Poniżej przykładowa konfiguracja switcha¶
Konfiguracja danych przełącznika
PokażUkryj
hostname "$_Adres_montażu"
prompt "$_Adres_montażu"
Konfiguracja Vlan
PokażUkryj
vlan database
vlan 1
vlan 100
vlan 100 name mgmt
Konfiguracja IP
PokażUkryj
interface vlan 100
ip address $_IP $_MASK
exit
ip default-gateway $_GATEWAY
ip dns $_DNS_SERVER
Konfiguracja NTP
PokażUkryj
ntp client
ntp server 1 ntp.$domain
ntp zone 603
Konfiguracja Syslog
PokażUkryj
logging remote-log 1 host syslog.$domain
logging remote-log
Konfiguracja SNMP
PokażUkryj
snmp-server community get @#coca#@
snmp-server community set @#cola#@
snmp-server contact "admin@$domain"
snmp-server location "$_Adres_montażu"
snmp-server version v2c
snmp-server enable
Konfiguracja Interfejsu
PokażUkryj
interface ethernet 1/1
switchport mode c-port
switchport native vlan 239
switchport allowed vlan add 1
switchport allowed vlan add 239
switchport acceptable-frame-types untagged
switchport ingressfilter
switchport tx_tag untag_pvid
Opis poleceń:
- interface ethernet 1/1 - wybór portu
- switchport mode - tryb pracy portu, wyróżniamy:
- c-port - zarówno ruch tagowany jak i nie tagowany
- unaware - ruch nie tagowany
- switchport tx_tag - odpowiada za rodzaj obsługiwanego ruchu, mamy do wyboru:
- untag_pvid - przepuszczać ruch tylko z jednego vlan, opcja używana gdy port jest typu unaware
- tag_all - tagować cały ruch, opcja używana gdy port jest typu c-mode
Konfiguracja LLDP
PokażUkryj
interface ethernet 1/1
lldp enable
lldp cdp-aware
DHCP Snooping - Aktualnie nie włączamy
PokażUkryj
dhcp-snooping
A następnie dla konfiguracji portu gdzie ma przechwytywać zapytania dajemy
dhcp-snooping mode untrusted
Dla portów typu uplink (link do switcha w studio) dajemy
dhcp-snooping mode trusted
DHCP Relay - Aktualnie nie włączamy
PokażUkryj
dhcp-relay server $DHCP_SERVER_IP
802.1x MAC Auth - Radius¶
- Wyłączenie uwierzytelniania po Radius(chyba że jeden serwer obsługuje oba rodzaje zapytań):
- CLI PokażUkryj
- WebUI PokażUkryj
wchodzimy Configuration -> Security -> Switch -> Auth Method - wszędzie ustawiamy wartość local
- Konfiguracja połączenia z Radius:
- CLI PokażUkryj
radius-accounting-server 1 host x.x.x.x
radius-accounting-server 1 key radius-acs
radius-accounting-server 1 active
radius-authentication-server 1 host x.x.x.x
radius-authentication-server 1 key radius-acs
radius-authentication-server 1 active
- WebUI PokażUkryj
Wchodzimy Configuration -> Security -> AAA - Dodajemy dwa pozycje
- Authentication Server:
- host: x.x.x.x
- hasło(kolumna secret): radius-acs
- włączamy(kolumna enable): oznaczamy checkbox
- Accounting Server:
- host: x.x.x.x
- hasło(kolumna secret): radius-acs
- włączamy(kolumna enable): oznaczamy checkbox
- Konfiguracja 802.1x,
- Konfiguracja protokołu 802.1x
- CLI PokażUkryj
- WebUI PokażUkryj
Wchodzimy Configuration -> Security -> Network -> NAS i ustawiamy:
- Mode na wartość Enabled
- Hold Time: na wartość 120
- Mac Auth Username Format na wartość without-hypen i Upper-case
- Autoryzacja dla portów dostępowych (access)
- CLI PokażUkryj
interface ethernet 1/1
dot1x port-control mac-based
- WebUI PokażUkryj
Wchodzimy Configuration -> Security -> Network -> NAS i na każdym porcie który nie jest w VLAN 100 w kolumnie Admin State wybieramy Mac-based Auth .
- Autoryzacja dla portów TRUNK z MGMT VLAN id 100, Force Authorized:
- CLI PokażUkryj
interface ethernet 1/24
dot1x port-control force-authorized
- WebUI PokażUkryj
Wchodzimy Configuration -> Security -> Network -> NAS i na każdym porcie który jest w VLAN 100 w kolumnie Admin State wybieramy Force Authorized
Obsługa SFLOW¶
Obsługa IGMP¶
Obsługa LoopBack Detection¶
Inne rzeczy których nie używamy, ale zapisuje jakby ktoś pytał
Włączenie SSH
ip ssh server