Sziasztok!
Egy kis segítségre lenne szükségem!:)
Már ismerősök körében kérdezgettem, de igazán senkit nem találtam, aki kifejezetten értene a switch-ek konfigjához. Ezért gondoltam felteszem itt is a kérdést. (Én se igazán ezzel foglalkozok, még suliba volt pár hálózatos óra, de az a tudás most nem sokat ér, és ezt valahogy meg kéne oldanom.)
Adott egy IBM BladeCenter, és benne van egy Cisco Systems Intelligent Gigabit Ethernet Switch Module.
A gép be fog kerülni a BIX-be, kapnak majd a pengét fix IP-ket, de azt még nem teljes látom át hogyan.
Leszedtem egy konfig fájlt a netről, és átírtam pár dolgot benne. Most tesztelve megy a masina, DHCP-n keresztül kapnak IP-t a pengék, és minden megy is szépen, de azért gondolom nem olyan egyszerű ez.
Szóval a kérdésem, hogy miket kéne kivenni még, vagy hozzátenni, mert nem vagyok biztos benne, hogy ez így menni fog a szolgáltatónál is, és egyébként is jó lenne, ha egy hozzáértő segítene kijavítni a hibákat.
Előre is köszönöm!
Üdv,
Ádám
A konfig:
Switch#show running-config
Building configuration...
Current configuration : 4235 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
!
username USERID privilege 15 secret 5 $1$k9f9$nOIoa.RjgNycOcL2zybj.0
wrr-queue bandwidth 10 20 70 1
wrr-queue cos-map 1 0 1
wrr-queue cos-map 2 2 4
wrr-queue cos-map 3 3 6 7
wrr-queue cos-map 4 5
mls qos map cos-dscp 0 8 16 24 32 46 48 56
ip subnet-zero
!
vtp mode transparent
!
!
spanning-tree mode rapid-pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
vlan 2
name operational
!
interface GigabitEthernet0/1
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/2
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/3
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch | cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/4
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/5
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/6
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/7
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/8
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/9
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/10
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/11
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/12
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/13
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/14
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/15
description mgmt1
switchport trunk allowed vlan 1
switchport mode trunk
switchport nonegotiate
spanning-tree cost 100
!
interface GigabitEthernet0/16
description mgmt2
switchport trunk allowed vlan 1
switchport mode trunk
switchport nonegotiate
spanning-tree cost 100
!
interface GigabitEthernet0/17
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/18
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/19
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface GigabitEthernet0/20
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
!
interface Vlan1
ip address 192.168.2.120 255.255.255.0
no ip route-cache
management
!
ip default-gateway 192.168.2.1
ip http server
ip http authentication local
!
line con 0
line vty 0 4
login local
line vty 5 15
login local
!
!
end
- 3574 megtekintés
Hozzászólások
Nem tom milyen ip-ket adnak a BIX-ben, de lehet akkor át kell írnod a vlan1-ét ill. a def. gw-t. Az ip http server nem biztos hogy kell ( asszem ez a webes konfigfelületet engedélyezi) . A line vty 5 15 az a telnetes hozzáféréshez kell nem? Úgy emlékszem hogy a telnet kikapcsolásához a virtuális terminálokat kell letiltani. Meg az összes portod trönkölve van, gondolom így akartad :) Bocsi ha sok hülseséget hordtam össze, de régen ciscoztam már xD
- A hozzászóláshoz be kell jelentkezni
Első körben, anélkül, hogy pontosan tudnám mi is a célod illetve a felállás a következőket javasolom:
1 - távolról nem fogod tudni elérni a switch-et mert nincs user és enable beállítva beállítva
megoldás:
aaa new-model
aaa authentication login default local
username "user' secret "password"
enable secret "password"
Jah most látom, hogy user van , nah akkor csak az enable jelszó hiányzik. Ha aaa-val mész akkor
a line vty 0 4-ről le kell venni a login local-t, login authentication default
2 - vlan 1 használta nem nagyon javasolt
megoldás:
definiálj egy új vlan-t vagy használd a már meglévő vlan2-őt, vlan 1 meg mehet shutdown-ba
interface vlan 1
shutdown
interface vlan 2
ip address " "
no proxy-arp
no ip redirects
no ip directed-broadcast
3 - HTTP szolgáltatás kikapcsolható, security risk - mondjuk megoldható, hogy ACL-lel limitálod
hogy honnan elérhető, de szerintem fölösleges, én csak CLI-t használok
no ip http server
no ip http authentication local
4 - megéri limitálni a távoli hozzáférést a switch-hez
access-list VTY-ACL permit "trusted source"
line vty 0 4
access-class VTY-ACL in
exec-timeout 5
logging synchrounous
5-15-ről én leszoktam venni az exec hozzáférést.
line vty 5 15
no exec
line con 0
logging synchrounous
exec-timeout 5
session-timeout 5
5 - SSH-t kellene engedélyezni
crypto key generate rsa general-key modulus 1024
ip ssh version 2
line vty 0 4
transport input ssh
6 - Egyéb hasznos dolgok
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
ntp server "NTP server"
clock timezone
clock summer-time
login-on success
login-on failure
millió más is van de most nem akarok regényt írni :), jah ha csak egy vlan engedélyezett akkor
lehet access módban is a port.
Cs.
- A hozzászóláshoz be kell jelentkezni
Köszönöm!
Holnap beállítom a javasoltakat, és kipróbálom. A többi rész stimmel?
Gondolok itt főleg a portok konfigjára:
interface GigabitEthernet0/1
switchport mode trunk
switchport nonegotiate
auto qos voip trust
macro description cisco-switch
spanning-tree link-type point-to-point
Üdv,
Ádám
- A hozzászóláshoz be kell jelentkezni
Még nem konfiguráltam Blade-hez tartozó switchet, de jó lenne tudni, hogy melyik port lesz az uplink-ed, azon trunk vagy access tipusú lessz a kapcsolat ?
Ha trunk akkor gondolom dot1q de akár ISL-is előfordulhat. (ennek azért kisebb az esélye.)
A Pengék felé menő portok is trunk-ök ??
Valamiért én azt hittem access.
Na kb. két hét múlva konfigurálok én is két H70-es Blade-et 8 pengével majd akkor többet tudok mondani.
"Computer! Earl Grey 27 Celsius-ost !"
Blogom
- A hozzászóláshoz be kell jelentkezni
A bladecenterek hálózati architekturájától ments meg uram minket! :)
Amit én láttam Bladecenter, abban nem volt ennyi port, (sztem nem is cisco switch volt benne, mert vmi IBM speckó webfelületen kellett mánázsolni) viszont volt helyette redundanszia(!): bay1, bay2, group-ok, és groupokhoz rendelt gépek, 1 trönk port amin kapcsolódtak az adott group-ban levő gépek a LAN switchhez stb. stb..
Röviden. A fenének sem akart jól működni, naponta ledöglött vmelyik bay --> a bladecenterben levő gépek fele leszakadt a hálózatról. Megoldás: restartoljuk a bay-t! Egy napig semmi gond, aztán kezdődött elölről. Teaming is elég hülyén működött (azaz nem). Szerencsére (vagy sajnos) nem értek hozzájuk, a partner cég szenvedett velük sokat. Nekem csak annyi esett le az egészből, h. vesz az ügyfél 50 ezer EUR-ért egy ilyen papíron fantasztikusnak hangzó rendszert, és a valóságban megbízhatatlanabb mint egy tucat SOHO switch-el összemadzagolt non-brand gépes hálózat, ami kb. 10-20. annyiba kerül.
- A hozzászóláshoz be kell jelentkezni
service password encyption -- ha beírod config módban nem fognak látszódni a cfg-ben (show ru...) a jelszavak csak kódolva. Apróság, de érdemes odafigyelni.
-------------------------
127.0.0.1 SWEET 127.0.0.1
- A hozzászóláshoz be kell jelentkezni
sajnos kb. 10 mp alatt törhető így is. Ebből 9 mp arra megy el, h. találj guglival egy online cisco password cracker oldalt, ahova bekopizod az input mezőbe a kódolt sztringet, és az ok gombra kattintva azonnal mutatja a megfejtést.
- A hozzászóláshoz be kell jelentkezni
Off:
erdekes lenne, ha a BIX-be sikerulne betenni:-)
- A hozzászóláshoz be kell jelentkezni