Cisco: catalyst 3750 выделяем отдельный порт для управления
Сброс конфигурации
На Cisco Catalyst 3750 сброс конфигурации до заводских настроек делается через удаление startup-config и перезагрузку.
Вариант 1 — если есть доступ в CLI
|
1 2 3 4 |
enable write erase delete vlan.dat reload |
Пояснения:
– write erase — удаляет startup-config (основную конфигурацию).
– delete vlan.dat — удаляет базу VLAN (хранится отдельно в flash).
– reload — перезагружает устройство. При старте загрузится чистый конфиг, как с завода.После перезагрузки:
– Пароля не будет.
– VLAN’ы будут только по умолчанию (VLAN 1).
– Настройки интерфейсов обнулятся.
Вариант 2 — если забыт пароль и нет доступа
1)Подключиться через консольный кабель.
2)Перезагрузить коммутатор.
3)При загрузке, когда появится сообщение:
|
1 |
Use BREAK or ESC to interrupt boot |
– нажать Break (или Ctrl+Break в терминале).
4)Попасть в режим ROMMON (switch:).
5)Ввести:
|
1 2 3 4 |
flash_init load_helper rename flash:config.text flash:config.old boot |
6)После загрузки ввести:
|
1 2 |
no rename startup-config write memory |
Теперь конфигурация будет сброшена.
Включим режим только как L2-свитч, нужно отключить маршрутизацию.
Отключи IP-маршрутизацию:
|
1 2 3 4 |
configure terminal no ip routing end write memory |
Проверка, таблица маршрутов должна исчезнуть:
|
1 |
show ip route |
Если всё правильно, увидишь только:
|
1 2 3 |
Default gateway is 192.168.222.1 Host Gateway Last Use Total Uses Interface 192.168.222.0/24 direct connection ... |
Выделяем отдельный порт для управления
1)Создаём отдельную VLAN для управления
|
1 2 3 |
configure terminal vlan 99 name MANAGEMENT |
2)Назначаем порт в VLAN управления, в примере 1-ый порт
|
1 2 3 4 5 |
interface FastEthernet0/1 switchport mode access switchport access vlan 99 spanning-tree portfast no shutdown |
3)Настраиваем VLAN-интерфейс и включаем DHCP
|
1 2 3 |
interface vlan 99 no shutdown ip address dhcp |
или прописываем статику
|
1 2 3 4 5 |
configure terminal interface vlan 99 ip address 192.168.100.10 255.255.255.0 no shutdown ip default-gateway 192.168.100.1 |
4)Проверяем IP
|
1 |
show ip interface brief |
5)Включаем Telnet/SSH для доступа, Telnet не рекомендуется на проде
|
1 2 3 4 |
line vty 0 4 login local transport input telnet transport input ssh |
6)Создаём пользователя:
|
1 |
username admin privilege 15 secret MySecurePass |
7)Сохраняем конфигурацию
|
1 |
write memory |
VLAN для управления должна быть изолирована от основной сети пользователей.
Лучше использовать SSH, если планируется работа в продакшн.
На 3750 нельзя сделать физический out-of-band порт как на Nexus, поэтому VLAN-интерфейс + отдельный порт = «виртуальный mgmt порт».
Настраиваем доступ к управлению коммутатором
На Cisco 3750 это обычно делается через Access Control List (ACL), применяемый к интерфейсу управления (VLAN-интерфейсу).
1)Создаём ACL, разрешающую только локальную сеть
|
1 2 3 4 |
configure terminal ip access-list standard MGMT_ONLY permit 192.168.100.0 0.0.0.255 deny any |
2)Применяем ACL к интерфейсу управления (VLAN 99)
|
1 2 |
interface vlan 99 ip access-group MGMT_ONLY in |
Теперь только устройства из 192.168.100.0/24 смогут обращаться к этому интерфейсу (Telnet, SSH, SNMP и т.д.).
3)Проверяем
|
1 2 |
show access-lists show ip interface vlan 99 |
4)Проверяем, какие ACL применены
|
1 |
show running-config | include ip access-group |
Это покажет что-то вроде:
|
1 |
ip access-group MGMT_ONLY in |
5)Сохраняем конфигурацию
|
1 |
write memory |
Убираем ограничение доступа на управление коммутатором
Список всех интерфейсов с применёнными ACL
|
1 |
show running-config | include ip access-group |
Снятие ACL с интерфейсов
|
1 2 3 4 |
configure terminal interface vlan 99 no ip access-group MGMT_ONLY in no ip access-group MGMT_ONLY out |
Проверяем, что интерфейсы без ACL
|
1 |
show running-config | include ip access-group |
Если вывод пустой — ACL больше ни к одному интерфейсу не применены.
Удаление самих ACL из конфигурации
|
1 2 |
configure terminal no ip access-list standard MGMT_ONLY |
Сохраняем конфигурацию
|
1 |
write memory |
ACL всегда активны только на интерфейсах; удаление самой ACL не влияет на трафик, если она уже не привязана.
После удаления ACL доступ ко всем интерфейсам будет без ограничений, убедись, что сеть безопасна.
Смена пароля пользователя admin
|
1 2 3 4 |
configure terminal username admin privilege 15 secret Новый_Пароль end write memory |
|
1 2 3 4 |
configure terminal username admin privilege 15 password Новый_Пароль end write memory |
username admin – указывает пользователя.
privilege 15 – максимальные права (как у enable).
write memory – сохраняем в startup-config.
password – пароль хранится в открытом виде.
secret – пароль хранится в хешированном виде (MD5).
Проверка:
|
1 |
show running-config | include username |
Увидишь примерно так:
|
1 |
username admin privilege 15 password 0 Новый_Пароль |
Прописать только шлюз для L2 режима коммутатора
Этот шлюз используется самим свитчом для доступа в другие подсети. То есть фактически это шлюз для всех SVI на устройстве, но раз у тебя активен только Vlan100, то работает именно для него.
|
1 2 3 4 |
configure terminal ip default-gateway 192.168.222.1 end write memory |
Проверка:
|
1 |
show running-config | include ip default-gateway |
Должно показать:
|
1 |
ip default-gateway 192.168.222.1 |
Если ты включишь ip routing, то ip default-gateway игнорируется, и нужно будет писать уже:
|
1 |
ip route 0.0.0.0 0.0.0.0 192.168.222.1 |
Отключаем STP на порту и включить bpdu фильтр
Чтобы на конкретном(48) порту Spanning-Tree не участвовал и игнорировались/не отправлялись BPDUs. Делается это через BPDU Filter.
|
1 2 3 4 5 6 7 |
conf t interface gi1/0/48 description a-port-bez-STP switchport mode access spanning-tree bpdufilter enable end write memory |