Ferramentas do usuário

Ferramentas do site


comandos_basicos_switch_cisco

COMANDOS BÁSICOS SWITCHS CISCO

AO EFETUAR UMA CONFIGURAÇÃO E TER CERTEZA QUE ESTÁ CORRETA, NÃO SE ESQUEÇA DE APLICAR O COMANDO “do wr”

Entra no modo para configurações:

[SW]configure terminal

Verificar todas configurações do switch:

 [SW]show run

Visualizar histórico de logins:

[Switch(config)#]show logging history

Resetar interface - Limpar as configurações da porta:

[Switch(config)#]default nomedainterface

Apagar comandos adicionados na interface:

[Switch(config-if)#]default nomedocomando

Identificar em qual porta do switch um determinado MAC está conectado:

show mac address-table | inc a024.0456.3548

Limpar macs bloqueados no port-security:

[Switch#]clear port-security int g1/0/6

Para verificar detalhes de uma interface específica, por exemplo, Fa0/1, o comando é:

[Switch]#show interfaces fa0/1

Configurando nome do switch

Switch#configure terminal
Switch(config)#hostname NOMEDOSWITCH
Switch(config)#do wr (salva as configurações)

Criar as vlans

[Switch(config)#]vlan 2
[Switch(config-vlan)#]name "GERENCIA"
[Switch(config-vlan)#]exit

[Switch(config)#]vlan 20
[Switch(config-vlan)#]name "ADMINISTRATIVA"
[Switch(config-vlan)#]exit

[Switch(config)#]vlan 30
[Switch(config-vlan)#]name "ACADÊMICO"
[Switch(config-vlan)#]exit

[Switch(config)#]vlan 40
[Switch(config-vlan)#]name "WIRELESS"
[Switch(config-vlan)#]exit

[Switch(config)#]vlan 50
[Switch(config-vlan)#]name "CFTV"
[Switch(config-vlan)#]exit

[Switch(config)#]vlan 60
[Switch(config-vlan)#]name "VOIP"
[Switch(config-vlan)#]do wr
[Switch(config-vlan)#]exit

Desabilitando a VLAN1

Como não será utilizada a VLAN1 para gerência do switch, ela deve ser desabilitada.

[Switch(config)#]interface Vlan1
[Switch(config)#]no ip address
[Switch(config)#]shutdown

Configurando endereço IP

[Switch(config)#]interface vlan2
[Switch(config-if)#]ip address 192.168.2.1 255.255.255.0
[Switch(config-if)#]no shutdown
[Switch(config-if)#]do wr (salva as configurações)
[Switch(config-if)#]exit

Configurando o endereço default gateway do switch

[Switch(config)#]ip default-gateway 192.168.1.1
[Switch(config)#]do wr (salva as configurações)

Habilitar o dhcp snooping

OBS: O dhcp snooping classifica cada porta como trusted ou untrusted (confiável ou não confiável). Os servidores DHCP ficam nas portas trusted, e o restante das portas como untrusted, o switch intercepta todas as requisições DHCP nas portas untrusted antes de encaminhá-las, caso ele receba um DHCP Reply de uma porta não confiável, esse pacote será descartado.

[Switch(config)#]ip dhcp snooping
[Switch(config)#]ip dhcp snooping vlan 2,20,30,40,50,60

Proteção conta ataque de ARP Spoofing

[Switch(config)#]ip arp inspection vlan 2,20,30,40,50,60
[Switch(config)#]ip arp inspection log-buffer logs 0 interval 1
[Switch(config)#]no ip gratuitous-arps
[Switch(config)#]do wr

Habilitar o spanning-tree

[Switch(config)#]spanning-tree mode mst
[Switch(config)#]spanning-tree loopguard default
[Switch(config)#]spanning-tree portfast bpduguard default
[Switch(config)#]spanning-tree extend system-id
[Switch(config)#]spanning-tree uplinkfast
[Switch(config)#]spanning-tree mst configuration
[Switch(config)#]name IFS
[Switch(config)#]revision 10
[Switch(config)#]spanning-tree mst 0 priority 61440

Habilitar os errdisable recovery

[Switch(config)#]errdisable recovery cause udld
[Switch(config)#]errdisable recovery cause bpduguard
[Switch(config)#]errdisable recovery cause security-violation
[Switch(config)#]errdisable recovery cause channel-misconfig
[Switch(config)#]errdisable recovery cause pagp-flap
[Switch(config)#]errdisable recovery cause dtp-flap
[Switch(config)#]errdisable recovery cause link-flap
[Switch(config)#]errdisable recovery cause sfp-config-mismatch
[Switch(config)#]errdisable recovery cause gbic-invalid
[Switch(config)#]errdisable recovery cause psecure-violation
[Switch(config)#]errdisable recovery cause port-mode-failure
[Switch(config)#]errdisable recovery cause dhcp-rate-limit
[Switch(config)#]errdisable recovery cause pppoe-ia-rate-limit
[Switch(config)#]errdisable recovery cause mac-limit
[Switch(config)#]errdisable recovery cause vmps
[Switch(config)#]errdisable recovery cause storm-control
[Switch(config)#]errdisable recovery cause inline-power
[Switch(config)#]errdisable recovery cause arp-inspection
[Switch(config)#]errdisable recovery cause loopback
[Switch(config)#]errdisable recovery cause small-frame
[Switch(config)#]errdisable recovery cause psp
[Switch(config)#]errdisable recovery interval 305

Configurando as portas GigabitEthernet do switch

Para configurar várias portas, em sequência, de uma só vez, usar o comando abaixo para entrar nas interfaces:

[Switch(config)#]interface range g1/0/1-24  **(Número da interface inicial-número da interface final)**

Para configurar apenas uma porta do switch por vez, usar o comando abaixo para entrar na interface:

[Switch(config)#]interface GigabitEthernet1/0/1

Exemplo de configuração de porta de acesso

Dentro da interface usar os comandos abaixo para configurar uma porta de acesso:

[Switch(config-if)#]description ## REDES-ADM ##
[Switch(config-if)#]switchport access vlan 20
[Switch(config-if)#]switchport mode access
[Switch(config-if)#]switchport voice vlan 60
[Switch(config-if)#]switchport port-security maximum 2
[Switch(config-if)#]switchport port-security violation  restrict
[Switch(config-if)#]switchport port-security
[Switch(config-if)#]storm-control broadcast level 15.00
[Switch(config-if)#]storm-control multicast level 15.00
[Switch(config-if)#]spanning-tree portfast
[Switch(config-if)#]spanning-tree bpdufilter enable
[Switch(config-if)#]spanning-tree bpduguard enable
[Switch(config-if)#]no shut  
[Switch(config-if)#]exit

Exemplo de configuração de interface como trunk

Dentro da interface usar os comandos abaixo para configurar uma porta como trunk:

[Switch(config-if)#]description ## CASCATEAMENTO PARA OUTRO SWITCH ##
[Switch(config-if)#]switchport mode trunk
[Switch(config-if)#]ip arp inspection trust
[Switch(config-if)#]ip dhcp snooping trust
[Switch(config-if)#]load-interval 30
[Switch(config-if)#]spanning-tree link-type point-to-point
[Switch(config-if)#]no shut  
[Switch(config-if)#]exit

OBS: Esta configuração deve ser feita nos dois switchs

Exemplo de configuração de interface para conexão com AP

Dentro da interface usar os comandos abaixo para configurar uma porta para conexão com AP:

[Switch(config-if)#]description ## RUCKS AP DESENVOLVIMENTO ##
[Switch(config-if)#]switchport trunk native vlan 2
[Switch(config-if)#]switchport trunk allowed vlan 2,20,30,40
[Switch(config-if)#]switchport mode trunk
[Switch(config-if)#]ip arp inspection trust
[Switch(config-if)#]ip arp inspection limit rate 1024
[Switch(config-if)#]spanning-tree portfast
[Switch(config-if)#]ip dhcp snooping trust
[Switch(config-if)#]spanning-tree bpdufilter enable
[Switch(config-if)#]spanning-tree bpduguard enable
[Switch(config-if)#]no shut  
[Switch(config-if)#]exit

Estabelecendo a conexão do Link-Aggregation utilizando o protocolo LACP:

Dentro das interfaces usar os comandos abaixo para configurar uma porta utilizando Link-Aggregation.

[Switch(config-if-range)#]channel-group 1 mode active  
[Switch(config-if-range)#]description ## CASCATEAMENTO PARA OUTRO SWITCH ##
[Switch(config-if-range)#]switchport mode trunk
[Switch(config-if-range)#]ip arp inspection trust
[Switch(config-if-range)#]ip dhcp snooping trust
[Switch(config-if-range)#]load-interval 30
[Switch(config-if-range)#]spanning-tree link-type point-to-point
[Switch(config-if-range)#]no shut  
[Switch(config-if-range)#]exit

OBS: Esta configuração deve ser feita nos dois switchs

Comandos para Verificar se o link subiu

[Switch(config)#]sh etherchannel summary  

Autenticação

Colocar uma senha no lugar de senha para cadastrar as senhas.

Protegendo o modo de configuração

[Switch(config)#]enable secret senha 

Cadastra usuários

[Switch(config)#]username admin privilege 15 secret senha

Faz a autenticação no terminal console:

      
[Switch(config)#]line con 0
[Switch(config-line)#]exec-timeout 5 0
[Switch(config-line)#]logging synchronous
[Switch(config-line)#]login local
[Switch(config-line)#]exit

Configurando as linhas VTY para acesso remoto via SSH:

[Switch(config)#]crypto key generate RSA
[Switch(config)#]2048
[Switch(config)#]ip ssh time-out 120
[Switch(config)#]ip ssh authentication-retries 3
[Switch(config)#]ip ssh version 2
[Switch(config)#]ip ssh logging events

[Switch(config)#]line vty 0 4
[Switch(config-line)#]login local
[Switch(config-line)#]transport input ssh
[Switch(config-line)#]exit
  
[Switch(config)#]line vty 5 15
[Switch(config-line)#]login local
[Switch(config-line)#]transport input ssh
[Switch(config-line)#]exit

Desabilitando Interface Ethernet

Caso uma interface não esteja em uso, ela pode ser desabilitada para proteção contra tráfegos indevidos. Caso seja necessário seu uso novamente, ela pode ser reabilitada.

[Switch(config)#]interface GigabitEthernet1/0/1
[Switch(config-if)#]shutdown  <<desabilitando>>

Dropar MAC

mac address-table static dc0b.34d2.cf17 vlan 20 drop

Outras configurações

[Switch(config)#]no ip source-route 
[Switch(config)#]udld enable
[Switch(config)#]ip tcp selective-ack
[Switch(config)#]lldp run
[Switch(config)#]no ip domain-lookup
[Switch(config)#]ip domain-name ifs.edu.br
[Switch(config)#]login on-failure log
[Switch(config)#]do wr
comandos_basicos_switch_cisco.txt · Última modificação: 19/04/2018 15:23:10 por Alex Oliveira Soares