gigacampus » start page » ufs110
Table of Contents

UFS 110: Oppskrift for konfigurasjon av alcatel svitsjer i campusnett

UFS nr 110
Status Utkast
Dato 12.10.2006
Tittel Oppskrift for konfigurasjon av alcatel svitsjer i campusnett
Arbeidsgruppe Nettarkitektur
Forfattere Einar Lillebrygfjeld
Ansvarlig Einar Lillebrygfjeld
Kategori Oppskrift

Sammendrag

Dette dokumenter gir en oppskrift for konfigurasjon av cisco IOS svitsjer. Dokumentet understøtter UFS105 som er en generell anbefaling for konfigurasjon av svitsjer i campusnett.

Vi følger samme struktur som UFS105, samt at vi gir en komplett konfigurasjon tilslutt.

1. Introduksjon

2. Definisjoner

3. Fysiske krav

4 Programvare

4.1 Programvareoppgradering

FIXME Mangler info

5. Navning

5.1 Sett navn på svitsjen

(config) hostname teknobyen-5etg-sw2

5.2 Dns-oppsett

(config) ip domain-name uninett.no
(config) ip name-server  10.0.2.1

5.3 Konfigurer portnavn

(config-if) description "4.KX175 moterom rodt"

6. Administrasjon av svitsjen

6.1 Managementadresse

VlanX? bør være et managementnett dedikert for nettelektronikk:

(config) interface vlan X
(config-if)ip address 10.20.30.110 255.255.255.0
(config) ip default-gateway 10.20.30.1

6.2 Fjernpålogning (med banner)

For telnet (og da uten radius);

(config) line telnet
(config-line) password xxxxx

For ssh (og da uten radius);

(config) ip ssh server
(config) crypto key generate rsa
(config) line ssh
(config-line) password xxx

FIXME Banner mangler info

6.3 Autentisering ved fjernpålogning

Radius oppsett:

(config) radius-server host 158.38.60.215 auth-port  1812 usage login
(config) radius-server key PsOrd
(config) aaa authentication login sekvens radius local
(config) line telnet
(config-line) login authentication sekvens
(config) username admin password xxxx
(config) enable password level 15 xxxx

6.4 Lagring av konfigurasjon

copy running-config startup-config
copy running-config tftp://10.0.40.22//tftpboot/teknobyen-5etg-sw2-confg

6.5 SNMP tilgang

(config) snmp-server engineid local default
(config) snmp-server group snmpgrp v2
(config) snmp-server user snmpusr snmpgrp
(config) snmp-server community-group public snmpgrp
(config) snmp-server community public ro <ip-adresse>

6.6 Naboskapsoppdagelse - LLDP/ CDP el.

Støtter sin egen protokoll AMAP Den er default skrudd på. Kan skrus av med

(config) no amap enable

Eller pr. interface med

(config-if)# no amap enable

6.7 Syslogging

(config) logging on
(config) logging <ip-adresse> severity warnings

6.8 NTP

clock timezone +1 zone MET
clock summer-time recurring last sun mar 02:00 last sun oct 02:00
clock source sntp
sntp unicast client enable
sntp unicast client poll
sntp server 10.40.40.35 poll
sntp server 10.40.70.35 poll

6.9 Øvrige servertjenester på svitsjen

(config) no ip http server
  

6.10 Stacking

FIXME Mangler info

6.11 Fjernkonsol, konsollogg

FIXME Mangler info.

7. Vlankonfigurasjon

7.1 Trunkoppsett

Definere hvilke vlan som skal være på svitsjen:

(config) vlan database
(config-vlan) vlan 2-3,10-11,15-16,20-21,25-27,30-31,35,40-41,45,50

Setter en port på svitsjen til trunk-port med native vlan 35.

(config) interface ethernet g2
(config-if) switchport mode trunk
(config-if) switchport trunk allowed vlan add all
(config-if) switchport trunk native vlan 35

7.2 Administrasjonsløsning for vlan

Støtter GVRP, men anbefaler å ikke benytte slike protokoller.

7.3 Vlan på ubrukte porter / vlan 1

Ikke bruk native vlan 1

switchport trunk native vlan 99

Videre sett ubrukte aksessporter til et “dummy vlan”

switchport access vlan 666

8. Spannintree konfigurasjon

8.1 Rapid spanningtree / MSTP

FIXME Mangler info.

8.2 Root i spanningtree

STP root Guard er en annen funksjon for å hindre angrep på STP. Her godtar man STP trafikk over porten så lenge ingen bak denne porten prøver å bli STP root. Kommandoen settes på interface der man ikke ønsker STP root forhandligner.

(config-if) spanning-tree guard root

8.3 Portfast

Når man kjører vanlig spanning tree bør alle klientporter settes til portfast. Dette gjør at forwarding av pakker tillates raskere, før spanning tree er ferdig rekalkulert. Det er viktig at dette kun settes der man vet at man ikke har løkker i topologien.

(config-if) spanning-tree portfast

8.4 BPDU guard

FIXME Mangler info

9. Trafikkegenskaper

9.1 Hastighet, dupleks, autokryssing

Står default til auto og settes eller kan settes til auto slik.

(config-if) no duplex
(config-if) no speed

Kan settes fast slik.

(config-if) duplex half | full
(config-if) speed 10 | 100 | 1000

FIXME Hva med autokryssing??? Mangler info

9.2 Jumboframes

FIXME Mangler info

9.3 Bundling av porter (ether channel) /lastbalansering

FIXME Mangler info

9.4 Trafikkadministrasjon / tjenestekvalitet

FIXME Mangler info

9.5 Strøm over ethernet

FIXME Mangler info

9.6 Beskyttelse av kontrollplanet

FIXME Mangler info

9.7 Fysisk link monitorering

FIXME Mangler info

10. Multicast snooping

(config) ip igmp snooping

11. Sikkerhetsfunksjoner

11.1 Port security

Setter det til maksimalt lærte 100 adresser Bare vært 100 melding blir sendt til snmp-strap Lære de 100 første adressene og låser til dem, resten vil bli droppet.

(config-if) port security max 20
(config-if) port secirity discard trap 100
(config-if) port security mode dynamic

11.2 IEE 802.1x

FIXME Mangler info

11.3 Traffic storm controll

Hvor mange Kb/s med broadcast trafikk som er tillat på en port.

(config-if) port storm-control Broadcast enable
(config-if) port storm-control Broadcast rate  <70-100000> 

11.4 DHCP snooping

FIXME Mangler info

11.5 IP source guard / dynamic IP lockdown

FIXME Mangler info

11.6 Dynamic arp inspection

FIXME Mangler info

11.7 Port unicast og multicast port blocking

FIXME Mangler info

11.8 Mac address notification

FIXME Mangler info

12. Nyttige funksjoner for daglig drift

12.1 Portspeiling

FIXME Mangler info

12.2 Sperre en mac adresse

FIXME Mangler info

12.3 Statisk binding av mac adresse til port

FIXME Mangler info

13. Komplett konfigurasjon

13.1 Globale kommandoer

FIXME Mangler info

13.2 interface / line kommandoer

FIXME Mangler info

14. Intellektuelt eierskap

Forfatter med arbeidsgruppe står ansvarlig for innholdet i dette dokument. UNINETT står ikke ansvarlig for innholdet.

15. Forfatterenes adresse

   Einar Lillebrygfjeld
   UNINETT
   Abels gt 5 - Teknobyen
   7465 Trondheim
   Norway
   Telefon: 735 57942
   Epost  : Einar.Lillebrygfjeld@uninett.no
 
 
gigacampus/ufs110.txt · Last modified: 2010/04/16 13:31 by faltin@uninett.no

Viktig melding: openwiki.uninett.no

UNINETT OpenWiki er under utfasing. Wikier som er lite brukt er satt i kun-lese-modus. Ta kontakt med UNINETT for å åpne for skrivetilgang ved behov.

Group memberships: no groups