Plantilla para Switches Cisco.
Ruben DelgadoInforme12 de Noviembre de 2016
2.163 Palabras (9 Páginas)358 Visitas
Plantilla para Switches Cisco
- El objetivo de este bloque es indicar cuales servicios deben estar prendidos y corriendo y cuales servicios deben estar apagados.
!
service nagle
no service pad
no service udp-small-servers
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service linenumber
service sequence-numbers
no service compress-config
no service dhcp
no service pad
!
- Nombre del equipo en catálogo. El hostname debe ser el mismo con el que se da de alta en el catálogo central (es el nombre que se utiliza en las OTs, Ficha única y gestores)
hostname xxxxxxx
- Los 2 primeros comandos de este bloque son los únicos que no deben estar desactivados, los demás comandos deben estar desactivados.
!
ip classless
ip subnet-zero
no ip finger
no ip bootp server
no ip source-route
no ip http server
no ip http secure-server
!
- Establece el sistema operativo con el que debe de arrancar el equipo.
!
boot-start-marker
************ N/A boot system bootflash:/catxxxxxxxxxxx.12x.xx.bin → (Sistema operativo homologado para equipos de datos cisco, Ver documento de SO homologados que se encuentra al final del archivo)
boot-end-marker
!
- Sirve para la detección de transmisión de datos en un solo sentido, para fibra óptica verifica que el TX y el RX pasen tráfico, si detecta tráfico en un solo sentido, bloquea el puerto, ya que lo interpreta como daño en un hilo de la fibra y envía una alarma.
udld enable → (Activar en los puertos de fibra óptica)
- Es el dominio de los routers y switches de datos y las IPs de los servidores DNS
!
ip domain-lookup
ip domain-name datos.temm
ip name-server 10.15.19.113
ip name-server 10.15.30.113
!
- Son comandos para la transferencia de archivos ftp, se utiliza solamente para actualizaciones de sistema operativo.
!
no tftp server
ip tftp source-interface Loopback0
ip ftp source-interface Loopback0
ip ftp username cscodump
ip ftp password dump.c0r3s
exception protocol ftp
exception dump 10.225.176.63
!
- Solo aplica si se pueden configurar fuentes redundantes en el equipo.
!
power redundancy-mode redundant
!
- Se utiliza para fijar la hora en el equipo
!
clock timezone CST -6
clock summer-time CDT recurring 1 Sunday April 2:00 last Sunday October 2:00 → (Para que se autoajuste a la zona horaria y cambio de horario de verano)
!
- Configuración para sincronizar con servidor de tiempo
ntp source Vlan1 → (interfase de donde saldrán la solicitudes para sincronizar el tiempo)
ntp update-calendar
ntp source lo0
ntp update-calendar
ntp server (IP_GATEWAY)
ntp clock-period 17180169
!
******Configuración mandatoria que debe considerarse para la integración de estos equipos: *******
Spanning tree → Elevar las prioridades de las VLAN en los equipos nuevos, que no son de Core.
VTP → En modo transparente
ACL → Control de acceso a través de las ACLs 94
- Todos los switches que se configuran en Telefónica, están en modo transparente de VTP, no aprenden, ni propagan configuración. Por lo tanto debe estar en modo transparente.
!
vtp mode transparent
vtp domain XXXX (nombre)
!
- CONFIGURACIÓN DE SPANNING TREE
En Telefónica se configuran solamente los elementos de Core como ROOT en spanning tree, por lo que cualquier elemento adicional al switch se considera como No ROOT (de spanning tree).
Por eso se solicita que las vlan configuradas localmente en los switches que no son de Core tengan la prioridad más alta posible, para que nunca sean candidatos a root.
La siguiente configuración es sugerida para distribuir las Vlan en los switches, lo que es obligatorio es subir la prioridad independientemente de que se separen en nones y pares
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
no spanning-tree optimize bpdu transmission
!
spanning-tree vlan (vlans nones para switch 1) priority 61440 → (La mas ALTA)
spanning-tree vlan (vlans pares para switch 2) priority 61440 → (La mas ALTA)
!
- Protege al cpu de pruebas de ping
!
mls rate-limit unicast ip icmp redirect 0
!
- Sirve para el manejo del syslog
!
logging trap notifications
logging snmp-authfail
logging buffered 32768 debugging
logging rate-limit all 1000
logging history size 30
logging source-interface XXXX → (Es la dirección IP del origen de donde van a salir los mensajes de syslog (vlan, interfase Ethernet, loop back, etc)
logging 10.225.176.63 → (Servidor de syslog de Telefónica)
logging 10.222.91.18
no logging console
no logging monitor
l
- Access list para la herramienta VNE (opnet) y CNC (cisco)
!
access-list 95 remark LISTA DE ACCESO PARA COMUNIDAD CndsR0
access-list 95 permit 10.15.16.101 ! VNE Server
access-list 95 permit 10.15.16.102 ! CNC Server
!
- Access list para comunidades de SNMP (RO)
access-list 96 remark LISTA DE ACCESO PARA COMUNIDAD TeMIP_PRO
access-list 96 permit 10.15.19.113 ! DNS1
access-list 96 permit 10.15.30.113 ! DNS2
access-list 96 permit 10.15.127.4 ! IVSERVER01
access-list 96 permit 10.15.127.5 ! IVSERVER02
access-list 96 permit 10.15.127.6 ! IVSERVER03
access-list 96 permit 10.222.91.17 ! NETCOOL
access-list 96 permit 10.225.176.54 ! Cricket1
access-list 96 permit 10.225.176.55 ! Cricket2
access-list 96 permit 10.225.176.63 ! CiscoWorks
!
- Access list para comunidades de SNMP (RW)
access-list 97 remark LISTA DE ACCESO PARA COMUNIDAD CW2000
access-list 97 permit 10.225.176.63 ! CiscoWorks
!
- Comunidades de SNMP estándar utilizadas por Telefonica
snmp-server community CW2000 RW 97 → La comunidad se asocia al ACL 97
snmp-server community TeMIP_PRO RO 96 → La comunidad se asocia al ACL 96
snmp-server community Cndsr0 RO 95 → La comunidad se asocia al ACL 95 (Auditoria Cisco, Opnet)
- Configuración de SNMP que es necesaria para la extracción de información de los gestores.
snmp-server contact CCR Telefonica +52(55) 1616-8309
snmp-server chassis-id NUMERO_DE_SERIE_DEL_CHASIS|NUMERO_DE_PLACA_TELEFONICA (dejar en blanco si no hay placa)
snmp-server location TTTRRR|CODIGO_REGIO|SALA|RACK_#_DE_RACK → Consultar la tabla de definiciones que se encuentran al final del documento
...