Сброс и настройка коммутаторов Cisco Catalyst 2960 (2960X, 2960G) и подобных

Данные коммутаторы (их модификации) поставлялись в 2010-2012 годах по проекту “Универсальный порт” в 2 этапа. С приходом МЭШ их могли интегрировать в инфраструктуру и доступа к управлению нет.

Подготовительные действия: 

• Подключите коммутатор консольным кабелем к компьютеру. Консольный порт расположен на «жопе» устройства. Для примера я буду использовать консольный кабель cisco и usb<->com адаптер Aten UC232A (дешманские с алика не все работают, проверяйте).
• Так же потребуется программа Putty (ссылка на официальный сайт)

Сброс коммутатора: 

1. Так как нет доступа к «админке» коммутатора — сбрасываем его! Зажимаем кнопку «MODE» на морде устройства до момента, пока не заморгают все 4 индикатора выше кнопки. Примерно секунд 30-40 держим зажатой;
2. Ожидаем процедуру сброса в завод. Коммутатор перезагрузится
3. Подключаемся к коммутатору через serial-интерфейс используя Putty (например). Порт можно узнать в диспетчере устройств -> вкладка “Порты (COM и LPT)”. Выбираем в Putty -> Serial подключение, указываем имя порта и скорость 9600;
4. После сброса в заводские коммутатор предложит интерактивную настройку Would you like to enter the basic configuration dialog (yes/no): — отказываемся, введя букву N и нажав Enter

Все, коммутатор сброшен и может работать как «тупое» устройство.

Далее будет описан путь самостоятельной интеграции в инфраструктуру МЭШ.

ВАЖНО!!!! — Вы должны досконально знать структуру вашей сети: кто, откуда и куда подключен.

Автор статьи старается придерживаться следующей структуры подключения:

Маршрутизатор МЭШ (SCH-0000-GW) -> Коммутатор N МЭШ (SCH-0000-SW1-N) -> Школьный коммутатор Cisco 2960  N (SCH-0000-OldSW1-N)

Подключая все школьные коммутаторы последовательно, используя гигабитные порты. Если вы добились такой же структуры подключения и точно знаете что откуда идет — можно настраивать.

1. Для правильной настройки коммутатора требуется приходящий от мэш оборудования кабель переключить в TRUNK-овый порт. Если вы перенастраиваете уже интегрированный в структуру мэш коммутатор, то вероятнее всего приходящий кабель будет подключен в порт Gio/1 и уже имеет настройку на порту — trunk. Если же делает с нуля — заявку в техническую поддержку с просьбой переключить порт N на мэш-коммутаторе в режим trunk с доступом к vlan 30,40,50,60,70,90,130,140 (стандартные мэшевские)
2. Если все готово — переходим в режим конфигурирования командой: configure t и копируем конфиг (частями), представленный ниже –

service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
service password-encryption
no ip domain lookup
no service pad
login block-for 100 attempts 15 within 100

Hostname SCH-0000-0-OldSW1

clock timezone MSK 3

ip domain name ОКРУГ.obr.mos.ru
ip dhcp snooping
ip dhcp snooping vlan 30,40,50,60,70,90,130,140
ip arp inspection vlan 50
no ip dhcp snooping information option

spanning-tree mode rapid-pvst
spanning-tree extend system-id

vtp version 2
vtp mode transparent
vtp domain SCH-0000-0
vtp pruning

interface range FastEthernet0/1 - 24
switchport mode access
spanning-tree portfast
switchport port-security
switchport port-security aging time 5
switchport port-security maximum 50
switchport port-security violation restrict
storm-control action shutdown
storm-control broadcast level 50
switchport access vlan 40
description To School
no shutdown
exit

interface GigabitEthernet0/1
description To_SW
switchport mode trunk
ip dhcp snooping trust
ip arp inspection trust
no shutdown
exit

interface GigabitEthernet0/2
description To_SW
switchport mode trunk
no shutdown
exit

interface Vlan1
no ip address
exit

interface Vlan70
ip address 10.0.0.0 255.255.255.0
exit

vlan 30
name Managment
exit
vlan 40
name Personnel
exit
vlan 50
name Learners
exit
vlan 60
name PrivateWirelessUsers
exit
vlan 70
name PrivateWireUsers
exit
vlan 90
name GuestWireless
exit
vlan 130
name OLD
exit
vlan 140
name CAM
exit
ip default-gateway 10.0.0.1

snmp-server community school-ro RO
snmp-server enable traps envmon
snmp-server enable traps flash insertion removal
snmp-server enable traps config
snmp-server enable traps cpu threshold

ntp server 10.30.1.2
username root privilege 15 secret 87654321
crypto key generate rsa general-keys modulus 2048

line console 0
exec-timeout 60
login local
logging synchronous
exit

line vty 0 4
transport input telnet ssh
privilege level 15
exec-timeout 60
login local
exit

ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
ip http server
ip http secure-server
ip http authentication local

archive
path flash:archived-config
maximum 14
time-period 1440
write-memory
exit

errdisable recovery cause all
no errdisable detect cause arp-inspection
no service password-recovery
end
wr

Комментарии к конфигурации выше:

• Hostname SCH-0000-0-OldSW1 — название коммутатора в сетевом окружении. 0000 — номер ОО, 0 — порядковый номер в структуре МЭШ, OldSW1 — порядковый номер ШКОЛЬНЫХ коммутаторов;
• ip domain name ОКРУГ.obr.mos.ru — округ в структуре МЭШ (svao, sao и т.д.);
• vtp domain SCH-0000-0 — номер ОО и порядковый номер здания в структуре МЭШ;
• interface range FastEthernet0/1 - 24 — диапазон портов коммутатора. Для 48-портового указать 48 вместо 24;
• ip address 10.0.0.0 255.255.255.0 — укажите свободный ip адрес в кмс сети (vlan 70) — дальнейший доступ будет по этому ip;
• ip default-gateway 10.0.0.1 — шлюз кмс сети, в которой вы указали ip адрес;
• username root privilege 15 secret 87654321 — 87654321 пароль для пользователя root. Заменить 87654321 на свой пароль;

• для cisco 2960X (поставка мэш, poe-свитчи) порты называются GigabitEthernet 1/0/0 — N
• для cisco 2960G (гигабитные свитчи) — GigabitEthernet 0/0 — N 

и т.д. Посмотреть как называются можно командой sh running-config и пробелом докрутить до названий интерфейсов.

Данный конфиг предназначен для подключения к инфраструктуре МЭШ. Все порты настроены на 40 влан (школьная сеть 172.*.*.0/23). В дальнейшем каждый порт можно будет настроить под свои нужны: вывести в кмс сеть (vlan70) любое устройство, заблокировать порт и соответственно абонента на этом порту и т.д. Гигабитные порты настроены в trunk режим для последующего подключения остальных коммутаторов с таким же конфигом.

Так же будьте внимательны: На портах доступа включен spanning-tree portfast для быстрого «подъема» порта. Если будет петля в вашей проводной сети — коммутатор может зависнуть (оч редко, еще не видел такого).

5