การตั้งค่า (Config.) ที่จำเป็นสำหรับการใช้งานจริง บน L2 Switch ของ Cisco
1.Hostname
#hostname <name>
ตัวอย่างเช่น
#hostname BKK_SWC29_01
เป็นการตั้งชื่อให้กับอุปกรณ์ Switch โดยการตั้งชื่อที่ดีนั้นจะต้องสื่อความหมาย เช่นดังตัวอย่าง
BKK_SWC29_01
BKK : สื่อถึงสถานที่ ว่าติดตั้งอยู่ Bangkok จ.กรุงเทพฯ
SW : สื่อถึง SW=Switch
C29 : สื่อถึง Switch Catalyst Series 29XX
01 : เนื่องจากเมื่อมี Switch มากกว่า 1 ตัว อยู่ในสถานที่เดียวกันและมี Series หรือรุ่นเหมือนกัน ตัวเลขนี้จึงสื่อถึงลำดับอุปกรณ์
2.Enable Password
#enable secret <password>
ตัวอย่าง เช่น
#enable secret P@ssw0rd
เป็นการตั้งค่า Password ก่อนที่จะเข้าสู่โหมด Privileged EXEC Mode หรือที่เรียกกันง่ายๆว่า โหมด enable
หมายเหตุ : ไม่ควรใช้การตั้งค่าโดยใช้ command “enable password <password>” เนื่องจาก command นี้ไม่มีการ encryption
3.Username และ Password
#username <name> privilege <level> secret <password>
ตัวอย่าง เช่น
#username admin privilege 15 secret P@ssw0rd
เป็นการตั้งค่า Username และ Password ที่เป็น local ส่วนคำสั่ง privilege 15 เป็นเรื่องของการกำหนดสิทธิ์ในการตั้งค่าอุปกรณ์ หมายเลข 15 จะเป็นหมายเลขที่มีสิทธิ์สูงที่สุด
หมายเหตุ: การตั้งค่าในหัวข้อนี้จะนำไปใช้ในเรื่องการยืนยันตัวตนในกรณีที่ Access เข้ามาทาง Port Console, Line vty (ssh, telnet) เป็นต้น
4.Banner
#banner motd ^
-------------------------------------------------------------------------
แนะนำ ใส่ประกาศ, คำเตือน, ข้อมูล, เบอร์ติดต่อผู้ดูแลระบบ
-------------------------------------------------------------------------
^
ตัวอย่าง เช่น
#banner motd ^
^
เป็นการตั้งค่า banner (ประกาศ, คำเตือน, อื่นๆ)เมื่อมีการ Access เข้ามายังที่ Switch ตัวนี้ ข้อความ banner ที่เราตั้งค่าไว้ก็จะแสดงให้เราเห็นทุกครั้งที่ Access เข้ามา
หมายเหตุ : Banner มีหลายรูปแบบนะครับ ทั้ง login, motd ควรศึกษาเพิ่มเติม และเลือกใช้ให้เหมาะสม
5.Line Console
#line console 0
เข้าสู่ Line console 0 ซึ่งเป็นการตั้งค่าภายใน port console ของ switch นั่นเอง
#login local
เป็นการตั้งค่าให้มีการยืนยันตัวด้วย Local Username / Password ที่ถูกสร้างไว้ภายในตัว Switch (ที่ทำการสร้างไว้ในขั้นตอนที่ 3)
6.Access Control List
#ip access-list standard <access-list name>
ตัวอย่าง เช่น
#ip access-list standard VTY-ACL
#10 permit 10.10.10.0 0.0.0.255
เป็นการสร้าง Access Control List เพื่อจำกัดวง Network ที่สามารถ Access ผ่าน line vty (SSH) เช่น วง Network ของทีมผู้ดูแลระบบ (ตามตัวอย่างคือ 10.10.10.0/24)
7.SSH
เป็นการสร้างการ Remote เข้ามาที่อุปกรณ์ Switch SSH ซึ่งจะต้องสร้าง domain-name, สร้าง key gen. และเลือกใช้ SSH Version 2 ดังตัวอย่างด้านล่างนี้
#ip domain-name ninehua.com
#crypto key generate rsa
(2048)
#ip ssh version 2
ตั้งค่าภายใต้ Line vty ให้มีการยืนยันตัวตนด้วย Local Username/Password ที่สร้างไว้ในขั้นตอนที่ 3พร้อมทั้งกำหนดการ Remote เข้ามาที่อุปกรณ์ด้วยวิธีการ SSH เท่านั้น “transport input ssh” และจำกัด IP ที่เข้ามาด้วย Access Control List ที่สร้างไว้ในข้อ 6 ดังตัวอย่างเช่น
#line vty 0 4
#login local
#transport input ssh
#access-class VTY-ACL in
#exec-timeout 10 0
หมายเหตุ : ไม่แนะนำให้ใช้การ Remote เข้ามาด้วยการ Telnet ซึงจะส่งผลเรื่องความปลอดภัยในระบบเครือข่าย
8.IP Management และ Gateway
ทำการสร้าง IP สำหรับใช้ในการ Management ต่างๆ เช่น ใช้ในการ Remote ด้วย SSH เข้ามาที่ตัวอุปกรณ์, เป็น Source Address ในหลายๆกรณี เช่น สำหรับส่ง Log ให้ Server, ใช้สำหรับส่งเกี่ยวกับ SNMP เป็นต้น ตัวอย่าง เช่น
#vlan 9
#name SWMGMT
#interface vlan 9
#description SWMGMT
#ip address 10.10.9.5 255.255.255.0
#no shutdown
สร้าง IP Gateway ดังตัวอย่าง
#ip default-gateway 10.10.9.1
9.Port Uplink
ส่วนมากจะเป็น Interface ที่เชื่อมต่อไปยัง Switch ที่เป็น Core หรือ Distributed Switch เป็นต้น ซื่งมักจะตั้งค่าให้เป็น Port TRUNK มี Descriptionอธิบายชัดเจน พร้อมทั้งมีการจำกัด Traffic ให้วิ่งผ่านได้เฉพาะ vlan ที่ใช้งาน ดังตัวอย่างการตั้งค่าต่อไปนี้
#interface gigabitethernet 1/0/24
#description BKK_SWC29_01-to-CMI_ACC36_01_Gig104
#switchport nonegotiate
#switchport mode trunk
#switchport trunk allowed vlan 10,20,21,22
#no shutdown
10.Port Downlink
ส่วนมากจะเป็น Interface ที่เชื่อมต่อไปยังอุปกรณ์ End Device เช่น Computer, Printer และอุปกรณ์อื่นๆ เป็นต้น ในการตั้งค่าก็จำเป็นต้องมี Description , ตั้งค่าเป็น mode access (Default เป็น dynamic), ระบุ Vlan, ตั้งค่าให้ port เข้าสู่สถานะ forward ได้ทันทีด้วยคำสั่ง spanning-tree portfast และป้องกันการนำ Switch เข้ามาเชื่อมต่อที่ Port หรือ Interface นี้ด้วยคำสั่ง “spanning-tree bpduguard enable” ดังตัวอย่างต่อไปนี้ (จะตั้งค่า port security เพิ่มเติมก็ได้เช่นกัน)
#interface gigabitethernet 1/0/1
#description PC_Engineer
#switchport mode access
#switchport access vlan 10
#spanning-tree portfast
#spanning-tree bpduguard enable
#no shutdown
11.no ip domain-lookup
ในกรณีที่มีการใช้ Command ผิดพลาด จะได้ไม่ต้องเข้าไปติดอยู่ในโหมด domain-lookup ซึ่งจะทำให้เสียเวลาในการตั้งค่าโดยไม่จำเป็น
#no ip domain-lookup
12.errdisable recovery cause all
เมื่อSwitch ตรวจสอบพบการทำงานผิดพลาดต่างๆ เช่น Port channel misconfiguration, Security violation, Link-flap detection เป็นต้น จะส่งผลให้มีปัญหาหลายๆอย่างตามมาภายหลัง เช่น เกิด loop, เกิดการฝ่าฝืนเอาอุปกรณ์ที่ไม่เหมาะสมมาต่อในระบบ และอีกหลายๆกรณี การใช้คำสั่ง "errdisable detect cause all" จะทำให้เกิดการ Disable Port ที่มีปัญหานั้นๆแบบอัตโนมัติ(errdisable)เพื่อป้องกันความเสียหายจากปัญหาดังกล่าว
และเราจำเป็นต้องมีคำสั่ง “errdisable recovery cause all” เพื่อเมื่อเข้าสู่เหตุการณ์ปกติ(ไม่มี error หรือเมื่อเหตุการณ์ถูกแก้ไขให้เป็นปกติ) จะทำให้ Port สามารถ recovery กลับมารับส่ง Traffic ได้เองอย่างอัตโนมัติ
#errdisable detect cause all
#errdisable recovery cause all
#errdisable recovery interval 300
13.Logging
เมื่อมี Log Server อยู่ในระบบ จำเป็นจะต้องตั้งค่าการส่ง Log จากตัวอุปกรณ์ Switch ไปที่ Server นั้นๆ ตัวอย่าง Log Server มี IP Address = 10.10.100.10 สามารถตั้งค่าได้ดังนี้
#logging 10.10.100.10
14.SNMP
ในกรณีที่มีระบบ NMS (Network Monitoring System) จำเป็นจะต้องตั้งค่า SNMP ในตัว Switch ดังตัวอย่างต่อไปนี้
#snmp-server community cisco RO
#snmp-server host 10.129.200.5 version 2c community
15. service password-encryption
ทำการ Encryption เกี่ยวกับรหัสต่างๆที่ถูกตั้งค่าใน Switch เพื่อความปลอดภัย เช่น รหัสจากการตั้งค่า enable password
#service password-encryption
16.Save Configuring
ทำการ save config
#copy running-config startup-config
