quarta-feira, 28 de março de 2018

Configurações básicas Switches acesso Cisco

Fala galera tudo bem?

Pessoal, vou postar uma configuração que geralmente uso como base nas configurações dos switches de acesso para alguns ambientes Cisco, obviamente não utilizo todas as features citadas, isso varia de ambiente para ambiente e sempre deve se levar em conta a manutenção e a quantidade de switches configurados, além dos padrões de segurança de cada ambiente (se há TACACs, Access Points, Etherchannel etc.):

Outro ponto importante é o nível de segurança do local (pontos de rede expostos, se há 802.1x, etc) pois não adianta colocar muita segurança e o dia a dia ficar inviável para quem gerencia essa rede.

#show running
Building configuration...
!
version 15...
no service pad
service timestamps debug uptime
service timestamps log datetime localtime
service password-encryption
!
hostname XXXXX
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
enable secret XXXXX
!
ip domain-name XXXX.com.br
crypto key generate rsa modulus 2048
!
username XXXXX privilege 15 password XXXXX
!
clock timezone gmt -3
system mtu 1500
ip subnet-zero
!
errdisable recovery interval 60
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface Fa0
shutdown
exit
!
interface range Gi 1/0/1-48
switchport access vlan XXX (vlan de acordo com o departamento/área)
switchport mode access
switchport voice vlan XXX (se houver vlan de voz/telefone fixo)
switchport port-security
switchport port-security maximum 2 (cuidado pois alguns telefones fixos precisam que o valor seja setado à 3)
switchport port-security maximum 1 vlan access
switchport port-security maximum 1 vlan voice
switchport port-security aging time 2
switchport port-security violation restrict
switchport port-security aging type inactivity
spanning-tree portfast
spanning-tree bpduguard enable
spanning-tree guard root
switchport nonegotiate
storm-control broadcast level 15.00
storm-control multicast level 10.00
!
interface Gi 1/0/49
description UPLINK from (switch de onde vem o uplink)
switchport trunk allowed vlan XXXXX,XXXXX,XXXXX,XXXXX
switchport mode trunk
switchport nonegotiate
!
interface range Gi 1/0/51-52
switchport access vlan 999 (vlan de blackhole)
shutdown
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface VlanXXXXX
ip address XX.XX.XX.XX 255.255.255.0
no ip route-cache
!
banner motd ^C********************************************************************************
*******
* ATENCAO!! ESTE SISTEMA E RESTRITO APENAS A PESSOAS AUTORIZADAS!

* Se voce nao tem ou nao sabe se tem a autorizacao necessaria para o
       
* acesso a este sistema, desconecte-se agora.

* Toda acao executada neste sistema eh logada, podendo estas informagues

* serem utilizadas para quaisquer fim definidos pelo proprietario deste.

* Se voce nao concorda com esta politica, desconecte-se agora.

********************************************************************************
******* ^C
!
ip default-gateway XX.XX.XX.XX
ip http server
ip http secure-server
logging host XX.XX.XX.XX (syslog)
!
access-list XX permit XX.XX.XX.XX
!
snmp-server group XXX v3 priv read V3Read access XX
snmp-server view V3Read iso included
snmp-server user XXX XXX v3 auth sha XXXXX priv aes 128 XXXXX (chaves do SNMP da solução de monitoramento)
!
snmp-server community XXXXX RO
snmp-server location (local)
snmp-server contact (contatos)
!
line con 0
exec-timeout 3
line aux 0
exec-timeout 3
transport input ssh
login vty 0 4
exec-timeout 3
transport input ssh
line vty 0 15
exec-timeout 3
transport input ssh
login local
!
vtp mode client (se houver VTP)
vtp domain XXXXX
vtp password XXXXX
!
ntp server XX.XX.XX.XX prefer
ntp server XX.XX.XX.XX
end

Quando há um telefone VOIP físico no switch adicionamos (se houver suporte a QOS):
mls qos map policed-dscp 24 26 46 to 0
mls qos map cos-dscp 0 8 16 24 32 46 48 56
mls qos srr-queue output cos-map queue 1 threshold 3 5
mls qos srr-queue output cos-map queue 2 threshold 3 3 6 7
mls qos srr-queue output cos-map queue 3 threshold 3 2 4
mls qos srr-queue output cos-map queue 4 threshold 2 1
mls qos srr-queue output cos-map queue 4 threshold 3 0
mls qos srr-queue output dscp-map queue 1 threshold 3 40 41 42 43 44 45 46 47
mls qos srr-queue output dscp-map queue 2 threshold 3 24 25 26 27 28 29 30 31
mls qos srr-queue output dscp-map queue 2 threshold 3 48 49 50 51 52 53 54 55
mls qos srr-queue output dscp-map queue 2 threshold 3 56 57 58 59 60 61 62 63
mls qos srr-queue output dscp-map queue 3 threshold 3 16 17 18 19 20 21 22 23
mls qos srr-queue output dscp-map queue 3 threshold 3 32 33 34 35 36 37 38 39
mls qos srr-queue output dscp-map queue 4 threshold 1 8
mls qos srr-queue output dscp-map queue 4 threshold 2 9 10 11 12 13 14 15
mls qos srr-queue output dscp-map queue 4 threshold 3 0 1 2 3 4 5 6 7
mls qos queue-set output 1 threshold 1 138 138 92 138
mls qos queue-set output 1 threshold 2 138 138 92 400
mls qos queue-set output 1 threshold 3 36 77 100 318
mls qos queue-set output 1 threshold 4 20 50 67 400
mls qos queue-set output 2 threshold 1 149 149 100 149
mls qos queue-set output 2 threshold 2 118 118 100 235
mls qos queue-set output 2 threshold 3 41 68 100 272
mls qos queue-set output 2 threshold 4 42 72 100 242
mls qos queue-set output 1 buffers 10 10 26 54
mls qos queue-set output 2 buffers 16 6 17 61
mls qos

interface FastEthernet0/1
srr-queue bandwidth share 10 10 60 20
priority-queue out
mls qos trust device cisco-phone
mls qos trust cos
auto qos voip cisco-phone
service-policy input AutoQoS-Police-CiscoPhone

Não aconselho utilizar VTP  v1 e v2  nas configurações devido à grande probabilidade de derrubar a rede quando for adicionar um novo switch na rede (desconfigurado).

Pessoal, postem algumas adições, ou algumas configurações que vocês utilizam na camada de acesso, além dos casos que já encontraram.

Abraços

4 comentários:

  1. Bom dia Diego.
    Muito bom o seu post. Uma coisa que não gosto muito é deixar habilitado o ip http server. Acho que pode ser uma brecha. Abraços

    ResponderExcluir
    Respostas
    1. Opa verdade cara, show de bola, vou adicionar nas configs, vlwww

      Excluir
  2. Lembrei de outra coisa também. Colocar um access-class dentro do line vty e fazer uma access-list para limitar os ip's que podem acessar o equipamento.

    ResponderExcluir
  3. Algo muito importante é incluir senha na porta console:
           line console 0
           (config-line)#password xxx
           (config-line)#login

    ResponderExcluir