Juniper серии SRX.: февраля 2017

Настройка маршрутизации InterVLAN

Команда show vlan brief покажет нам, что все интерфейсы в первом VLAN-не по умолчанию, наша задача создать несколько виртуальных сетей и настроить маршрутизацию между ними (InterVLAN)

cat3560#show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4

Fa0/5, Fa0/6, Fa0/7, Fa0/8

Fa0/9, Fa0/10, Fa0/11, Fa0/12

Fa0/13, Fa0/14, Fa0/15, Fa0/16

Fa0/17, Fa0/18, Fa0/19, Fa0/20

Fa0/21, Fa0/22, Fa0/23, Fa0/24

Gi0/1, Gi0/2

Первым делом, для удобства, чтобы убрать ожидание при вводе неправильной команды, введем:

cat3560#conf t

cat3560(config)#no ip domain-lookup (отключим обращение к DNS)

Далее явно включим IP-маршрутизацию:

cat3560(config)#ip routing

Создадим VLAN 2 и VLAN 20:

cat3560(config)#vlan 2

cat3560(config-vlan)#name User

cat3560(config-vlan)#exit

cat3560(config)#vlan 20

cat3560(config-vlan)#name Server

cat3560(config-vlan)#exit

Смотрим:

cat3560(config)#do show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5

Fa0/6, Fa0/7, Fa0/8, Fa0/9

Fa0/10, Fa0/11, Fa0/12, Fa0/13

Fa0/14, Fa0/15, Fa0/16, Fa0/17

Fa0/18, Fa0/19, Fa0/20, Fa0/21

Fa0/22, Fa0/23, Fa0/24, Gi0/1

Gi0/2

2 User active

20 Server active

1002 fddi-default act/unsup

1003 token-ring-default act/unsup

1004 fddinet-default act/unsup

1005 trnet-default act/unsup

Появился VLAN 2 User и 20 Server.

Если нужно удалить VLAN 2, то команда:

cat3560(config)#no vlan 2

Если приостановить весь трафик на VLAN 2, то выключить VLAN:

cat3560(config)#shutdown vlan 2

Базу данных VLAN создали, теперь настроим виртуальный интерфейс:

cat3560(config)#interface vlan 2

cat3560(config-if)#ip address 10.10.2.1 255.255.255.0

cat3560(config-if)#no shutdown

cat3560(config)#interface vlan 20

cat3560(config-if)#ip address 10.10.20.1 255.255.255.0

cat3560(config-if)#no shutdown

cat3560(config-if)#exit

Добавим в VLAN 2 несколько интерфейсов:

cat3560(config)#interface range fastEthernet 0/1 – 4 (настраиваем с 1 по 4 порт)

cat3560(config-if-range)#description User (Описание)

cat3560(config-if-range)#switchport mode access (порт в режиме доступа)

cat3560(config-if-range)#switchport access vlan 2 (назначаем порты в VLAN 2)

cat3560(config-if-range)#no shutdown

cat3560(config-if-range)#exit

cat3560# write

Готово, теперь можно подключаться шнурком в порту с 1 по 4 и цепляться за железку по SSH, т.к. не настроен DHCP, то на компьютере придется руками назначить адрес из сети 10.10.2.0/24

Тоже самое проделываем для VLAN 20:

cat3560(config)#interface range fastEthernet 0/5-8

cat3560(config-if-range)#description Server

cat3560(config-if-range)#switchport mode access

cat3560(config-if-range)#switchport access vlan 20

cat3560(config-if-range)#no shutdown

cat3560(config-if-range)#exit

cat3560(config)#exit

Смотрим рабочую конфигурацию:

cat3560#show running-config

……………….

ip routing

………………

interface FastEthernet0/1

description User

switchport access vlan 2

switchport mode access

interface FastEthernet0/2

description User

switchport access vlan 2

switchport mode access

interface FastEthernet0/3

description User

switchport access vlan 2

switchport mode access

interface FastEthernet0/4

description User

switchport access vlan 2

switchport mode access

interface FastEthernet0/5

description Server

switchport access vlan 20

switchport mode access

interface FastEthernet0/6

description Server

switchport access vlan 20

switchport mode access

interface FastEthernet0/7

description Server

switchport access vlan 20

switchport mode access

interface FastEthernet0/8

description Server

switchport access vlan 20

switchport mode access

………….

interface Vlan1

ip address 10.10.10.10 255.255.255.0

interface Vlan2

ip address 10.10.2.1 255.255.255.0

interface Vlan20

ip address 10.10.20.1 255.255.255.0

ip default-gateway 10.10.10.1

Смотрим базу VLAN:

cat3560#show vlan brief

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/9, Fa0/10, Fa0/11, Fa0/12

Fa0/13, Fa0/14, Fa0/15, Fa0/16

Fa0/17, Fa0/18, Fa0/19, Fa0/20

Fa0/21, Fa0/22, Fa0/23, Fa0/24

Gi0/1, Gi0/2

2 User active Fa0/1, Fa0/2, Fa0/3, Fa0/4

20 Server active Fa0/5, Fa0/6, Fa0/7, Fa0/8

1002 fddi-default act/unsup

1003 token-ring-default act/unsup

1004 fddinet-default act/unsup

1005 trnet-default act/unsup

Проверяем:

cat3560#show ip route

……………….

10.0.0.0/24 is subnetted, 2 subnets

C 10.10.2.0 is directly connected, Vlan2

C 10.10.20.0 is directly connected, Vlan20

cat3560#show ip interface brief

Interface IP-Address OK? Method Status Protocol

Vlan1 10.10.10.10 YES NVRAM up down

Vlan2 10.10.2.1 YES manual up up

Vlan20 10.10.20.1 YES manual up up

FastEthernet0/1 unassigned YES unset down down

FastEthernet0/2 unassigned YES unset down down

FastEthernet0/3 unassigned YES unset up up

FastEthernet0/4 unassigned YES unset down down

FastEthernet0/5 unassigned YES unset down down

FastEthernet0/6 unassigned YES unset down down

FastEthernet0/7 unassigned YES unset up up

FastEthernet0/8 unassigned YES unset down down

Готово, теперь между подсетями 10.10.2.0/24 и 10.10.20.0/24 должен ходить трафик.

Берем второй ноут, цепляем шнурок в порт с 5 по 8, назначаем IP-адрес из сети 10.10.20.0/24 и пингуем друг друга.

Если на клиентах не хотим вручную прописывать настройки, то поднимаем DHCP-сервер:
cat3560(config)#service dhcp (L3 коммутатор на CPT не нашел такой команды)
cat3560(config)#ip dhcp pool User - создали пул
cat3560(dhcp-config)#network 10.10.2.0 255.255.255.0 - указали сеть
cat3560(dhcp-config)#default-route 10.10.2.1 - шлюз по умолчанию для узлов
cat3560(dhcp-config)#dns-server 10.10.20.20 - корпоративный DNS
cat3560(dhcp-config)#exit
cat3560(config)#ip dhcp excluded-address 10.10.2.1 10.10.2.20 - диапазон адресов исключаем из пула динамического назначения.
Тоже проделать и для пула Server.

Единственное что еще хотелось бы сделать ради безопасности, это удалить сетевые настройки с VLAN 1, т.к. все остальные порты по умолчанию находятся в нем. Удалить VLAN 1 и интерфейс VLAN 1 cisco не позволяет, поэтому просто удаляем сетевые настройки:

cat3560(config)#interface vlan 1

cat3560(config-if)#no ip address

cat3560#show ip interface brief

Interface IP-Address OK? Method Status Protocol

Vlan1 unassigned YES manual up down

Vlan2 10.10.2.1 YES manual up up

Vlan20 10.10.20.1 YES manual up up

Удалили сетевые настройки, теперь отключим весь vlan 1:

cat3560(config-if)#shutdown

Шлюз по умолчанию, указанный командой IP DEFAULT-GATEWAY (используют для указания шлюза по умолчанию, когда маршрутизация не включена или на L2 коммутаторах) не понадобится, т.к. мы включили IP маршрутизацию командой IP ROUTING в самом начале.

Удаляем IP DEFAULT-GATEWAY:

cat3560(config)#no ip default-gateway

Также удаляем возможность подключения через HTTP и HTTPS:

cat3560(config)#no ip http server

cat3560(config)#no ip http secure-server

Ну и чтобы явно включить VLSM введем команду:

cat3560(config)#ip classless (отказываемся работать с классовыми адресами)

Не забываем про RSTP
По умолчанию на cisco уже работает STP, наша задача переключить его на Rapid, указать в каких vlan он работает и выставить приоритет выбора Root-коммутатора:

cat3560(config)#spanning-tree mode rapid-pvst
cat3560(config)#spanning-tree vlan 1-4094 root primary

Про STP можно писать очень много, на данный момент можно сказать про 802.1t - в заголовке BPDU номер vlan, поддержка 802.1t включена по умолчанию, можно задать явно: #spanning-tree extend system-id.

Также не забываем про технологии PortFast и BPDUGuard их рекомендуют включать в связке на access портах, можно на интерфейсе, но лучше глобальной командой:
cat3560(config)#spanning-tree portfast default - все access порты делаются portfast
cat3560(config)#spanning-tree portfast bpduguard default - все portfast интерфейсы делаются bpduguard
Проверяем командой:
#show spanning-tree interface fastEthernet 0/1 portfast
#show spanning-tree ?

Ну и немного про приоритет выбора Root-коммутатора, по умолчанию все коммутаторы cisco имеют приоритет 32768 и выбор root-коммутатора происходит по mac-адресу, для этого выставляется приоритет вручную командой root primary, приоритет меняется на 24576 (+номер vlan-на), также можно задать приоритет командой priority 24576, есть возможность указать резервный root-коммутатор root secondary (28672) и много еще чего можно.

На этом все!

Обновление Cisco IOS

Первым делом сохраняем старый образ на tftp, всякое бывает.

Перешли в директорию где хранится образ:

Switch#cd flash:c3560-ipbase-mz.122-35.SE5

Посмотрели:

Switch#dir

Directory of flash:/c3560-ipbase-mz.122-35.SE5/

6 -rwx 6875865 Mar 1 1993 09:05:28 +09:00 c3560-ipbase-mz.122-35.SE5.bin

7 drwx 4160 Mar 1 1993 09:05:47 +09:00 html

462 -rwx 422 Mar 1 1993 09:06:21 +09:00 info

15998976 bytes total (6944256 bytes free)

Скопировали:

Switch#copy flash:c3560-ipbase-mz.122-35.SE5.bin tftp:

Address or name of remote host []? 10.10.10.11

Destination filename [c3560-ipbase-mz.122-35.SE5.bin]?

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

6875865 bytes copied in 16.559 secs (415234 bytes/sec)

Чтобы сохранить конфиг нужно подняться выше:

Switch#cd

Смотрим:

Switch#dir

Directory of flash:/

2 -rwx 1492 Dec 18 2016 23:38:01 +09:00 config.text

3 -rwx 5 Dec 18 2016 23:38:01 +09:00 private-config.text

5 drwx 192 Mar 1 1993 09:06:21 +09:00 c3560-ipbase-mz.122-35.SE5

15998976 bytes total (6944256 bytes free)

Сохраняем файл config.text:

Switch#copy flash:config.text tftp:

Address or name of remote host []? 10.10.10.11

Destination filename [config.text]?

1492 bytes copied in 0.017 secs (87765 bytes/sec)

Switch#

Готово, т.к. свободного места во Flash только 6,6 Мбайт, то удаляем старый образ и заливаем новый.

Заходим в директорию где хранится образ:

Switch#cd flash:c3560-ipbase-mz.122-35.SE5

Удаляем образ (c3560-ipbase-mz.122-35.SE5.bin):

Switch#delete c3560-ipbase-mz.122-35.SE5.bin

Delete filename [/c3560-ipbase-mz.122-35.SE5/c3560-ipbase-mz.122-35.SE5.bin]?

Delete flash:/c3560-ipbase-mz.122-35.SE5/c3560-ipbase-mz.122-35.SE5.bin? [confirm]

Проверяем:

Switch#dir

Directory of flash:/c3560-ipbase-mz.122-35.SE5/

7 drwx 4160 Mar 1 1993 09:05:47 +09:00 html

462 -rwx 422 Mar 1 1993 09:06:21 +09:00 info

15998976 bytes total (13820416 bytes free)

Готово, теперь заливаем новый.

Перешли в директорию flash:

Switch#cd

Switch#dir

Directory of flash:/

2 -rwx 1492 Dec 18 2016 23:38:01 +09:00 config.text

3 -rwx 5 Dec 18 2016 23:38:01 +09:00 private-config.text

5 drwx 128 Mar 1 1993 09:36:33 +09:00 c3560-ipbase-mz.122-35.SE5

15998976 bytes total (13820416 bytes free)

Switch#copy tftp: flash:?

flash:c3560-ipbase-mz.122-35.SE5 flash:config.text flash:private-config.text

Создадим новую папку и копируем туда образ:

Switch#copy tftp: flash:c3560-ipbasek9-mz.122-55.SE11

Address or name of remote host []? 10.10.10.11

Source filename []? c3560-ipbasek9-mz.122-55.SE11.bin

Destination filename [c3560-ipbasek9-mz.122-55.SE11]?

Accessing tftp://10.10.10.11/c3560-ipbasek9-mz.122-55.SE11.bin...

Loading c3560-ipbasek9-mz.122-55.SE11.bin from 10.10.10.11 (via Vlan1): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

[OK - 11773249 bytes]

11773249 bytes copied in 173.183 secs (67982 bytes/sec)

Готово, теперь меняем в конфиге образ загрузки и перезагружаемся:

Switch#conf t

Switch(config)#boot system c3560-ipbasek9-mz.122-55.SE11.bin

Проверяем параметры загрузки:

Switch#show boot

BOOT path-list : c3560-ipbasek9-mz.122-55.SE11.bin

Config file : flash:/config.text

Private Config file : flash:/private-config.text

Enable Break : no

Manual Boot : no

HELPER path-list :

Auto upgrade : yes

Auto upgrade path :

Switch#reload

System configuration has been modified. Save? [yes/no]:yes

Проверяем версию IOS:

Switch#sho version

Cisco IOS Software, C3560 Software (C3560-IPBASEK9-M), Version 12.2(55)SE11

Готово.

Доступ по SSH на Cisco Catalyst

Подключаемся к коммутатору по Telnet как описано в «Первое подключение», первым делом настроим доступ по SSH, немного закрутим гайки безопасности, отключим телнет и др. Кстати если коммутатор установлен в серверной, то совсем не обязательно задавать пароль на подключение через консольный порт, на каком-то курсе ICND1 даже не рекомендовали этого делать.

Чтобы настроить подключение по SSH необходимо сгенерировать сертификат, для генерации сертификата нужно создать пользователя, пароль, имя устройства + суффикс DNS.

Имя уже есть, но мы зададим другое

Switch#configure terminal

Switch(config)#hostname Cat3560

DNS-суффикс:

Cat3560(config)#ip domain-name novchara.com

Создаем локального пользователя в базе и пароль:

Cat3560(config)#username cisco secret cisco

Без пароля на enable в режим conf t по SSH не войдем:
Cat3560(config)#enable secret cisco

Генерируем сертификат:

cat3560(config)#crypto key generate rsa general-keys modulus 1024

The name for the keys will be: cat3560.novchara.com

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Включаем SSH версию 2:

cat3560(config)#ip ssh version 2

Увеличить время сессии ssh:
Cat3560(config)#ip ssh time-out ?

Смотрим:

cat3560#show ip ssh

SSH Enabled - version 2.0

Authentication timeout: 120 secs; Authentication retries: 3

Теперь настраиваем Line vty:

cat3560(config)#line vty 0 15

cat3560(config-line)#transport input ssh (подключаемся входящий только по ssh)

cat3560(config-line)#transport output ssh (разрешаем с cisco исходящий только по ssh)

cat3560(config-line)#transport preferred ssh (предпочтительный протокол для использования ssh)

Отменяем общий пароль:

cat3560(config-line)#no password

cat3560(config-line)#no login

cat3560(config-line)#login local (использовать локальную базу пользователей)

Сохраняемся:

cat3560#write

Готово.

Juniper серии SRX.

пятница

Настройка маршрутизации InterVLAN

Обновление Cisco IOS

Доступ по SSH на Cisco Catalyst

Обо мне