Poniżej przykładowa konfiguracja switcha¶
Konfiguracja danych przełącznika
Pokaż Ukryj
hostname "$_Adres_montażu"
prompt "$_Adres_montażu"
Konfiguracja Vlan
Pokaż Ukryj
vlan database
vlan 1
vlan 100
vlan 100 name mgmt
Konfiguracja IP
Pokaż Ukryj
interface vlan 100
ip address $_IP $_MASK
exit
ip default-gateway $_GATEWAY
ip dns $_DNS_SERVER
Konfiguracja NTP
Pokaż Ukryj
ntp client
ntp server 1 ntp.$domain
ntp zone 603
Konfiguracja Syslog
Pokaż Ukryj
logging remote-log 1 host syslog.$domain
logging remote-log
Konfiguracja SNMP
Pokaż Ukryj
snmp-server community get @#coca#@
snmp-server community set @#cola#@
snmp-server contact "admin@$domain"
snmp-server location "$_Adres_montażu"
snmp-server version v2c
snmp-server enable
Konfiguracja Interfejsu
Pokaż Ukryj
interface ethernet 1/1
switchport mode c-port
switchport native vlan 239
switchport allowed vlan add 1
switchport allowed vlan add 239
switchport acceptable-frame-types untagged
switchport ingressfilter
switchport tx_tag untag_pvid
Opis poleceń:
interface ethernet 1/1 - wybór portu
switchport mode - tryb pracy portu, wyróżniamy:
c-port - zarówno ruch tagowany jak i nie tagowany
unaware - ruch nie tagowany
switchport tx_tag - odpowiada za rodzaj obsługiwanego ruchu, mamy do wyboru:
untag_pvid - przepuszczać ruch tylko z jednego vlan, opcja używana gdy port jest typu unaware
tag_all - tagować cały ruch, opcja używana gdy port jest typu c-mode
Konfiguracja LLDP
Pokaż Ukryj
interface ethernet 1/1
lldp enable
lldp cdp-aware
DHCP Snooping
Pokaż Ukryj
dhcp-snooping
A następnie dla konfiguracji portu gdzie ma przechwytywać zapytania dajemy
dhcp-snooping mode untrusted
Dla portów typu uplink (link do switcha w studio) dajemy
dhcp-snooping mode trusted
DHCP Relay
Pokaż Ukryj
UWAGA! W sytuacji kiedy switch jest węzłowy, czyt. kiedy odchodzą z niego inne switche, nie możemy włączyć DHCP Relay. W sytuacji kiedy DHCP Relay jest wyłączone:
należy na uruchomić je w innym miejscu np. router
przydzielanie IP po numerze portu również nie działa Option-82
dhcp-relay server $DHCP_SERVER_IP
Z WWW wchodzimy w Configuration->Security->DHCP->Relay
802.1x MAC Auth - Radius¶
Wyłączenie uwierzytelniania po Radius(chyba że jeden serwer obsługuje oba rodzaje zapytań):
CLI Pokaż Ukryj
WebUI Pokaż Ukryj wchodzimy Configuration -> Security -> Switch -> Auth Method - wszędzie ustawiamy wartość local
Konfiguracja połączenia z Radius:
CLI Pokaż Ukryj
radius-accounting-server 1 host x.x.x.x
radius-accounting-server 1 key radius-acs
radius-accounting-server 1 active
radius-authentication-server 1 host x.x.x.x
radius-authentication-server 1 key radius-acs
radius-authentication-server 1 active
WebUI Pokaż Ukryj Wchodzimy Configuration -> Security -> AAA - Dodajemy dwa pozycje
Authentication Server:
host: x.x.x.x
hasło(kolumna secret): radius-acs
włączamy(kolumna enable): oznaczamy checkbox
Accounting Server:
host: x.x.x.x
hasło(kolumna secret): radius-acs
włączamy(kolumna enable): oznaczamy checkbox
Konfiguracja 802.1x,
Konfiguracja protokołu 802.1x
CLI Pokaż Ukryj
WebUI Pokaż Ukryj Wchodzimy Configuration -> Security -> Network -> NAS i ustawiamy:
Mode na wartość Enabled Hold Time : na wartość 120 Mac Auth Username Format na wartość without-hypen i Upper-case
Autoryzacja dla portów dostępowych (access)
CLI Pokaż Ukryj
interface ethernet 1/1
dot1x port-control mac-based
WebUI Pokaż Ukryj Wchodzimy Configuration -> Security -> Network -> NAS i na każdym porcie który nie jest w VLAN 100 w kolumnie Admin State wybieramy Mac-based Auth .
Autoryzacja dla portów TRUNK z MGMT VLAN id 100, Force Authorized :
CLI Pokaż Ukryj
interface ethernet 1/24
dot1x port-control force-authorized
WebUI Pokaż Ukryj Wchodzimy Configuration -> Security -> Network -> NAS i na każdym porcie który jest w VLAN 100 w kolumnie Admin State wybieramy Force Authorized
Obsługa SFLOW¶
Obsługa IGMP¶
Obsługa LoopBack Detection¶
Inne rzeczy których nie używamy, ale zapisuje jakby ktoś pytał
ip ssh server