Catalyst 基本設定
Created by: 2005-09-26 non sugar
Modified by: 2011-01-28 non sugar

目次

環境

主に、以下の機器で確認しています。

  • 検証機器: Catalyst 3750, IOS: Version 12.2(20)SE4
  • 接続: シスコ専用のシリアルケーブル (機器側: RJ-45 メス)

キー操作

  • PING や 出力を途中で停止する
    [CTRL] + [SHIFT] + [6]
  • TELNET セッションの一時停止
    [CTRL] + [SHIFT] + [6] の後に、[x] を押す。

便利なこと

interface range

複数のポートをまとめて設定する

(config)#interface range g1/0/1 -5 ,g1/0/10
!--- この例のように、まとめて複数のインタフェースの設定を行えます。

連続範囲は、"-" (ハイフン) で指定します。"-" の前に空白が必要です。 連続範囲でない場合は、"," (カンマ) で区切ります。

ページ設定

#terminal length 0

show run などで、途中で一時停止しないようになる。

config モードで、EXEC コマンドの実行

(config)#do sh run など

デバッグ出力を停止する。

#u all
!--- undebug all, no debug all

TELNET (line vty) でデバッグを出力する。

#terminal monitor

コンソール / TELNET (line vty) で勝手にログアウトしないようにする。

#(config)#line vty 0 15
!--- コンソールの場合は、"line con 0" 
(config-line)#exec-timeout 0 0

表示をフィルタする

#sh run int van 10 
!--- 特定のインタフェースに関する部分のみ表示する。
#sh run | b line vty
!--- line vty の場所から表示する
#sh run | i ip address
!--- ip address を含む行のみを表示する。

隣接シスコデバイスとの接続を確認する。

#sh cdp neighbors

arp テーブルを確認する。(L3 デバイスで実行)

#sh arp

MAC Address テーブルの確認

#sh mac-address-table
!--- テーブル全体を表示
#sh mac-address-table interface gi1/0/1
!--- 特定のインタフェースについて表示
#sh mac-address-table address <Mac Address>
!--- 特定の MAC アドレスについて、どのポート配下に接続されているか表示

sh ver

#sh ver
!--- IOS バージョン、起動時間、メモリ容量、Base ethernet MAC Address などを確認

初期化

>en
#erase startup-config
!--- または write erase
#dir flash:
!--- Flash の中身を確認
#delete flash:vlan.dat
!--- VLAN 情報のリセット 
#dir flash:
!--- vlan.dat の削除を確認
#reload 
!--- 再起動

Catalyst の機種によって初期化方法が違います。シスコの Web サイト にて確認してください。

設定の保存/表示

>en
#copy run start
!--- 設定の保存 (または、wr)
#sh run
!--- running-config の表示
#sh start
!--- startup-config の表示

基本的な設定

>en
#conf t
(config)#hostname Cat3750
!--- デバイス ID の設定
(config)#enable secret SECRET
!--- enable パスワードの設定
(config)#service password-encryption
!--- 平文パスワードの暗号化

不要な機能の停止

>en
#conf t
(config)#no ip domain-lookup
!--- DNS による名前解決の停止
(config)#no ip http server
!--- Web ベースの設定ツールを無効にする

インタフェースの設定

(config)#int range g1/0/1 -12
(config-if-range)#speed auto
!--- スピードの設定: 10, 100, 1000, auto (デフォルト)
(config-if-range)#duplex auto
!--- Duplex の設定: full, half, auto (デフォルト)
(config-if-range)#mdix auto
!--- Auto-MDIX を有効にする。(デフォルト)
!--- Auto-MDIX を無効にする場合: no mdix auto
(config-if-range)#^Z
#sh int status
!--- スピード、Duplex の確認
!--- a-full, a-100 など、"a-" が付いている状態は、オートネゴシエーションの結果です。
#sh controllers ethernet-controller phy
!--- Auto-MDIX の設定の確認

注意: Duplex を full に固定する場合、対向が Auto だと対向が、a-half になりミスマッチになるので注意すること!

VLAN

VTP の設定

VTP のモードには、serverclienttransparent があります。 VTP を無効にする場合は、transparent に設定します。

(config)#vtp mode transparent
!--- VTP モードを transparent に設定
#show vtp status
!--- 確認

注意: VTP モードの規定値は、server です。VTP を使用しない場合は、transparent に変更しましょう。

VLAN の作成

(config)#vlan 100
!--- VLAN ID = 100 の VLAN を作成する。
(config-vlan)#name VLAN_A
!--- VLAN の名前を付ける。(任意)
(config-vlan)#^Z
#sh vlan
!--- 確認

スイッチポートの設定

アクセス リンク

(config)#int range g1/0/1 -12
(config-if-range)#descripion To PCs
!--- インタフェースに対する説明。(任意)
(config-if-range)#switchport
!--- スイッチポート (レイヤ2ポート) にする。デフォルト。
(config-if-range)#switchport access vlan 100
!--- vlan 100 に所属させる。最初は、vlan 1 (default) に所属している。
(config-if-range)#switchport mode access
!--- アクセス リンクにする。
(config-if-range)#spanning-tree portfast
!--- 対向が1台のホストの場合、ポートファーストを有効にする。(任意)
!-- ポートファーストが有効でない場合、
!-- STP の listening -(15s)-> learning -(15s)-> forwarding の遷移があり、
!-- ポートが使用できるようになるまで、30秒かかる。
(config-if-range)#no shut
!-- インタフェースを有効にする。デフォルト。
(config-if-range)#^Z
#sh vlan
!-- 設定の確認

デフォルトの状態では、DTP のパケットが出るので、抑制したければ、以下のようにする。 但し、設定しなくても問題はない。

(config-if-range)#switchport nonegotiate
!--- DTP にてネゴシエートしない。(任意)
!--- switchport mode は、access or trunk でないとエラーになる。

トランク リンク

(config)#int range g1/0/13 -14
(config-if-range)#descripion Trunk
!--- インタフェースに対する説明。(任意)
(config-if-range)#switchport
!--- スイッチポート (レイヤ2ポート) にする。デフォルト。
(config-if-range)#switchport trunk encapsulation dot1q
!--- タグ VLAN (802.1q) を指定
!--- 上記コマンドは、switchport mode trunk の前に必要
(config-if-range)#switchport trunk allowed vlan 1,30,40,100,1002-1005
!--- 許可する VLAN を指定。1,1002-1005は必ず指定する。
(config-if-range)#switchport trunk native vlan 100
!--- native vlan を VLAN 1 から変更する必要がある時は、指定する。
!--- 必ず対向と同じ設定にすること。
(config-if-range)#switchport mode trunk
!--- トランク リンクにする。
(config-if-range)#no shut
!--- インタフェースを有効にする。デフォルト。
(config-if-range)#^Z
#sh int trunk
!--- トランクの設定の確認

デフォルトの状態では、DTP のパケットが出るので、抑制したければ、以下のようにする。 但し、設定しなくても問題はない。

(config-if-range)#switchport nonegotiate
!--- DTP にてネゴシエートしない。(任意)
!--- switchport mode は、access or trunk でないとエラーになる。

IP ルーティング

(config)#ip routing
!--- IP ルーティングを有効化
(config)#int vlan 10
!--- SVI を作成
(config-if)#ip address 172.16.10.1 255.255.255.0
!--- IP アドレス割当
(config-if)#^Z
#sh ip int brief
!--- IP アドレス割当の確認
#sh ip route
!--- IP ルーティング テーブルの確認

EtherChannel

#sh cdp neighbors
!--- 隣接デバイスとの接続状況確認。
(congig)#int range g1/0/13 -14
(config-if-range)#channel-group 1 mode desirable
!--- チャネルグループを設定。チャネルグループ番号はローカルに意味を持つ。
(config-if-range)#^Z
(congig)#sh int port-channel 1
!--- 設定の確認。

レイヤ

Catalyst.png


機能コマンド例
VLAN を作成(config)#vlan 10
アクセス リンク(config)#int gi1/0/1
(config-if)#switchport access vlan 10
(config-if)#switchport mode access
トランク リンク(config)#int gi1/0/2
(config-if)#switchport trunk encap dot1q
(config-if)#switchport mode trunk
物理ポート(config)#int g1/0/1
(config-if)#speed 100
(config-if)#duplex half
IP ルーティングを有効(config)#ip routing
SVI を設定(config)#int vlan 10
(config-if)#ip address 192.168.10.1 255.255.255.0
ルーテッド ポート を設定(config)int gi1/0/6
(config-if)#no switchport
(config-if)#ip address 192.168.201.1 255.255.255.0
EtherChannel (L2)(config)#int range gi1/0/4 -5
(config-if-range)#channel-group 1 mode desirable
EtherChannel (L3)(config)#int range gi1/0/7 -8
(config-if-range)#no switchport
(config-if-range)#channel-group 2 mode desirable
(config-if-range)#int po2
(config-if)#ip address 192.168.202.1

STP

#(config)#spanning-tree mode rapid-pvst
!--- RSTP の設定。
#sh spanning-tree active
!--- 設定の確認
(config)#spanning-tree vlan 30 root primary
(config)#spanning-tree vlan 40 root secondary
!--- priority を調整して、VLAN ごとにプライマリ・セカンダリを振り分ける。
#sh spanning-tree vlan 30
!--- 設定の確認

STP のモードは、pvst (デフォルト), rapid-pvst (RSTP), mst の 3種類ありますが、 設定が楽で pvst より収束が早い rapid-pvst がお薦めです。 収束が最大50秒かかる pvst を使う理由はもはやないと思います。 rapid-pvst (RSTP) の利点を生かすためには、Point-to-Point で接続します。 また、エンドステーション (PC) が繋がっているポートは、エッジ ポートにします。 (portfast の設定)

ディストリビューション層の Catalyst (L3) デバイスを STP のルート (プライマリ、セカンダリ) にし、 HSRP で L3 冗長化することを推奨します。

HSRP

(config)#interface Vlan30
(config-if)#standby 1 ip 192.168.100.25
!--- 仮想 IP を設定
(config-if)#standby 1 priority 110
!--- プライオリティ (デフォルト 100) を設定して、Active になるルータを調整します。大きいほうが優先。   
(config-if)#standby 1 preempt
(config-if)#^Z
#sh stanby brief
!--- 確認

VLAN 毎に Active が分散するようにします。 STP のルートが、HSRP の Active になるようにします。

DHCP Relay (未検証)

[DHCP Server] --(VLAN 10)[Catalyst (L3)](VLAN 20)-- [Client]

(config)#int vlan 20
(config-if)#ip helper-address <DHCP Server IP Address>

スタティック ルートの追加

(config)# ip route 0.0.0.0 0.0.0.0 192.168.100.220

TELNET (line vty) の設定

(config)#access-list 1 permit 192.168.100.0 0.0.0.255 log
!--- アクセスリストの設定
(config)#access-list 1 deny any log
!--- アクセス違反のロギング
(config)#line vty 0 15
(config-line)#access-class 1 in
!--- 送信元 IP で接続を制限する
(config-line)#exec-timeout 5
!--- TELNET のタイムアウトを 5分に設定
(config-line)#password SECRET
!--- ログイン パスワードの設定
(config-line)#login
!--- ログイン プロンプトを表示

注意: line vty に「login (ログイン プロンプトを表示)」を設定している場合、「password」を設定していないとログイン出来ません。また、enable パスワードを設定してないと、enable モードに入れません。

時刻の設定

>en
#conf t
#(config)clock timezone JST +9
#(config)^Z
#clock set 16:45:00 25 JUL 2005
!--- 時刻の設定
#sh clock
!--- 時刻の確認

時刻設定する時は、NTP を設定しましょう。

NTP の設定

#(config)ntp source vlan10
!--- ソース IP の指定 (任意)
#(config)ntp server 210.145.255.76
#(config)ntp server 202.234.233.106
#(config)ntp server 202.234.233.109
!--- NTP サーバの指定
#(config)^Z
#sh ntp status
!--- 確認
#sh ntp associations
!--- 確認

例は、OCN の NTP サーバです。 本当は、アクセスリストで制限をした方がいいですね。 設定に、ntp clock-period というのが自動で入ります。 再起動時に時刻を素早く設定する為にあるようです。

ログの設定

>en
#sh memory
!--- 空き領域の確認
(config)#service timestamps log datetime localtime msec
!--- ログをローカル タイムで記録する
(config)#service timestamps debug datetime localtime msec
!--- デバッグをローカル タイムで記録する
(config)#logging buffered 32768 debugging
!--- ロギング バッファの設定、ロギング レベル "debugging" の部分は任意で
(config)#^Z
#sh logging
!--- ログの確認
#clear logging
!--- ロギング バッファのクリア

Cisco のドキュメントによれば、ローエンド ルータで妥当なバッファ サイズは 16384 または 32768 バイト、
ハイエンド ルータでは、262144 バイトでも適切です。
時刻が設定していない場合は、service timestamps { log | debug } uptime とする。

Syslog 設定

(config)#loggin on
!--- ロギングを有効にする
(config)#logging trap informational
!--- ロギング レベルの指定
(config)#logging facility local7
!--- local7 がデフォルト
(config)#logging source-interface vlan10
!--- ソースIP の指定 (任意)
(config)#logging 192.168.100.111
!--- Syslog サーバを指定

SNMP エージェントの設定

SNMP マネージャから MIB にアクセスするための設定

(config)#snmp-server community PUBLIC ro 2
(config)#access-list 2 remark SNMP Manager
(config)#access-list 2 permit 192.168.0.1
!--- SNMP マネージャを ACL にて限定します。
#sh snmp
!--- 確認

Trap の設定

(config)#snmp-server host <IP address of SNMP notification host> PUBLIC
(config)#snmp-server enable traps
!--- 実運用では、必要なトラップのみ投げるように調整すること。
(config)#^Z
#sh snmp
!--- 確認

SPAN (パケット キャプチャ)

(config)#monitor session 1 source interface g1/0/13 both
(config)#monitor session 1 destination interface g1/0/13 encapsulation replicate
!--- encapsulation replicate を指定することにより、
!-- ソースが、isl などでカプセル化されている場合、そのままキャプチャできる。
(config)#^Z
#sh monitor detail
!--- 設定の確認
#sh monitor session all
!--- 設定の確認

DHCP Relay

(config)#int vlan30
(config-if)ip helper-address 10.0.1.2
[DHCP Client] --- (VLAN 30)[Catalyst] --- (10.0.1.2)[DHCP Server]

Port Security

設定

  1. 手動設定
    switchport port-security mac-add MACADDR
  2. 自動設定
    自動的に学習する。電源がOFFになると学習した内容は消える。
  3. stikcy オプション
    switchport port-security sticky 自動学習した MAC が running-config に現れるので、"wr" で保存できる。

設定例

int fa0/1
switchport mode access
switchport port-security mac 1 !--- 登録できる MAC アドレス数
switchport port-security mac-add MACADDR
  :
switchport port-security violation protect !--- 違反時の動作
switchport port-security !--- 有効化

violation

  • shutdown ... フレーム破棄、syslog トラップ生成と違反カウントアップ、インタフェースが無効 (err-disable)
  • restrict ... フレーム破棄、syslog トラップ生成と違反カウントアップ
  • protect ... フレーム破棄

show コマンド

#sh port-security
#sh port-security address

参考

シスコシステムズ Web サイト

その他 Web サイト


添付ファイル: fileCatalyst.png 589件 [詳細]

Last-modified: 2012-10-31 (水) 13:22:02 (722d)