Пример настройки коммутатора Cisco Catalyst 2950 [09.02.2007]
Несмотря на то, что эта модель коммутатора далеко не нова и, в отличие от своего собрата 2955 не имеет возможности подключения через гигабитные порты, не говоря уже о более продвинутых устройствах типа Cisco Catalyst 3750 с их поддержкой PoE, все равно Cisco Catalyst 2950 продолжает пользоваться популярностью из-за своих достаточно широких возможностей и простоты настройки. Очень часто эти коммутаторы используются для разбиения локальной сети на VLAN - виртуальные сети, члены которых не могут видеть друг друга. Помимо безопасности, это дает возможность связывать несколько коммутаторов с несколькими VLAN с помощью одного кабеля - trunk-режим работы порта. Приведу пример с некоторыми комментариями:
no service pad
service timestamps debug uptime # в debug-режиме указывать время работы
service timestamps log uptime # записывать время работы в лог
service password-encryption # скрывает пароли при выводе командами типа show running-config
hostname c2950-01 # сетевое имя коммутатора Cisco Catalyst 2950
!
aaa new-model # новый синтаксис команд протокола AAA
aaa authentication login VTY local # аутентификация через VTY
username cwork password 7 15413909153A05297F
username cisco password 7 0822455D0A16
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation # автоматически восстанавливать работу порта, если отключение произошло из-за port-security после errdisable recovery interval, но только если посторонний MAC-адрес более не обнаруживается на порту
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause loopback
errdisable recovery interval 30 # задание интервала для восстановления порта после ошибки или нарушения безопасности порта
ip subnet-zero # разрешает использовать нулевую подсеть
spanning-tree mode pvst # включение per VLAN spanning-tree
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id # использовать расширения 802.1t для pvst
dot1x system-auth-control
interface FastEthernet0/1
switchport access vlan 3
switchport mode access
speed 10
spanning-tree portfast
… # те же настройки для портов 2-5
interface FastEthernet0/6
switchport access vlan 2
switchport mode access
speed 10
mls qos cos 5
mls qos trust cos
spanning-tree portfast
… # те же настройки для портов 7-14
interface FastEthernet0/15
switchport mode access
speed 100
spanning-tree portfast
… # те же настройки для портов 16-23
interface FastEthernet0/24 # создаем транк 802.1q, в этот порт подключаем маршрутизатор для inter-VLAN routing
switchport mode trunk
switchport nonegotiate # отключение DTP (отключение автоопределения – access или trunk режим)
speed 100
load-interval 60
spanning-tree portfast trunk
interface Vlan1 # настройка интерфейса, через который подключаемся к коммутатору для его настройки
ip address 192.168.0.3 255.255.255.0
no ip route-cache
ip default-gateway 192.168.0.1
no ip http server # отключаем, так как HTTP-сервер нам не нужен (настройка через telnet, а держать его просто так небезопасно)
logging 192.168.1.2
logging 192.168.1.3
snmp-server community tRvd1K6j RO # SNMP-community с правами на чтение
snmp-server community 74HwZegr RW # SNMP-community с правами на запись
snmp-server location 123456, Moscow, Spasskaya str., 5
snmp-server enable traps snmp authentication warmstart linkdown linkup coldstart
snmp-server enable traps config
snmp-server enable traps copy-config
snmp-server enable traps syslog
snmp-server enable traps entity
snmp-server enable traps flash insertion removal
snmp-server enable traps bridge
snmp-server enable traps stpx
snmp-server enable traps rtr
snmp-server enable traps c2900
snmp-server enable traps vtp
snmp-server enable traps vlancreate
snmp-server enable traps vlandelete
snmp-server enable traps port-security
snmp-server enable traps MAC-Notification
snmp-server enable traps envmon fan shutdown supply temperature status
snmp-server enable traps hsrp
snmp-server enable traps cluster
snmp-server enable traps vlan-membership
snmp-server host 192.168.1.2 tRvd1K6j
snmp-server host 192.168.1.3 tRvd1K6j
rtr responder
line con 0 # настраиваем пароль на консоль
password 7 060506324F41
line vty 0 15 # и на терминальный доступ
password 7 060506324F41
login authentication VTY
Такая конфигурация дает нам 2 VLAN (2 и 3 - с 1 по 5 и с 6 по 14 порты), 15-23 порты не включаются в VLAN'ы - можно либо перераспределить их между VLAN'ами, либо оставить неиспользуемым, и один trunk - 24 порт, который свяжет этот коммутатор с другим, на котором также можно настроить VLAN'ы 2 и 3 - тогда клиенты из них будут взаимодействовать независимо от того, в какой из двух связанных коммутаторов они подключены, причем только с устройствами из своего VLAN. И учтем, что для соединения коммутаторов нам потребуется всего один кабель на 2 VLAN'а.
| 