初期設定 - Catalyst

Catalystの初期設定にお奨めするコマンドの使い方について説明したページです。ホスト名、時刻設定やNTP、タイムゾーン、パスワード、タイムスタンプ出力、シスログ、SNMP、telnet、sshでの接続の設定について説明しています。

ホスト名の設定

 Catalystではホスト名を設定出来ます。例えばホスト名をtestとする場合のコマンドは以下の通りです。

【ホスト名の設定】
Switch# configure terminal
Switch(config)# hostname test
test(config)#

 設定後はプロンプトがホスト名を含んだものになります。

パスワードの設定

 パスワードは2種類設定する必要があります。コンソールに接続する時のパスワードとenableコマンドで特権EXECモードに移行する時のパスワードです。

 コンソールに接続する時のパスワード設定は以下の通りです。

【コンソールに接続する時のパスワード設定】
Switch(config)# line console 0
Switch(config-line)# password "パスワード"
Switch(config-line)# login                    ★コンソール接続時にパスワード必要
Switch(config-line)# exit
Switch(config)# service password-encryption

 service password-encryptionコマンドはパスワードを暗号化するコマンドです。暗号化しないとshow startup-config等でコンフィグを参照するとパスワードが見れてしまいます。

 次に特権EXECモードに移行する時のパスワードの設定方法です。

【特権EXECモードに移行する時のパスワード設定】
Switch(config)# enable secret "パスワード"

 設定後はcopyコマンドでstartup-configに保存する前に、パスワードが正常に設定されているか確認する事をお奨めします。

【コンソール接続時と特権EXECモードのパスワード確認】
Switch# exit

Switch con0 is now available

Press RETERN to get started.  ★エンターキーを押す

User Access Verification

Password:*******             ★コンソール接続用のパスワード入力
Switch> enable
Password:*******             ★特権EXECモード用のパスワード入力
Switch#

 パスワードの設定が間違っていてログイン出来なかったり特権EXECモードに移行出来ない場合は、Catalystの電源ケーブルを抜き差しして再起動すると設定が元に戻ります。電源スイッチがあるCatalystの場合は電源スイッチのON、OFFでも同様に再起動可能です。

IPアドレスとデフォルトゲートウェイの設定

 IPアドレスとデフォルトゲートウェイの設定方法は以下の通りです。

【IPアドレスとデフォルトゲートウェイの設定】
Switch(config)# interface vlan 10                          ★VLAN10への設定
Switch(config-if)# ip address 172.16.1.100 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# ip default-gateway 172.16.1.1            ★デフォルトゲートウェイ
Switch(config)# interface gigabitethernet1/0/12
Switch(config-if)# switchport
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10              ★1/0/12にVLAN10を割当
Switch(config-if)# no shutdown
Switch(config-if)# exit

 上記ではVLAN10に対してIPアドレス172.16.1.100、サブネットマスク255.255.255.0を設定し、デフォルトゲートウェイを172.16.1.1に設定しています。又、VLAN10をインターフェース1/0/12で使えるようにしています。

 デフォルトゲートウェイは通常、エッジスイッチをレイヤー2スイッチとして使う場合に設定します。

 ルーティングして接続しない場合や、Catalystをレイヤ3ースイッチとして使う場合はデフォルトゲートウェイの設定は不要です。

 設定後はping等で通信可能な事を確認します。

初期設定 - Catalyst1

 尚、緑で示したswitchportコマンドがない機種もあり、入力すると% Incomp command.と表示されます。switchportが設定された状態だけサポートする機種なので、コマンドが受け付けられない場合は無視して大丈夫です。

sshの設定

 毎回シリアリケーブルで接続するのは面倒です。このため、リモートからsshで接続出来るように設定します。コマンドは以下の通りです。

【sshの設定】
Switch(config)# username "ユーザー名" pssword 0 "パスワード"
Switch(config)# ip domain-name aaa.bbb.ccc
Switch(config)# crypto key generate rsa   ★鍵作成
Switch(config)# line vty 0 15
Switch(config-line)# transport input ssh   ★sshだけ利用可能(telnet禁止)
Switch(config-line)# login local            ★上記で設定したユーザー名とパスワード利用
Switch(config-line)# exit

 上記はドメイン名をaaa.bbb.cccと設定した場合の例です。

 「パスワードの設定」で説明したservice password-encryptionを設定している場合、show running-config等でコンフィグを参照すると、usernameで設定したパスワードはusername "ユーザー名" pssword 7 "暗号化されたパスワード"と暗号化されて表示されます。passwordの後の数字が0だと暗号化なし、7だと暗号化ありを示します。このため、入力する時は0を指定しますが、service password-encryptionが設定されている場合はコンフィグを参照すると7になります。

 設定後は実際にTearTerm等でsshで接続して、設定したユーザー名とパスワードでログイン可能な事を確認します。「IPアドレスとデフォルトゲートウェイの設定」で説明した通りの設定の場合、パソコンをインターフェース1/0/12にツイストペアケーブルで接続し、TeraTerm等を使ってsshを開始すると、usernameで設定したユーザー名とパスワードを入力してログイン出来ます。

telnetの設定

 telnetは暗号化されない通信でWireShark等でキャプチャされるとパスワードが見られてしまうためお奨めしませんが、sshを使えないIOSの場合はtelnetの利用も検討する必要があります。設定は以下の通りです。

【telnetの設定】
Switch(config)# line vty 0 15
Switch(config-line)# password "パスワード"
Switch(config-line)# login                    ★telnet接続時にパスワード必要
Switch(config-line)# exit

 loginのコマンドは記述している通り接続時にパスワードが必要という意味です。

 telnetが不要になったため、ログイン不可という意味と勘違いしてno loginコマンドを入力するとパスワードが不要という設定になり、パスワードなしでtelnetの接続が出来てしまいます。no loginは入力しないように注意が必要です。

 loginコマンドはログイン時の認証に関する設定です。loginはパスワードが必要、no loginは不要、sshの所で使ったlogin localとするとCatalystに設定したユーザーIDとパスワードを使うという意味になります。

 誤ってno loginを入力した場合はloginコマンドで取り消せます。又、telnetが不要な場合はパスワードを削除するか以下のようにします。

【リモート接続不可の設定】
Switch(config)# line vty 0 15
Switch(config-line)# transport input none
Switch(config-line)# exit

 transport input noneを入力した後、telnetを再開するためにはno transport input noneではなく、transport input telnetと設定が必要です。

 設定後は実際にTearTerm等でtelnetで接続して、設定したパスワードでログイン可能な事を確認します。「IPアドレスとデフォルトゲートウェイの設定」で説明した通りの設定の場合、パソコンをインターフェース1/0/12にツイストペアケーブルで接続し、TeraTerm等を使ってtelnetを開始すると、passwordで設定したパスワードを入力してログイン出来ます。

 尚、sshとtelnet両方接続出来るようにする場合は以下のようにします。

【sshとtelnet両方接続可能な設定】
Switch(config)# username "ユーザー名" pssword 0 "パスワード"
Switch(config)# ip domain-name aaa.bbb.ccc
Switch(config)# crypto key generate rsa
Switch(config)# line vty 0 4
Switch(config-line)# transport input ssh
Switch(config-line)# login local
Switch(config-line)# exit
Switch(config)# line vty 5 15
Switch(config-line)# password "パスワード"
Switch(config-line)# login
Switch(config-line)# exit

 どちらかだけ接続する場合の設定と赤字部分の数字が違いますが、これはssh、telnetに割り当てるセッション数を示します。上記では0〜4で5個のssh接続、5〜15で11個のtelnet接続を同時に受け付けるようにしています。

タイムゾーンの設定

 タイムゾーンはデフォルトではUTCになっています。通常は日本時間にするため以下のようにします。

【clock timezoneコマンド】
Switch(config)# clock timezone JST 9

 JSTは日本を表し、9はUTCに9時間プラスするという意味です。UTCはイギリス等の標準時と同じで日本の標準時は9時間進んでいるためです。

NTPの設定

 NTPで時刻同期するサーバーの設定は以下のようにします。

【ntpコマンド】
Switch(config)# ntp server 172.16.1.10

 上記はIPアドレス172.16.1.10のNTPサーバーに同期する場合の例です。上記コマンドを複数設定して複数のNTPサーバーを指定出来ます。

 NTPサーバーと同期出来ているか確認するためにはshow ntp associationsコマンドを使います。

【show ntp associationsでの時刻同期の確認】
Switch># show ntp associations

     address      ref clock    st   when   poll   reach   delay   offset    disp 
*~172.16.1.10    172.16.1.5     2     30     64    377     3.2    26.232    1.232 
#~172.16.1.11    172.16.1.5     3     20     64    377     7.6    22.332    2.323
 
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

 設定しているNTPサーバーの一覧が表示されますが、「*」が先頭に付いているNTPサーバーに同期しています。設定してから同期するまでは数分等の時間がかかるため、「*」が付いたサーバーがない時は時間を置いて確認が必要です。

手動時刻設定

 時刻はズレていくためNTPで同期させる事をお奨めしますが、NTPサーバーがない場合に時刻を手動で設定する時は以下のようにします。

【clock setコマンド】
Switch# clock set 11:22:11 1 July 2013

 時刻の設定は特権EXECモードで行います。上記では2013年7月1日11時22分11秒に設定されます。設定は「時間:分:秒 日付 月(英語) 年」の順に記述します。

 設定された時刻はshow clockコマンドで確認出来ます。

【show clockコマンド】
Switch# show clock
11:22:12.222 JST Mon July 1 2013

タイムスタンプの設定

 ログやデバッグ時にタイムスタンプという日時を出力するようにします。

【service timestampsコマンド】
Switch(config)# service timestamps log datetime localtime msec
Switch(config)# service timestamps debug datetime localtime msec

 デフォルトではタイムスタンプがなくてメッセージだけ出力されます。日時が分からないと調査に困るため、タイムスタンプが出力されるように設定する事をお奨めします。

 又、上記でlocaltimeを設定しない場合、ログがUTCで記録されます。

syslogサーバーの設定

シスログサーバーにログを送信するためには以下のように設定します。

【syslogサーバーの設定】
Switch(config)# logging 192.168.1.1

 上記ではIPアドレスが192.168.1.1のシスログサーバーに送信しますが、設置しているシスログサーバーのIPアドレスを設定します。シスログサーバーは複数設定可能です。

 ファシリティのデフォルトはlocal7です。ファシリティを変更するためには以下のように設定します。

【ファシリティの変更】
Switch(config)# logging facility local1

 上記ではファシリティをlocal1に設定しています。設定後はシスログサーバーでログが受信出来ているか確認します。

SNMPの設定

 SNMPサーバーからのMIB要求や操作を可能にし、TRAPを送信するためには以下のように設定します。

【SNMPの設定】
Switch(config)# snmp-server community "コミュニティ名" rw
Switch(config)# snmp-server community "コミュニティ名" ro
Switch(config)# snmp-server enable traps
Switch(config)# snmp-server host 192.168.1.1 "コミュニティ名"

 上2つはMIB要求時、又は操作時のコミュニティ名の設定です。SNMPマネージャからMIB要求や操作があった場合、SNMPマネージャとコミュニティ名が一致している必要があります。MIBを操作するとはMIBの書き換えをする事ですが、一般的にはしないと思われる為、その場合は1行目は不要です。MRTG等で統計情報を収集する場合や監視ソフト等を利用する場合は少なくともMIBの要求はあるため2行目は設定する必要があります。

 又、要求と操作用のコミュニティ名は異なる名前を付ける必要があります。

 snmp-server enable trapsコマンドで全てのTRAP送信を有効にしています。snmp-server enable traps snmp authentication等、送信するTRAPを個別に指定する事も可能です。指定可能なTRAPはsnmp-server enable traps ?と入力すると参照出来ます。

 一番下のコマンドはTRAPを送信するSNMPマネージャのIPアドレスを設定します。TRAP先のSNMPマネージャーの設定は複数設定出来ます。

設定後の保存

 設定変更後は以下のコマンドでstarup-configに保存するのを忘れないようにして下さい。

【設定の保存】
Switch# copy running-config startup-config

サイト関連1

設定編「コマンドの練習 - Catalyst
  • このエントリーをはてなブックマークに追加