Настройка роутера cisco 2900

Маршрутизатор Cisco — начальная настройка

При первоначальной настройки маршрутизатор cisco необходимо подключить к COM порту компьютера, посредством специального консольного кабеля.

Кабель представляет собой с одной стороны разъём DB9 (female/мама) для подключения к COM порту компьютера, а с другой RJ-45 для подключения к консольному порту маршрутизатора (порт обведён в голубой цвет и имеет надпись Console, либо просто надпись Console на голубом фоне).

Консольный кабель Cisco

Консольные порты Cisco

Новые модели маршрутизаторов, например Cisco 2900 Series Integrated Services Routers (ISR), имеют как RJ-45 консольный порт, так и консольный порт mini-USB Type B.

Mini-USB порт позволяет подключаться к консоли через USB кабель, если вдруг в компьютере отсутствует COM порт. Если настройка роутера производится через USB кабель на компьютере с Microsoft Windows, на компьютер необходимо установить драйвер Cisco Microsoft Windows USB Device Driver.

Кабель Mini USB

Консольный порт USB имеет приоритет над RJ-45. При настройке одновременное использование консольных портов не допускается.

Для настройки устройства через консольный кабель на компьютере с Microsoft Windows можно использовать встроенную программу Hyper Terminal, для меня она не очень удобна, поэтому я использую Putty (возможно это просто дело привычки). В программе, будь то Putty, Hyper terminal или ещё какая-либо, необходимо настроить параметры порта (COM) следующим образом:

Скорость (бит/с): 9600

Стоповые биты: 1

Управление потоком: нет

Пример настройки в Putty:

Настройка COM порта в Putty

После чего, если маршрутизатор включен и соединен с компьютером консольным кабелем, в окне терминала (по нажатию на Enter) появится интерфейс командной строки. Так же здесь можно наблюдать и процесс загрузки устройства.

Можно приступать к настройке устройства.

Логин/пароль по умолчанию обычно либо cisco/cisco либо пустой пароль на вход в привилегированный режим.

Входим в привилегированный режим командой «enable»:

Очищаем существующую конфигурацию командой «erase startup-config»:

Router# Router#erase startup-config Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] [OK] Erase of nvram: complete Router# *Mar 1 00:10:46.519: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram Router#

Перезагружаем роутер командой «reload» и подтверждаем её:

Router#reload Proceed with reload? [confirm]

*Mar 1 00:14:52.907: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload command.

Так как мы стерли конфигурационный файл startup-config, то после перезагрузки предлагается пройти мастер начальной настройки системы, в котором предлагается вести имя маршрутизатора, пароли для различных режимов, IP адрес на интерфейсе управления и прочее. Я обычно на запрос запуска мастера отвечаю: no , а все необходимые параметры ввожу вручную.

Пишем no и жмём Enter.

Переходим в режим глобального конфигурирования системы командой «configure terminal» (сперва не забываем перейти в привилегированный )

Router> Router>enable Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#

Видно как изменилась строка приглашения на «Router(config)# » — означает, что мы находимся в глобальном режиме конфигурации системы

Задаём пароль на вход в привилегированный режим командой «enable secret»

Router(config)#enable secret 0 pass123 Router(config)#

0 — означает ввод пароля в не зашифрованном виде, но храниться будет он в шифрованном.

pass123 — сам пароль

Устанавливаем имя маршрутизатора командой «hostname»

Задаём имя домена командой «ip domain-name»

RTR1(config)# RTR1(config)#ip domain-name test.ru RTR1(config)#

Прописываем время, дату и часовой пояс. Задать время и дату можно просто в привилегированном режиме, не переходя в режим глобального конфигурирования системы, а вот часовой пояс только в режиме конфигурации.

Время и дата командой «clock set» (например 26 марта 2013 года, 19 часов 32 минуты 30 секунд):

RTR1# RTR1#clock set 19:32:30 26 Mar 2013 RTR1#

Часовой пояс командой «clock timezone» (например смещение по UTC в +10 часов):

RTR1# RTR1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. RTR1(config)# RTR1(config)#clock timezone YST 10 RTR1(config)#

Включаем аутентификацию и заводим пользователя.

RTR1(config)# RTR1(config)#aaa new-model RTR1(config)#aaa authentication login default local RTR1(config)#

Команда «aaa new-model» — активирует возможность использования функций и команд для аутентификации, авторизации, аккаунтинга (AAA)

Команда «aaa authentication login default local» — включает аутентификацию при попытке сделать logon, и проверяет пользователя и пароль по локальной базе.

После ввода этих команд, нужно создать пользователя, иначе нельзя будет зайти на маршрутизатор ни по ssh/telnet, ни через консоль.

Создаём пользователя petya с паролем password123:

RTR1(config)# RTR1(config)#username petya secret 0 password123 RTR1(config)#

Настраиваем сетевой интерфейс. Что бы настроить сетевой интерфейс, нужно перейти из режима глобального конфигурирования в режим конфигурирования интерфейса.

RTR1(config)# RTR1(config)#interface fastEthernet 0/0 RTR1(config-if)#ip address 192.168.56.254 255.255.255.0 RTR1(config-if)#no shutdown RTR1(config-if)# RTR1(config-if)# Mar 26 19:51:11.851: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up Mar 26 19:51:12.851: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up RTR1(config-if)# RTR1(config-if)#exit RTR1(config)#

Команда «interface fastEthernet 0/0» — переводит в режим конфигурирования интерфейса. В данном случае у нас интерфейс называется «fastEthernet «, в зависимости от модели роутера, могут быть другие названия например ethernet или gigabitEthernet. Информацию о состоянии интерфейсов можно посмотреть командой «show interfaces»

Команда «ip address 192.168.56.254 255.255.255.0» — задаёт IP адрес и сетевую маску на интерфейсе

Команда «no shutdown» — включает интерфейс

Команда «exit» — производит выход из режима конфигурации интерфейса в глобальный режим конфигурации.

Разрешаем удаленный доступ к устройству по telnet или ssh. Не все версии IOS поддерживают ssh (необходима поддержка шифрования). Поэтому в некоторых случаях приходится настраивать удаленный доступ и для telnet. Для настройки ssh необходимо сперва сгенерировать ключи.

Генерируем ключи командой «crypto key generate rsa»:

RTR1(config)# RTR1(config)#crypto key generate rsa The name for the keys will be: RTR1.test.ru Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]: % Generating 512 bit RSA keys . [OK]

RTR1(config)# Mar 26 20:16:47.879: %SSH-5-ENABLED: SSH 1.5 has been enabled RTR1(config)#

Как только сгенерировались ключи, в консоли вышло сообщение, что ssh включен. Кстати, для генерации ключей необходимо сперва задать имя домена и желательно выставить правильное время, что я уже сделал выше.

Разрешаем ssh и telnet на линиях виртуальных терминалов:

RTR1(config)# RTR1(config)#line vty 0 4 RTR1(config-line)#transport input telnet ssh RTR1(config-line)#exec-timeout 60 RTR1(config-line)# RTR1(config-line)#exit RTR1(config)#

Команда «line vty 0 4» — переводит в режим конфигурирования линий VTY с 0 по 4

Команда «transport input telnet ssh» — разрешает вход через telnet и ssh на терминалы vty

Команда «exec-timeout 60» — отключает от линии пользователя после 60 минут бездействия

команда «exit» — выход из режима конфигурировании линий в глобальный режим.

В данном случае разрешён удаленный доступ с любых IP адресов, что бы ограничить, необходимо создавать ACL и вешать их на линии.

Сохраняем конфигурацию. Всё, что мы сейчас настроили будет работать до первой перезагрузки. Что бы конфиг сохранился его нужно сохранить командой «copy running-config startup-config»:

RTR1(config)#exit RTR1#copy running-config startup-config Building configuration. [OK] RTR1#

Источник

Конфигурация Cisco Catalyst 2900 — 3500XL через веб-интерфейс и терминал

Руководство по установке и конфигурированию коммутаторов CISCO

модем-модемный консольный кабель

Переходник для RJ-45-порта к консольному кабелю

RJ-45—com порт переходник

1. Подключите витую пару 5-й категории к любому незанятому 😉 порту свитча.

2. Другой конец кабеля воткните в разъём сетевой платы.

1. Подключите перекрёстный кабель 5-й категории к незанятому порту коммутатора.

2. Другой конец кабеля воткните в порт другого свитча или хаба.

2 Подключение свитча

1. Подключите один конец, входящего в поставку провода питания, к разъёму на задней панеле коммутатора.

2. А другой конец кабеля с вилкой подключите, соблюдая технику безопасности, к осветительной сети(напряжение и частота питания должны совпадать в соответствии с маркировкой на корпусе).

1. Подключите поставляемый плоский провод в разъём на задней пенеле коммутатора с маркой console.

2. Подключите другой конец кабеля к com-порту компьютера через соответствующий переходник и запустите программу-эмулятор терминала(например HyperTerminal или ZOC).

Порт консоля имеет следующие характеристики:

1 бит остановки

Если вы хотите использовать коммутатор в качестве члена кластера, то можно не присваивать ему IP адрес и не запускать построитель кластера. В случае командного свитча, вам необходимо выполнить пункт 3.

В первый раз, когда вы запускаете свитч, то он запрашивает IP адрес. Если вы назначаете ему оный, что весьма желательно, то он может конфигурироваться через веб-интерфейс Cisco Visual Switch Manager (CVSM) и Telnet.

Перед установкой, узнайте следующую информацию о сети(у администратора):

IP адрес свитча

Шлюз по умолчанию(router) — его может и не быть.

Ну и пароль для свитча(хотя скорее всего лучше это придумать самому)

Выполняйте следующие действия для присвоения коммутатору IP адреса:

Шаг 1 Нажмите Y при первой подсказке системы:

Шаг 2 Введите IP адрес и нажмите клавишу Enter :

Шаг 3 Введите маску подсети и нажмите Enter :

Шаг 4 Введите есть ли у вас шлюз по умолчанию N/Y если есть, то введите его адрес после нажатия Y:

Шаг 5 Введите IP адрес шлюза и нажмите Enter .

Шаг 6 Введите имя хоста коммутатора и нажмите Enter :

Шаг 7 Введите пароль(желательно подлиней 8-10 символов и посложней) и нажмите Enter (главное потом этот пароль не забыть). Кроме этого, затем на вопрос о пароле для Telnet ответьте Y и введите пароль для доступа через Telnet

Шаг 8 Если всё нормально — давите Y ; нет — давите N (только учтите, что пароль зашифровывается) для рестарта процедуры установки.

4 Открытие Cisco Visual Switch
Manager Software

После того, как вы присвоили IP коммутатору, то вы можете конфигурировать его через веб-интерфейс с помощью Cisco Visual Switch или через консоль (или через Telnet)

CVSM поддерживает следующие платформы и броузеры:

Netscape Communicator 4.5. и 4.5.1

Microsoft Internet Explorer 5.0 и 4.01 с
Service Pack 1

Netscape Communicator 4.5. и 4.5.1

Microsoft Internet Explorer 5.0 или 4.01 с
Service Pack 3

Solaris 2.5.1 и выше 1

Netscape Communicator 4.5. и 4.5.1

Для отображения CVSM сделайте следующее:

Шаг 1 Запустите Netscape Communicator или Internet Explorer.

Шаг 2 Включите опции для соединения с коммутатором.

Для Internet Explorer :

1 Выберите в меню View(Вид) или Tools(Инструменты)>Internet Options(Свойства обозревателя) > закладка Advanced(Дополнительно) .

2 Найдите в списке опций JavaVM и отметьте флажки(если до сих пор не отмечены) Java JIT compiler enabled(включить компилятор Java) and the Java logging enabled(Включить консоль Java) .

3 Кликните Apply(Применить) .

Для Netscape Communicator :

1 Выберите в меню Edit>Preferences > Advanced .

2 Отметьте флажки Enable Java(Включить Java) , Enable JavaScript(Включить JavaScript) , и Enable style-sheets(Включить поддержку касадных стилей) .

4 Выберите меню Edit>Preference s>A dvanced , и выберите Cache чтобы изменить параметры кеширования документов.

5 Выберите Every time , и кликните OK .

Шаг 3 Введите IP адрес коммутатора в строке адреса.

Шаг 4 Нажмите Enter . Вам покажется основное окно управления коммутатором.

Шаг 5 Щелкните Visual Switch Manager чтобы отобразить домашнюю страницу CVSM.

Содержание Содержание

Управление кластером

Обновление системы IOS

Управление протоколом SNMP

Название SNMP расшифовывается как простой протокол передачи сетевых сообщений. Его основное назначение — передавать сообщения(TRAP) от клиента к серверу. При этом клиент указывает строку общения, чем потдверждает серверу, что он может с ним общаться. В свитчах Catalyst этот механизм используется очень широко для обнаружения других свитчей к нему подключённых. Поэтому вначале свитч опрашивает свои порты и определяет, где находятся другие свитчи серии Catalyst. На основании этого происходит интеллектуальная маршрутизация и построение топологии сети. Вид страницы управления протоколом SNMP состоит из трёх закладок: 1-я имя свитчаи его местоположение(информация о свитче для других свитчей — серверная часть): Здесь мы видим информацию о свитче такую, какой она представляется для других свитчей, поэтому изменять её нет никакой необходимости.
2-я закладка представляет клиентскую часть свитча. Здесь описываются строки общения. Изменять эту информацию нельзя ни в коем случае, пока вы точно не знаете, что делаете.
3-я закладка представляет наибольшую ценность: Здесь вы можете указать сервер SNMP для получения сообщений от свитча. Для этого в поле IP address укажите ip адрес сервера SNMP и ниже укажите строку общения(эту информацию можно получить от владельца SNMP сервера) и щелкните кнопку ADD(добавить) — адрес сервера появится в списке справа. Его оттуда можно удалить нажатием кнопки REMOVE(выделив его ip адрес). Для данного сервера укажите те сообщения, которые ему нужно посылать, выделив соответствующие флажки. После всех изменений нажмите кнопку OK или Cancel. Список флажков:

Имя параметра	Значение
Config	Передаёт серверу сообщение при изменении своей конфигурации
SNMP	Создаёт поддерживаемые сообщения SNMP
TTY	Передаёт сообщение при начале сессии CLI
VLAN membership	Передаёт серверу сообщение при изменении членства VLAN
VTP	Генерирует сообщение при изменениях в протоколе VTP
C2900/c3500	Специфические для данных свитчей сообщения

Назначение SNMP сервера

Вход в режим конфигурации.

snmp-server host 172.2.128.263 traps1 snmp vlan-membership

Введите адрес SNMP сервера, строки общения и тип сообщений для генерации.

Выход из режима конфигурации.

Просмотр сделанных изменений.

Членство в VLAN

Spanning Tree Protcol

Данный протокол призван обеспечивать исключение «мёртвых» пакетов из сети. То есть предотвращать появление бесконечных циклов в сети. Если в сети существуют кольца, то лучше включить STP так как он поможет очень существенно снизить траффик. По умолчанию STP включен везде(я ещё так понял, что с помощью этого протокола происходит маршрутизация пакетов на уровне свитчей). Страница управления STP состоит из нескольких разделов. Первый из них позволяет выключать или включать STP для конкретных VLAN/ Для этого нажмите кнопку Modify и выберите из списка Enabled или Disabled. Вид страницы: 2-я страница показывает список главных свитчей STP(STP root) для отдельных VLAN. Эта страница служит для просмотра mac адресов и других параметров главных свитчей. Эти параметры будут разъяснены далее. 3-я страница позволяет изменить параметры STP для данного свитча. Для этого выберите vlan и нажмите кнопку modify — вам будет представлен список параметров STP для данной vlan.

Параметр	Объяснение
Protocol	Тип протокола STP: IEEE или IBM. Везде по умолчанию применяется IEEE. Этот параметр менять не следует
Priority	Приоритет данного свитча в STP, может принимать значения от 0 до 65535. Меньшее число означает больший приоритет. Свитч с наибольшим приоритетом становится главным(root) для данного vlan.
Max Age	Число секунд(6-200), которое свитч ждёт конфигурационных сообщений STP до попытки переконфигурации. Этот параметр применяется для главного свитча. Для других этот параметр наследуется от главного.
Hello Time	Число секунд(1-10) между передачей сообщений другим свитчам о том, что данный работает. Этот параметр применяется для главного свитча. Для других этот параметр наследуется от главного.
Forward Delay	Число секунд(4-200), когда порт изменяет своё состояние с состояния исследование(learning) в состояние передача пакетов(forwarding) при изменении конфигурации. Это как раз то время, когда у порта мигает желтый индикатор при присоединении или отсоединении сетевого кабеля.

4-я страница позволяет изменить параметры STP для каждого конкретного порта. Для этого выберите порт и нажмите кнопку modify.

Параметр	Объяснение
Port Fast	Этот параметр позволяет порту при изменении настроек сразу же преходить от состояния learning к состоянию forwarding. При этом изучение STP происходит лишь при включении свитча. Этот параметр полезен для серверов, которые работают с большим числом клиентов.
Path cost	Меньшее число означает большую скорость передачи. 100 — 10Мбит; 19 — 100Мбит; 4 — 1Гбит; 2 — 10Гбит
Priority	Число, означающее приоритет порта. Большее число — больший приоритет.

Изменение задержки пердачи пакетов

Вход в режим конфигурации.

spanning-tree [vlan stp-list ] forward-time seconds

Введите значение задержки передачи пакетов в секундах в диапазоне от 4-х до 200-т.

Выход из режима конфигурации.

Включение режима быстрого порта

Вход в режим конфигурации.

Вход в режим настройки порта.

Включение режима быстрого порта.

Выход из режима конфигурации.

Сохранение параметров

Пользовательские настройки

Легенда

Справка

Настройки порта

По умолчанию все порты включены.

Для отключения порта выполните следующие действия:

В разделе Status, снимите флажок Enable.
Этот раздел показывает состояние порта. Если даже порт Enabled, то он всё равно может иметь состояние LINK DOWN, если к нему не подключено никакое устройство
Нажмите Apply.
Если вы сконфигурировали SNMP сервер, то ему посылается сообщение linkdown.

Присвоение имени порту

Чтобы присвоить порту имя, выполните следующее:

В поле Name введите желаемое имя для порта.
Нажмите Apply.

Изменение установок дуплекса и скорости порта

Порты типа FastEthernet способны автоматически определять скорость и тип дуплекса подключённого устройства.

Внимание: изменение данных настроек порта вызывает 30-и секундную задержку в передаче пакетов, так как связующее дерево сети должно настроить свои параметры циклов.

Для того, чтобы изменить настройки скорости и дуплекса, выполните следующее:

Для настройки режима дуплекса: в поле Duplex, выберите Half(полу), Full(полный), или Auto (автоопределение).
Fast Ethernet порты по умолчанию устанавливаются в режим Auto.
Для настройки скорости: задайте параметры в поле Speed, допустимые значения 10 (10 МБит), 100 (100 МБит), или Auto (автоопределение).
Для FastEthernet портов по умолчанию стоит режим автоопределения.
НажмитеApply.

Иногда автоопределение работает неверно, тогда надо устанавливать эти параметры вручную.

Для Гигабитных портов доступен также flow control. Но для таких портов всегда работает режим полного дуплекса, а скорость невозможно изменить.

Отображение статистической информации о порте

Для показа статистической информации нажмите кнопку View в выбраном порте в разделе Statistics. Откроется отдельное окно броузера, где эта статистика и будет показана в виде графика.

Указание: вы можете сбросить статистику для порта, нажав кнопку Reset, это ещё и закроет окно броузера со статистикой.

Описания полей

Поле	Описание
Port	Отображается слово «Fa» (Fast Ethernet), «Gi» (Gigabit Ethernet), or «AT «(for ATM) и номер порта.
Status	Включение и отключение порта. Вначале просто показывает текущий статус порта.
Duplex:	Изменение режима дуплекса порта(Full, Half или Auto ). Вначале просто показывает текущий статус дуплекса порта.
Speed:	Устанавливает скорость для Fast Ethernet портов: значения 10 (10 МБит), 100 (100 МБит), или Auto (автоопределение). Вначале просто показывает текущий статус скорости порта. Для портов типа GigaBit всегда показывает значение 1000
Port Name	Описание порта.
Port Fast	Включает или выключает режим быстрого порта.
802.1p	Изменяет приоритет для пакетов, идущих с данного порта для VLAN тегов в IEEE802.1q пакетах(trunk порты). Изменять этот параметр не рекомендуется.

В начало
Содержание

Настройки flood траффика

Вообще термин flood буквально переводится, как наводнение. В данном контексте, говоря flood, я буду иметь в виду очень большое количество широковещательных или иных пакетов в секунду, приходящих на данный порт. Это похоже на сетевой шторм и существенно понижает пропускную способность порта. В свитчах Catalyst предусмотренны средства для контроля таких штормов. Эти средства так и называются: «Storm control». Вызываются они выбором пункта меню Port — Flooding control. Для конкретного порта эти средства можно вызвать также пункт всплывающего меню flooding control. Внешний вид flooding control: Он состоит из 4-х закладок. Первые три показывают состояние для портов по признаку фильтрации broadcast, multicast и unicast пакетов. Broadcast — широковещательные пакеты, передаются всем машинам в данной подсети. Multicast пакеты передаются всем машинам в данной multicast группе. Unicast пакеты — верхний уровень пакетов, передаются всем машинам в сети, в них могут быть упакованы другие типы пакетов. На странице flooding control показывается состояние фильтров для каждого порта. Выделите порт, или группу портов и нажмите modify для изменения параметров фильтров порта. Допустимые параметры:

Параметр	Допустимые значения
Filter state	Состояние фильтра. Допустимые значения: Disable — выключен Enable — включен
Trap state	Посылать ли сообщения SNMP серверу при фильтрации штормового трафика
Rising threshold	Пороговое значение широковещательных пакетов в секунду до начала фильтрации
Falling threshold	Нижний порог фильтра. При достижении этого значения фильтрация отключается

Кроме этого в окне статуса можно увидеть количество пакетов в секунду данного типа, приходящих на порт и число посланных сообщений о начале и конце фильтрации.
Для портов можно также установить, будет ли он принимать Multicast и Unicast пакеты с неизвестными mac адресами. Если установлено значение Enable, то такой трафик разрешён, иначе он блокируется. Для каждого порта можно посмотреть это значение, а затем выделив его, нажать кнопку Modify для изменения этих параметров.

Включение flood фильтров:

Вход в режим настройки.

Вход в режим настройки порта.

Введите верхний и нижний пороги фильтра широковещательных пакетов соответственно.

Верхний порог должен быть больше нижнего(что не должно вызывать сомнений).

port storm-control trap

Посылать SNMP серверу сообщения о включении/выключении фильтра.

Выход из режима конфигурации.

show port storm-control [ interface ]

Проверка сделанных изменений.

Выключение flood фильтров:

Вход в режим настройки.

Вход в режим настройки порта.

no port storm-control broadcast

Выключение фильтра широковещательных пакетов

Выход из режима конфигурации.

show port storm-control [ interface ]

Проверка сделанных изменений.

Отключение неизвестных multicast/unicast пакетов

Вход в режим конфигурации.

Вход в режим настройки порта.

port block multicast

Блокировка multicast пакетов.

port block unicast

Блокировка unicast пакетов.

Выход из режима конфигурации.

show port block < multicast | unicast >interface

Проверка изменений для соответственно multicast и unicast пакетов(по-отдельности).

Нормальный режим передачи пакетов

Вход в режим конфигурации.

Вход в режим настройки порта.

no port block multicast

Отключение блокировки multicast пакетов.

no port block unicast

Отключение блокировки unicast пакетов.

Выход из режима конфигурации.

show port block < multicast | unicast >interface

Проверка изменений для соответственно multicast и unicast пакетов(по-отдельности).

Безопасность портов

В свитчах серии Catalyst 2900XL возможен вариант ограничения доступа к порту по mac адресам. Для вывода на экран диалога конфигурации безопасности порта, выберите из всплывающего меню порта пункт Port Security. Отобразится окно примерно следующего содержания: Объяснение полей:

Параметр	Допустимые значения
Status	Текущее состояние безопасности порта. Enable — включено, Disable — выключено.
Send trap	Определяет, будет ли свитч посылать сообщение SNMP серверу при нарушении установки допустимого количества mac адресов.
Shutdown Port	Определяет, будет ли свитч автоматически отключать порт при нарушении установки допустимого количества mac адресов.
Maximum Adress Count	Максимальное количество mac адресов(1-132), которые могут быть подключены к свитчу(учтите другой свитч или хаб могут иметь столько mac адресов, сколько рабочих станций или других сетевых коммутаторов подключено к ним). Для порта, подключённого к рабочей станции можно поставить значение 1, для обеспечения своего рода тунеля между свитчом и PC. Для хабов или свитчей можно ставить любое значение допустимых mac адресов в диапазоне 1-132. Значение N/A высвечивается при отключённом режиме безопасности, что означает сколько угодно mac адресов.

Включение безопасности для порта.

Вход в режим конфигурации.

Режим настройки порта.

port security max-mac-count 1

Максимальное количество mac адресов для порта + включение безопасности.

port security action shutdown

При нарушении безопасности порт будет выключаться.

Выход из режима конфиурации.

show port security

Выключение безопасности для порта.

Вход в режим конфигурации.

Режим настройки порта.

no port security

Отключение безопасности для порта.

port security action shutdown

При нарушении безопасности порт будет выключаться.

Выход из режима конфиурации.

show port security

Виртуальные сети(VLAN)

Вообще термин VLAN означает виртуальная локальная сеть. Такая сеть отличается от физической LAN лишь тем, что организуется разделение пакетов в единой локальной сети так, как если бы это были бы разные подсети. Таким образом с помощью VLAn можно организовать деление локальной сети на отдельные участки. При этом существует возможность регулировать взаимодействие VLAN весьма широко.

Нет нужды говорить, что существует несколько типов организации VLAN в сети. Самый простой из них — статический. Вы назначаете каждому порту какой-либо номер VLAN и они будут «видеть» только те порты, что принадлежат тому же VLAN. При этом абсолютно исключается возможность взаимодействия с «чужим» портом. При этом сами коммутаторы соединяются между собой посредством особых каналов связи — trunk магистралей. По таким магистралям проходят данные всех VLAN. Но, к сожалению, trunk порт должен быть point-to-point(о двух концах) и может подключаться только к свитчам и роутерам, поддерживающим VLAN. Таким образом организация сетевого доменного сервера становится возможной только при использовании роутера :(. С другой стороны trunk магистрали поддерживаются всеми типами свитчей, которые умеют делать VLAN. Другое преимущество — использование особого протокола кисок, обеспечивающего централизованное управление всей системой VLAN. Например, вы можете на сервере VTP отключить или включить определённую VLAN. МультиVLAN очень интересный тип организации VLAN. Он состоит в определении для порта нескольких допустимых VLAN(например, для экономистов это могут быть VLAN Economics и Server для доступа к общим серверам и.т.д.). Здесь всё предельно просто, но, к сожалению, свитчи серии 1900 и младше не поддерживают такую возможность :(( Поэтому такой свитч может обслуживать только один VLAN на одно подключение к новому свитчу Catalyst 2900 XL или 3300. При этом если на основном свитче этот порт будет мульти, то и на старый свитч будут проходить пакеты от всех мульти VLAN описанных на таком порте.И наконец, способ для страдающих параноидальной безопасностью нетадминов, заключается в назначении каждой VLAN списка допустимых мак (или, вроде, IP адресов). Когда на порт приходит пакет, то посылается запрос VPMS серверу, есть такой мак или нет. Но при выборе типа VLAN, учтите что на одном свитче не может быть разных типов организации VLAN

Перед тем, как создавать в сети VLAN, решите предварительно, будете ли вы использовать для управления VLAN протокол VTP. Используя VTP, вы можете, изменив конфигурацию VLAN на одном свитче, например,
Catalyst 2900 series XL, автоматически изменить эту конфигурацию для всех свитчей, подключённых к данному.Без VTP вы не сможете посылать информацию о VLAN другим свитчам.

VTP обеспечивает централизованное управление VLAN, и исключает возможность дублирования VLAN а также другие неправильные настройки. VTP позволяет оптимизировать трафик между VLAN и обеспечивает безопасность передачи данных.

VTP домен

Домен VTP(домен управления VLAN) — это свитч или группа соединёных свитчей, разделяющих VTP. Свитч может входить только в один VTP домен.

По умолчанию коммутаторы считают, что они не относятся к VTP домену, пока им не приходит сообщение по порту-каналу(trunk порт) или вы вручную не назначите им домен. По умолчанию режим VTP устанавливается как VTP сервер, но коммутатор не станет рассылать информацию другим свитчам, пока ему вручную не присвоен домен VTP.

Если свитч получает информацию о VTP через trunk порт, то он автоматически становится членом данного домена и наследует конфигурацию.

Когда вы меняете настройки VLAN на сервере VTP, то они автоматически наследуются клиентами через trunk порты.

Если же вы конфигурируете настройки VLAN на коммутаторе-клиенте, то они касаются только данного свитча.

Содержание Настройка VLAN при помощи Cisco CLI

Во-первых, есть весьма существенные различия CLI у свитчей серий 2900 и 1900, а посему рассматривать их нужно отдельно. Начнём со свитчей серии 2900. Итак, вы подсоединили нуль-модемный кабель или запустили сеанс telnet. Во-первых на приглашение HOST_NAME> надо ответить enable и ввести пароль к свитчу, для получения доступа к конфигурации. Для просмотра сведений о свитче наберите show running-config. Подсказка по интерфейсу CLI. Здесь есть такие удобства как автозаполнение кнопкой TAB — наберите начало команды, например show ru , и оно расширится в show running-config. Можно в любой момент получить справку по любому вопросу: просто нажмите ? и вам будут предложены возможные параметры команды, например show ?. Для повторения предыдущих или следующих команд можно использовать курсоры вверх или вниз. Для пролистывания текста при запросе —more— нажимайте пробел для опускания текста вниз на строку. Итак, вы набрали show running-config и здесь отобразится информация. Вначале общая информация о свитче(адрес, имя, адреса шлюз и.т.д.), а затем информация о портах. Здесь особое внимание я бы хотел обратить на информацию о режиме VLAN порта: switchport mode %%%%. Access — режим статической VLAN; Multi — мультиVLAN порт; Trunk — режим trunk магистрали; Dynamic — VPMS режим. Следующий параметр switchport показывает особые параметры для данного типа порта. Например для access это единственный идентификатор VLAN, для multi — список допустимых VLAN, разделённых запятой или -, для указания промежутка VLAN.Таким образом, после сделанных изменений неплохо было бы смотреть, что именно произошло.

Для постоянного сохранения параметров настройки наберите write memory. Для перезагрузки свитча используйте команду reload. И заканчивая эту тему, подскажу, как сбросить настройки свитча после неудачных опытов: и вы сразу же начнёте с начального конфигурационного диалога. Для выхода из вложенных режимов конфигурации нажимайте exit. Для полного выхода наберите два раза exit. Итак, приступим к настройке VLAN. Предполагаю, что вы уже находитесь в режиме конфигурации. (config)# interface FastEthernet x/x(нужный вам порт), затем вы в режиме конфигурации порта — (config-if)#, теперь вам доступны любые доступные изменения конфигурации порта. Для получения списка допустимых команд как обычно можно нажать ?. Поподробнее остановлюсь на команде switchport mode, определяющей режим работы порта для VLAN. Допустимые значения access(статический доступ), multi(мульти-доступ) и trunk(режим тунельной магистрали). Для конфигурации конкретного режима нужно применять Для отмены каких-либо значений воспользуйтесь командой no switchport . и применяйте те же команды, что и для включения опций, но применяйте их в обратном порядке, т.е. Не забудьте посмотреть результаты вашей работы — Для осмысленной настройки VLAN можно использовать базу данных VLAN:
Далее можно поменять настройки конкретной VLAN:
Например name — настройка имени для данной vlan. Довольно удобно давать VLAN осмысленные имена, но нужно иметь в виду, что если на разных свитчах одни и те же vlan будут иметь разные имена, то это может вызвать путаницу в дальнейшем обслуживании.
Для настройки VTP в режим сервера выполните следующее:

1 В основном режиме войдите в раздел конфигурации VLAN.

2 Введите имя домена VTP(1 — 32 символов).

vtp domain domain-name

3 (Необязательно) Установите пароль для домена(1-64 символа).

vtp password password-value

4 Установите нужный режим VTP для данного свитча(клиент/сервер).

5 Возвращаемся в основной режим.

6 Проверяем настройки VTP.

show vtp status

Пример настройки VTP сервера:

Пpоект построения multi-VLAN на основе свитчей серий Catalyst 2900XL и Catalyst 1900EN

Пpоект построения trunk-VLAN на основе свитчей серий Catalyst 2900XL и Catalyst 1900EN

При такой схеме обязателен роутер или поддержка протокола ISL, IEEE 802.1Q сервером. Кроме этого доступна единая конфигурация VLAN через домен VTP:
VTP домен
Домен VTP(домен управления VLAN) — это свитч или группа соединёных свитчей, разделяющих VTP. Свитч может входить только в один VTP домен.
По умолчанию коммутаторы считают, что они не относятся к VTP домену, пока им не приходит сообщение по порту- каналу(trunk порт) или вы вручную не назначите им домен. По умолчанию режим VTP устанавливается как VTP сервер, но коммутатор не станет рассылать информацию другим свитчам, пока ему вручную не присвоен домен VTP.
Если свитч получает информацию о VTP через trunk порт, то он автоматически становится членом данного домена и наследует конфигурацию.
Когда вы меняете настройки VLAN на сервере VTP, то они автоматически наследуются клиентами через trunk порты.
Если же вы конфигурируете настройки VLAN на коммутаторе-клиенте, то они касаются только данного свитча.
Подробнее об VTP см. Конфигурация VLAN у свитчей Catalyst 2900XL

Для свитчей серии CISCO Catalyst 1900 нет поддержки мультиVLAN и вы должны назначать портам только типы static и trunk. Для управления коммутатором через CLI используется весьма удобная система меню:

Вначале после приглашения свитча вы нажимаете M и вводите пароль для конфигурации свитча. После этого вы видите главное меню:

Для настройки VLAN нажмите клавишу V и увидите меню настройки VLAN:

Для просмотра состояния VLAN нажмите L а затем на вопрос о диапазоне VLAN можно указать all для просмотра всех VLAN:

Для того, чтобы использовать какую-либо VLAN её необходимо добавить(в свитчах поздних серий это делается неявно, когда вы впервые эту VLAN используете): для этого в основном меню VLAN нажмите A и следуйте инструкциям:

Для настройки VLAN нажмите M и перед вами возникнет схожее меню для выбранной VLAN. Для присвоения порту допустимой VLAN можно воспользоваться меню E — VLAN membership:

Вначале показывается информация о текущей конфигурации, а затем меню для изменения оной. Для изменения типа VLAN для порта(статический или динамический) и спользуется меню Membership type — M:

Для присвоения конкретной VLAN порту используйте меню V:

Для настройки trunk портов используйте меню T из главного меню настройки VLAN. Вам покажется следующее меню. Trunk портами могут быть только 100Мбитные и оптические порты. Чтобы сделать порт тунелем, нажмите клавишу T меню trunk и выберите 2(On):

Конфигурация VTP для данных свитчей находится также на странице главного меню VLAN:

Для настройки VTP укажите имя домена VTP, который используется у вас в сети(их, конечно, может быть несколько) и режим работы VTP, скорее всего для данного типа свитчей это будет режим клиента. В общем, в режиме клиента нельзя проводить операции с VLAN, вроде добавления, изменения и удаления. Эти операции проводятся централизованно на сервере VTP и передается на все свитчи-клиенты через trunk магистрали(естественно, что для использования возможностей VTP вы должны использовать VLAN через тунели-trunk)