфейса
switchport port-security mac-address mac-addr	статическое добавление МАС-адреса к списку адресов, имеющих доступ к данному порту коммутатора
switchport port-security mac-address sticky	разрешение доступа рабочей станции (WS), которая подключена к данному порту и первой начнет передачу
switchport port-security maximum число	максимальное число статических МАС-адресов, которым разрешен доступ к одному порту; применяется одновременно ко всем интерфейсам в режиме глобальной конфигурации
switchport port-security violation {protect | restrict | shutdown}	действия коммутатора, если к порту пытается подключиться WS с неразрешенным МАС -адресом

Таблица 2.3 - Команды работы с конфигурационным файлом.

команда	описание
copy running-config startup-config	сохранение текущей конфигурации в энергонезависимой памяти
copy startup-config running-config	восстановление текущей конфигурации из энергонезависимой памяти
erase startup-config	удаление файла конфигурации из энергонезависимой памяти
reload	перезагрузка коммутатора

Команда сор y может быть использована для копирования файлов настройки с или на файловый сервер. Для коммутатора Саtalyst 2950 используйте команду сору nvram: startup- config tftp: для загрузки начальной настройки из NVRAM на ТFТР-сервер.

Следующие шаги необходимо выполнить для загрузки файла настройки с коммутатора на TFTP server для хранения.

Шаг 1 Проверьте, что ТFТР-сервер правильно настроен и доступен.

Шаг 2 Зайдите на коммутатор консолью или Теlnet-сессией.

Шаг З Загрузите настройку коммутатора на ТFТР-сервер. Определите имя хоста или IР-адрес ТFТР-сервера и задайте имя для сохраняемого файла настройки.

Используйте одну из следующих команд привилегированного режима ЕХЕС:

•сору system: running-config tftp: [[[//location]/directory]/filename]

• сору nvram: startup-config tftp: [[[//location]/directory]/filename]

Рассмотрим примерную последовательность базовой конфигурации коммутатора.

1. Подключимся по консольному порту. При этом пароль запрошен не был, так как коммутатор не настроен. Входим в привилегированный режим " enable " и тоже без пароля.

2. Для начала конфигурирования коммутатора необходимо войти в режим глобальной конфигурации с помощью команды " configure terminal ".

3. Изменим имя коммутатора со стандартного " switch" на имя SW1. Для этого в режиме глобальной конфигурации введем команду " hostname SW1 ".

4. Установим пароль" test " на вход в привилегированный режим c помощью команды - " enable secret test ".

5. Затем установим пароль на доступ через консольный порт. Входим в режим конфигурирования консольного порта " line con 0 " и устанавливает пароль " bob " с помощью команды " password bob ".

6. Входим в режим конфигурирования доступа по Telnet: " line vty 5 15 ", вводим команду запроса пароля " login " и устанавливаем пароль " nic " на Telnet сессию с помощью команды " password nic ".

7. Теперь настроим интерфейс fast Ethernet 0/1. Для этого входим в подрежим конфигурирования интерфейса с помощью команды " interface fastethernet 0/1 ".

8. Установим скорость передачи 10 Мб/с - " speed 10 ". Определим режим передачи как полнодуплексный: " duplex full ". Выйдем из режима конфигурирования с помощью нажатия клавиш CTRL+Z.

Режим дуплекс или полудуплекс определяется из того, какое оборудование подключается к настраиваемому порту коммутатора. Если к порту подключается концентратор, то в соответствии с технологией Ethernet возникнет домен коллизий и все узлы, подключенные через концентратор, будут работать в режиме полудуплекс. Если к порту коммутатора подключено другое устройство (все современные сетевые карты поддерживают дуплекс и разные скорости передачи данных), то порт должен работать в режиме дуплекс, что повышает скорость передачи данных практически с два раза.

9. Настроим возможность доступа по Т elnet. Для этого необходимо коммутатору присвоить ip -адрес, так как при открытии Telnet сессии с рабочей станции в командной строке необходимо ввести " Telnet ip- address ". Входим в режим глобального конфигурирования.

10. Переходим в подрежим конфигурирования интерфейса VLAN1 с помощью команды " interface VLAN1". Вводим ip -адрес и маску подсети:" ip address 131.10.10.10 255.255.255.0 ".

11. Включим интерфейс с помощью команды " no shutdown ".

12. Можно сконфигурировать шлюз, к которому подключен коммутатор, если вы собираетесь его конфигурировать из другой сети. Тогда вводим " ip default-gateway 131.10.10.1 ".

13. Завершаем конфигурацию и сохраняем изменения в NVRAM с помощью команды " copy running- config startup- config ".

Пример базовой настройки коммутатора

Switch >

Switch>enable

Switch#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#hostname sw1

sw1(config)#enable secret test

sw1(config)#line con 0

sw1(config-line)#password bob

sw1(config-line)#login

sw1(config-line)#line vty 0 15

sw1(config-line)#password nic

sw1(config-line)#interface fastethernet 0/1

sw1(config-if)#speed 10

00:13:41: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, chang

ed state to down

00:13:42: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

00:13:46: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, chang

ed state to up

sw1(config-if)#duplex full

sw1(config-if)#^Z

sw1#

00:13:59: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, chang

ed state to down

00:14:00: %SYS-5-CONFIG_I: Configured from console by console

00:14:00: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up

00:14:04: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, chang

ed state to up

sw1#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

sw1(config)#interface vlan 1

sw1(config-if)#ip address 131.10.10.10 255.255.255.0

sw1(config-if)#no shutdown

sw1(config-if)#exit

00:15:24: %LINK-3-UPDOWN: Interface Vlan1, changed state to up

00:15:25: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up

sw1(config)#ip default-gateway 131.10.10.1

sw1(config)#^Z

sw1#

00:15:47: %SYS-5-CONFIG_I: Configured from console by console

sw1#copy running-config startup-config

Destination filename [startup-config]?

Building configuration...

[OK]

После этого можно просмотреть содержимое сохраненной конфигурации с помощью команды " show startup- config ".

sw1#show running-config

Building configuration...

Current configuration: 1054 bytes

!

version 12.1

no service single-slot-reload-enable

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname sw1

!

enable secret 5 $1$7.GT$EMv5K4QATG7MSMLQ0acef/

!

ip subnet-zero

!

spanning-tree extend system-id

!

!

interface FastEthernet0/1

 no ip address

 duplex full

 speed 10

interface FastEthernet0/2

 no ip address

interface FastEthernet0/3  no ip address

interface FastEthernet0/4  no ip address

interface FastEthernet0/5  no ip address

interface FastEthernet0/6  no ip address

interface FastEthernet0/7  no ip address

interface FastEthernet0/8  no ip address

interface FastEthernet0/9  no ip address

interface FastEthernet0/10

 no ip address

interface FastEthernet0/11

 no ip address

interface FastEthernet0/12

 no ip address

interface Vlan1

 ip address 131.10.10.10 255.255.255.0

 no ip route-cache

!

ip default-gateway 131.10.10.1

ip http server

!

!

line con 0

 password bob

 login

line vty 0 15

 password nic

login

!end
3. Настройка безопасности на портах коммутатора

 

Настройка списков рабочих станций, которые могут подключаться к портам коммутатора, по терминологии Cisco называется - port security. Поскольку известно, что к одному порту коммутатора может быть подключено одно устройство, то можно ограничить доступ в сеть другим устройствам через данный порт. Если устройство, которому запрещен доступ через порт, делает такие попытки, то могут быть предприняты следующие действия:

1. Protect - Отбросить кадр.

2. Restrict - Отбросить кадр и послать уведомление на SNMP счетчик событий о несанкционированном доступе.

3. Shutdown - Выключить порт. Из этого состояния его можно будет вывести командой глобальной конфигурации errdisable recovery cause secure- violation или командами режима настройки интерфейса shutdown – no shutdown.

Для применения port security на интерфейсе необходимо использовать команду подрежима конфигурации интерфейса " switchport port- security ".

Важно заметить, что в коммутаторе Cisco2950 опцию port security можно применять только к интерфейсам, которые не подключены к другим коммутаторам. Для указания того, что порт коммутатора не подключен к другому коммутатору, необходимо использовать команду " switchport mode access ".

Для ограничения доступа на портах коммутатора необходимо выполнить следующие шаги:

1. Войти в режим глобального конфигурирования. Вводим команду configure terminal.

2. Войти в подрежим конфигурирования интерфейса interface fastethernet 0/ x.

3. Определить интерфейс как неподключенный к другому коммутатору switchport mode access.

4. Включить режим безопасности на интерфейсе с помощью команды switchport port- security безпараметров.

5. Сконфигурировать МАС-адрес рабочей станции, которая должна быть подключена к данному порту switchport port- security mac- address mac- addr.

Рассмотрим пример настройки port security для сети, показанной на Рисунок3.1.

Необходимо чтобы к интерфейсам (fast Ethernet – fa) коммутатора SW1 fa0/1, fa0/3, fa0/5 могли иметь доступ только рабочие станции WS1, WS3, WS5 соответственно. Если к портам fa0/1, fa0/3 будет попытка несанкционированного доступа, то кадр должен быть отброшен. Пусть МАС-адрес WS3 неизвестен. Если к порту fa0/5 будет попытка несанкционированного доступа, то он должен быть выключен.

Рисунок 3.1 - Настройка безопасности на интерфейсах коммутатора

К интерфейсу fa0/1 должна быть подключена только рабочая станция WS1, а к интерфейсу fa0/3 должна быть подключена WS3. В данном примере конфигурация МАС-адреса на интерфейсе выполнена двумя методами. Для fa0/1 прописан статический МАС-адрес, а для fa0/3 МАС-адрес фиксируется по факту подключения WS3.

Настраиваем интерфейс fa0/1. С помощью команды " switchport mode access "указываем, что данный порт не является транковым.

Далее, используя команду " switchport port- security mac- address ", указываем МАС-адрес рабочей станции WS1 и вводим команду " switchport port- security violation protect " для того, чтобы кадр был отброшен при попытке несанкционированного доступа.

Настраиваем интерфейс fa0/3. Отличие в настройке port security будет в указании МАС-адреса WS3. В данном случае он не указывается явным образом. При этом используется команда " switchport port-security mac-address sticky ". Это значит, что та рабочая станция, которая первой подключится к данному сегменту сети, будет иметь возможность передавать информацию через коммутатор. Таким образом, не зная МАС-адреса абонента, можно настроить систему безопасности только на него.

Политика безопасности, применяемая в настройке порта fa0/5, будет максимально радикальной. Здесь используется команда " switchport port- security violation shutdown "и указан непосредственно МАС-адрес WS5. В случае, если через порт fa0/5 будет произведена попытка доступа рабочей станции с другим МАС-адресом, то данный порт будет выключен и включить его можно будет только путем перезагрузки коммутатора (reload).

Настройка безопасности на портах коммутатора

MAC-адрес рабочей станции WS1 – 00c0.26a1.86ab

MAC-адрес рабочей станции WS5 – 00c1.2800.0200

Switch#configure

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.