Command และการตั้งค่าที่จำเป็นและควรมีสำหรับ L2 Switch ของ Cisco

1. Hostname

#hostname <name>

ตัวอย่างเช่น

#hostname BKK_SWC29_01

เป็นการตั้งชื่อให้กับอุปกรณ์ Switch โดยการตั้งชื่อที่ดีนั้นจะต้องสื่อความหมาย เช่นดังตัวอย่าง

BKK_SWC29_01

• BKK : สื่อถึงสถานที่ ว่าติดตั้งอยู่ Bangkok จ.กรุงเทพฯ

• SWC : สื่อถึง SW=Switch ส่วน C=Cisco

• 29 : สื่อถึง Switch Series 29XX

01 : เนื่องจากเมื่อมี Switch มากกว่า 1 ตัว อยู่ในสถานที่เดียวกันและมี Series หรือรุ่นเหมือนกัน ตัวเลขนี้จึงสื่อถึงลำดับอุปกรณ์

2. Enable Password

#enable secret <password>

ตัวอย่าง เช่น

#enable secret P@ssw0rd

เป็นการตั้งค่า Password ก่อนที่จะเข้าสู่โหมด Privileged EXEC Mode หรือที่เรียกกันง่ายๆว่า โหมด enable

หมายเหตุ : ไม่ควรใช้การตั้งค่าโดยใช้ command “enable password <password>” เนื่องจาก command นี้ไม่มีการ encryption หรือการเข้ารหัส

3. Username และ Password

#username <name> privilege <level> secret <password>

ตัวอย่าง เช่น

#username admin privilege 15 secret P@ssw0rd

เป็นการตั้งค่า Username และ Password ที่เป็น local ส่วนคำสั่ง privilege 15 เป็นเรื่องของการกำหนดสิทธิ์ในการตั้งค่าอุปกรณ์ หมายเลข 15 จะเป็นหมายเลขที่มีสิทธิ์สูงที่สุด หมายเหตุ: การตั้งค่าในหัวข้อนี้จะนำไปใช้ในเรื่องการยืนยันตัวตนในกรณีที่ Access เข้ามาทาง Port Console, Line vty (ssh, telnet) เป็นต้น

4. Banner

#banner login  ^C
---------------------------------------------------------------------
แนะนำ ใส่ประกาศ, คำเตือน, ข้อมูล, เบอร์ติดต่อผู้ดูแลระบบ
---------------------------------------------------------------------
^C

ตัวอย่าง เช่น

#banner login  ^C

^C

เป็นการตั้งค่า banner (ประกาศ, คำเตือน, อื่นๆ)เมื่อมีการ login เข้ามายังที่ Switch ตัวนี้ ข้อความ banner ที่เราตั้งค่าไว้ก็จะแสดงให้เราเห็นทุกครั้งที่ Access เข้ามา

5. Line Console

#line console 0

เข้าสู่ Line console 0 ซึ่งเป็นการตั้งค่าภายใน port console ของ switch นั่นเอง

 #login local

เป็นการตั้งค่าให้มีการยืนยันตัวด้วย Local Username / Password ที่ถูกสร้างไว้ภายในตัว Switch (ที่ทำการสร้างไว้ในขั้นตอนที่ 3)

6. Access Control List

#ip access-list standard <access-list name>

ตัวอย่าง เช่น

#ip access-list standard VTY-ACL
#10 permit 10.10.10.0 0.0.0.255

เป็นการสร้าง Access Control List เพื่อจำกัดวง Network ที่สามารถ Access ผ่าน line vty (SSH) เช่น วง Network ของทีมผู้ดูแลระบบ (ตามตัวอย่างคือ 10.10.10.0/24)

7. SSH

เป็นการสร้างการ Remote เข้ามาที่อุปกรณ์ Switch SSH ซึ่งจะต้องสร้าง domain-name, สร้าง key gen. และเลือกใช้ SSH Version 2 ดังตัวอย่างด้านล่างนี้

#ip domain-name ninehua.com
#crypto key generate rsa
(2048)
#ip ssh version 2

ตั้งค่าภายใต้ Line vty ให้มีการยืนยันตัวตนด้วย Local Username/Password ที่สร้างไว้ในขั้นตอนที่ 3พร้อมทั้งกำหนดการ Remote เข้ามาที่อุปกรณ์ด้วยวิธีการ SSH เท่านั้น “transport input ssh” และจำกัด IP ที่เข้ามาด้วย Access Control List ที่สร้างไว้ในข้อ 6 ดังตัวอย่างเช่น

#line vty 0 4
#login local
#transport input ssh
#access-class VTY-ACL in
#exec-timeout 10 0

8. IP Management และ Gateway

ทำการสร้าง IP สำหรับใช้ในการ Management ต่างๆ เช่น ใช้ในการ Remote ด้วย SSH เข้ามาที่ตัวอุปกรณ์, เป็น Source Address ในหลายๆกรณี เช่น สำหรับส่ง Log ให้ Server, ใช้สำหรับส่งเกี่ยวกับ SNMP เป็นต้น ตัวอย่าง เช่น

#vlan 9
#name SWMGMT
#interface vlan 9
#description SWMGMT
#ip address 10.10.9.5 255.255.255.0
#no shutdown

สร้าง IP Gateway ดังตัวอย่าง

#ip default-gateway 10.10.9.1

9. Port Up-link

ส่วนมากจะเป็น Interface ที่เชื่อมต่อไปยัง Switch ที่เป็น Core หรือ Distributed Switch เป็นต้น ซื่งมักจะตั้งค่าให้เป็น Port TRUNK มี Descriptionอธิบายชัดเจน พร้อมทั้งมีการจำกัด Traffic ให้วิ่งผ่านได้เฉพาะที่ใช้งาน ดังตัวอย่างการตั้งค่าต่อไปนี้

#interface gigabitethernet 1/0/24
#description BKK_SWC29_01-to-CMI_ACC36_01_Gig104
#switchport nonegotiate 
#switchport mode trunk
#switchport trunk allowed vlan 10,20,21,22
#shutdown

10. Port Down-link

ส่วนมากจะเป็น Interface ที่เชื่อมต่อไปยังอุปกรณ์ End Device เช่น Computer, Printer และอุปกรณ์อื่นๆ เป็นต้น ในการตั้งค่าก็จำเป็นต้องมี Description , ตั้งค่าเป็น mode access (Default เป็น dynamic), ระบุ Vlan, ตั้งค่าให้ port เข้าสู่สถานะ forward ได้ทันทีด้วยคำสั่ง spanning-tree portfast และป้องกันการนำ Switch เข้ามาเชื่อมต่อที่ Port หรือ Interface นี้ด้วยคำสั่ง “spanning-tree bpduguard enable” ดังตัวอย่างต่อไปนี้

#interface gigabitethernet 1/0/1
#description PC_Engineer
#switchport mode access
#switchport access vlan 10
#spanning-tree portfast
#spanning-tree bpduguard enable
#no shutdown

11. no ip domain-lookup

ในกรณีที่มีการใช้ Command ผิดพลาด จะได้ไม่ต้องเข้าไปติดอยู่ในโหมด domain-lookup ซึ่งจะทำให้เสียเวลาในการตั้งค่าโดยไม่จำเป็น

#no ip domain-lookup

12. errdisable recovery cause all

เมื่อตัว OS ของ Switch ตรวจสอบพบ Error เช่น Port channel misconfiguration, Security violation, Link-flap detection เป็นต้น จะทำให้เกิดการ Disable Port นั้นๆ(errdisable ไฟ LED ที่ Port จะขึ้นสีส้มๆ) ทำให้ Traffic ไม่สามารถใช้งานผ่าน port ดังกล่าวได้อย่างอัตโนมัติถึงแม้ว่าเหตการณ์ error นั้นๆจะกลับมาปกติแล้วก็ตาม เราเลยจำเป็นต้องมีคำสั่ง “errdisable recovery cause all” เพื่อเมื่อเข้าสู่เหตุการณ์ปกติ(ไม่มี error) จะทำให้ Port สามารถรับส่ง Traffic ได้อย่างอัตโนมัติ

#errdisable recovery cause all
#errdisable recovery interval 300

13. Logging

เมื่อ Log Server อยู่ในระบบ จำเป็นจะต้องตั้งค่าการส่ง Log จากตัวอุปกรณ์ Switch ไปที่ Server นั้นๆ ตัวอย่าง Log Server มี IP Address = 10.10.100.10 สามารถตั้งค่าได้ดังนี้

#logging 10.10.100.10

14. SNMP

ในกรณีที่มีระบบ NMS (Network Monitoring System) จำเป็นจะต้องตั้งค่า SNMP ในตัว Switch ดังตัวอย่างต่อไปนี้

#snmp-server community cisco RO
#snmp-server host 10.129.200.5 version 2c community

15. service password-encryption

ทำการ Encryption เกี่ยวกับรหัสต่างๆที่ถูกตั้งค่าใน Switch เพื่อความปลอดภัย เช่น รหัสจากการตั้งค่า enable password

#service password-encryption

16. Save Configuring

ทำการ save config

#copy running-config startup-config