Почему не пингуется SVI (interface vlan X)?

Проверьте, что SVI в состоянии up/up (show ip interface brief). Если administratively down — сделайте no shutdown на interface vlan X. Если down/down — убедитесь, что в этом VLAN есть активный порт. Также проверьте ip default-gateway и маршрутизацию от ПК к коммутатору.

Нужен ли ip default-gateway на L2-коммутаторе?

Нужен, если вы управляете коммутатором из других подсетей (например, по SSH). ip default-gateway задаёт маршрутизатор, через который коммутатор отправляет трафик вне локальной подсети Management VLAN.

Чем write memory отличается от copy running-config startup-config?

На Cisco IOS функционально обычно одно и то же: обе команды сохраняют running-config в startup-config (NVRAM). write memory — более старая форма, copy run start — современная.

Можно ли управлять коммутатором через VLAN 1?

Технически можно, но в продакшене обычно не рекомендуют: VLAN 1 часто используется по умолчанию (в т.ч. как native VLAN), что повышает риски. Лучше выделить отдельный Management VLAN и ограничить использование VLAN 1 на trunk-портах.

Tilda Publishing

Привет, любопытный друг. Да, это Tilda. Потому что мы хотим быстро внедрять и управлять решением, а не ждать
в очереди разработчика. Контроль, предсказуемость и отказоустойчивость — наша главная идея.

Для запросов и ТЗ

с 9:30 до 18:00

get@work-system.ru
Для запросов и ТЗ

+7 495 108-54-54
с 9:30 до 18:00

Заказать звонок

Получить КП

[{"lid":"1631794322839","ls":"10","loff":"","li_parent_id":"","li_type":"em","li_ph":" ","li_title":"\u0423\u043a\u0430\u0436\u0438\u0442\u0435 \u0432\u0430\u0448\u0443 \u044d\u043b. \u043f\u043e\u0447\u0442\u0443","li_name":"email","li_req":"y","li_nm":"email"},{"lid":"1631794322840","ls":"20","loff":"","li_parent_id":"","li_type":"ph","li_ph":" +7","li_title":"\u0412\u0430\u0448 \u043d\u043e\u043c\u0435\u0440 \u0442\u0435\u043b\u0435\u0444\u043e\u043d\u0430","li_name":"phone","li_masktype":"a","li_maskcountry":"RU","li_req":"y","li_nm":"phone"},{"lid":"1631794322841","ls":"30","loff":"","li_parent_id":"","li_type":"nm","li_ph":" ","li_title":"\u041a\u0430\u043a \u0432\u0430\u0441 \u0437\u043e\u0432\u0443\u0442?","li_name":"name","li_nm":"name"},{"lid":"1631794322843","ls":"40","loff":"","li_parent_id":"","li_type":"sb","li_title":"\u0412 \u0447\u0435\u043c \u043d\u0443\u0436\u043d\u0430 \u043f\u043e\u043c\u043e\u0449\u044c?","li_variants":"\u041a\u043e\u043d\u0441\u0443\u043b\u044c\u0442\u0430\u0446\u0438\u044f \u0441 \u043f\u043e\u0434\u0431\u043e\u0440\u043e\u043c \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u044f\n\u041f\u043e\u043c\u043e\u0449\u044c \u0432 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u0438 \u0422\u0417 \u0432 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0438 \u0441 44-\u0424\u0417 \u0438 223-\u0424\u0417\n\u0417\u0430\u043a\u0443\u043f\u043a\u0430 \u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u043e\u0433\u043e \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u044f\n\u0417\u0430\u043a\u0443\u043f\u043a\u0430 \u0438\u043c\u043f\u043e\u0440\u0442\u043d\u044b\u0445 \u0440\u0435\u0448\u0435\u043d\u0438\u0439\n\u041f\u0440\u0438\u0433\u043b\u0430\u0448\u0435\u043d\u0438\u0435 \u0432 \u0442\u0435\u043d\u0434\u0435\u0440\/\u043a\u043e\u043d\u043a\u0443\u0440\u0441","li_name":"type","li_nm":"type"},{"lid":"1631794322844","ls":"50","loff":"","li_parent_id":"","li_type":"uw","li_uwkey":"dropbox-975ea70dd556b2b055c263","li_title":"\u0424\u0430\u0439\u043b\u044b","li_name":"file","li_multiupl":"y","li_nm":"file"},{"lid":"1631794322845","ls":"60","loff":"","li_parent_id":"","li_type":"ta","li_ph":"\u0423\u043a\u0430\u0436\u0438\u0442\u0435 \u0441\u0440\u043e\u043a\u0438 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u043f\u0440\u043e\u0435\u043a\u0442\u0430, \u0434\u043e\u0431\u0430\u0432\u043e\u0447\u043d\u044b\u0439 \u043d\u043e\u043c\u0435\u0440 \u0442\u0435\u043b\u0435\u0444\u043e\u043d\u0430 \u0438 \u043b\u044e\u0431\u044b\u0435 \u0434\u0440\u0443\u0433\u0438\u0435 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0438","li_rows":"4","li_name":"comment","li_nm":"comment"},{"lid":"1761695496708","ls":"70","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u0414\u0430\u044e \u0441\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443 \u043c\u043e\u0438\u0445 <a href=\"\/privacy\" style=\"color: rgb(0, 0, 0); border-bottom: 1px solid rgb(0, 0, 0); box-shadow: none; text-decoration: none;\">\u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445<\/a>","li_name":"checkbox","li_req":"y","li_nm":"checkbox"},{"lid":"1761695518561","ls":"80","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u0414\u0430\u044e \u0441\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 <a href=\"\/mailing\" style=\"color: rgb(0, 0, 0); border-bottom: 1px solid rgb(0, 0, 0); box-shadow: none; text-decoration: none;\">E-mail \u0440\u0430\u0441\u0441\u044b\u043b\u043e\u043a<\/a>","li_name":"mailing","li_req":"y","li_nm":"mailing"}]

Подберём типовое или произведем на заказ серверное оборудование, предоставим расчёт и поможем интегрировать в систему.

Заполните форму запроса слева или отправьте описание вашей задачи на почту get@work-system.ru

При отправке письма на почту укажите номер телефона вашего специалиста для обсуждения аналогов оборудования в случае необходимости

Базовая настройка коммутатора Cisco с нуля: пошаговое руководство

Name: WORK SYSTEM
Address: Варшавское шоссе, д. 1, стр. 6, офис А107, БЦ W Plaza-2, Москва, Москва, 117105, RU
Telephone: +7 495 108-54-54

Обновлено: Декабрь 2025

Информация носит общий характер и не заменяет консультацию специалиста.

Важно: Все команды следует выполнять в тестовой среде или в согласованное окно обслуживания. Настраивайте доступ по SSH до отключения Telnet, чтобы не потерять удалённое управление устройством.

Правильная настройка коммутатора Cisco — основа стабильной работы сетевой инфраструктуры. Без грамотной первоначальной конфигурации управляемые коммутаторы остаются уязвимыми, а доступ к ним — хаотичным. В этом руководстве мы разберём базовую настройку оборудования Cisco с нуля: от подключения через консоль до защиты доступа, настройки IP для управления и сохранения конфигурации. Материал актуален для серий Catalyst 2950, 2960 и близких моделей на классическом IOS.

Быстрый старт: минимальный набор команд для «поднять управление за 10 минут»

Если вам нужен мгновенный результат — вот таблица обязательных команд для базовой настройки коммутатора Cisco. Этот минимум позволяет задать имя устройства, защитить CLI, включить SSH и настроить IP-адрес для удалённого доступа.

Минимальный набор команд для первоначальной настройки коммутатора Cisco

Имя устройства

hostname SW-CORE-01

(config)#

Задаёт понятное имя коммутатора

Отключить DNS lookup

no ip domain-lookup

(config)#

Убирает паузы при опечатках

Защита привилегированного режима

enable secret YourStrongPass

(config)#

Пароль для enable

Локальный пользователь

username admin secret AdminPass123

(config)#

Для SSH-доступа

Консоль

line console 0
password ConPass
login

(config-line)#

Защита физического доступа

VTY (удалённый доступ)

line vty 0 15
login local
transport input ssh

(config-line)#

Только SSH, локальная аутентификация

SSH v2

ip domain-name example.local
crypto key generate rsa modulus 2048
ip ssh version 2

(config)#

Включает зашифрованный доступ

Management VLAN IP

interface vlan 1
ip address 192.168.1.10 255.255.255.0
no shutdown

(config-if)#

IP для удалённого управления

Шлюз по умолчанию

ip default-gateway 192.168.1.1

(config)#

Для доступа вне локальной подсети

Сохранение

copy running-config startup-config или wr

Записывает конфиг в NVRAM

Примечание о совместимости: Команды актуальны для Cisco IOS на Catalyst 2950/2960 и близких серий. На IOS XE (Catalyst 9200/9300) синтаксис в целом совпадает, но всегда проверяйте справкой ? и официальной документацией для конкретной платформы.

Порядок действий:

Подключитесь к консольному порту (скорость 9600, 8N1).
Войдите в привилегированный режим (enable) и конфигурационный (configure terminal).
Выполните команды из таблицы последовательно.
Проверьте применение: show run | include hostname, show ip ssh, show ip interface brief.
Сохраните конфигурацию, чтобы изменения остались после перезагрузки.

Как подключиться к консоли коммутатора Cisco: физическое соединение

Первый шаг работы с устройствами Cisco — доступ к консольному порту через терминал. Для этого понадобится консольный кабель (rollover-кабель RJ-45 to DB-9 или USB-адаптер), ПК с установленным ПО (PuTTY, TeraTerm, SecureCRT) и правильные настройки соединения.

Шаги подключения:
1. Подключите консольный кабель к порту Console коммутатора (обычно синий RJ-45) и к COM-порту ПК или USB-адаптеру.
2. Установите драйвер адаптера (если используете USB-to-COM): при конфликтах драйверов удалите устройство в Device Manager (галочка "Delete driver software"), перезагрузите ПК и установите последнюю версию от вендора.
3. Определите номер COM-порта в диспетчере устройств Windows (Ports (COM & LPT) → Prolific USB-to-Serial Comm Port (COMx)).
4. Запустите PuTTY и выберите Connection type: Serial.
5. Укажите параметры:

Serial line: COM3 (ваш номер порта)
Speed: 9600
Data bits: 8
Parity: None
Stop bits: 1
Flow control: None

6. Нажмите Open — откроется чёрное окно терминала.
7. Нажмите Enter несколько раз — должно появиться приглашение Switch> или Router>.
8. Если в терминале "мусор" (непонятные символы) — проверьте скорость (должна быть 9600) и параметры 8N1.

После успешного подключения переходите к работе в режимах CLI (см. раздел Основные режимы командной строки).

Если появился диалог Initial Configuration (System Configuration Dialog)

При первой загрузке или после сброса конфигурации Cisco может предложить пошаговый мастер настройки: Would you like to enter the initial configuration dialog? [yes/no]:

Варианты ответа на диалог Initial Configuration

Новое устройство или лабораторная среда

no — чтобы войти в CLI и настроить вручную

Массовое внедрение с чек-листом

no — мастер не подходит для типовых развёртываний

Первое знакомство (обучение)

yes — можно попробовать, но затем лучше сбросить коммутатор Cisco и настроить вручную

Рекомендация: всегда вводите no и настраивайте вручную — так вы получите полный контроль и избежите ошибок автоматического мастера. После отказа от диалога вы попадёте в режим User EXEC (Switch>), откуда сможете выполнить enable для доступа к командам конфигурации.

Основные режимы командной строки (CLI) и навигация

CLI Cisco IOS построена иерархически: каждый режим даёт доступ к определённому набору команд. Понимание структуры режимов — ключ к уверенной настройке коммутатора.

Основные режимы:

User EXEC Mode (Switch>)

Ограниченный доступ для просмотра базовой информации.
Команды: show version, show ip interface brief, ping.
Переход: автоматически при входе по консоли или SSH.

2. Privileged EXEC Mode (Switch#)

Полный доступ к просмотру и диагностике (все команды show, debug, reload).
Переход: команда enable из User EXEC.
Выход: disable или exit.

3. Global Configuration Mode (Switch(config)#)

Режим настроек глобальных параметров (hostname, пароли, VLAN, маршруты).
Переход: configure terminal (сокр. conf t) из Privileged EXEC.
Выход: exit (возврат в Privileged) или end (сразу в Privileged).

4. Подрежимы конфигурации:

Interface Configuration (Switch(config-if)#): команда interface gigabitethernet 0/1 или interface vlan 1.
Line Configuration (Switch(config-line)#): команда line console 0 или line vty 0 15.
VLAN Configuration (Switch(config-vlan)#): команда vlan 10.
Выход: exit (на уровень выше) или end (в Privileged).

Полезные подсказки:

? — показать доступные команды или параметры в текущем режиме (например, show ?).
Tab — автодополнение команды (наберите conf и нажмите Tab → configure).
do <команда> — выполнить команду Privileged EXEC из режима конфигурации (например, do show run).
show privilege — узнать текущий уровень привилегий (обычно 1 для User EXEC, 15 для Privileged).

Понимание режимов позволяет быстро ориентироваться: если команда не работает, проверьте приглашение — возможно, вы в неправильном режиме.

Базовая подготовка перед настройкой (рекомендуется, если коммутатор не новый)

Перед изменением конфигурации на б/у или эксплуатируемом коммутаторе выполните подготовительные шаги, чтобы избежать потери данных и простоев.

Чек-лист:

Сохраните текущую конфигурацию: copy running-config tftp: (или на USB/SCP) — создайте резервную копию на случай отката.
Определите модель и версию IOS: show version — запишите Product ID, Serial Number, IOS версию.
Согласуйте окно обслуживания: договоритесь с пользователями и руководством о времени работ, чтобы минимизировать влияние на бизнес.
Проверьте питание и PoE (если применимо): убедитесь, что источник питания стабилен; для PoE-моделей — проверьте show power inline.
Промаркируйте порты: физически обозначьте uplink, management, критичные порты — это поможет при ошибках.
Подготовьте план отката: запишите последовательность команд для возврата к исходному состоянию (например, восстановление из backup).

Как сбросить конфигурацию до заводской (если это допустимо)

Если коммутатор достался б/у или требуется чистая установка, выполните полный сброс Внимание: это удалит startup-config и базу VLAN (на части моделей).

Switch# enable
Switch# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]

Switch# delete flash:vlan.dat
Delete filename [vlan.dat]? [confirm]
Delete flash:/vlan.dat? [confirm]
[OK]

Switch# reload
Proceed with reload? [confirm]

Важно: Команда erase startup-config удаляет сохранённую конфигурацию, delete vlan.dat (если файл существует) — базу VLAN. На старых моделях (Catalyst 2950 с IOS 12.x) перед выполнением delete vlan.dat отключите trunk-порты, иначе VLAN могут восстановиться из VTP-синхронизации. После выполнения команд и перезагрузки коммутатор загрузится с пустой конфигурацией.

Как изменить имя коммутатора Cisco (Hostname)

Задание понятного имени устройства упрощает идентификацию в сети и упоминание в документации. Hostname отображается в приглашении CLI и в логах.

Switch> enable
Switch# configure terminal
Switch(config)# hostname SW-ACCESS-01
SW-ACCESS-01(config)#

Проверка:

SW-ACCESS-01# show run | include hostname
hostname SW-ACCESS-01

Имя может содержать буквы, цифры, дефисы (до 63 символов). Избегайте пробелов и спецсимволов. Рекомендуемая схема именования: <тип>-<локация>-<номер> (например, SW-CORE-01, SW-ACCESS-FL2-03).

Настройка безопасности: пароли, доступ и SSH

Незащищённый коммутатор — открытая дверь для несанкционированного доступа. Минимальный hardening включает защиту привилегированного режима, консоли, VTY-линий и включение SSH с отключением Telnet.

Базовые настройки безопасности коммутатора Cisco

Незащищённый enable

Пароль для привилегированного режима

enable secret YourStrongPass

Открытая консоль

Пароль на физическом доступе

line console 0
password ConPass
login

Telnet без шифрования

Отключение Telnet, разрешение только SSH

line vty 0 15
transport input ssh

Удалённый доступ без аутентификации

Локальный пользователь с правами

username admin privilege 15 secret AdminPass123

Доступ с любого IP

Ограничение по ACL

access-list 10 permit 192.168.10.0 0.0.0.255
line vty 0 15
access-class 10 in

Зависшие сессии

Таймаут неактивности

line vty 0 15
exec-timeout 5 0 (5 минут)

Минимальный hardening за 5 шагов (рекомендуемый baseline)

1. Защита привилегированного режима:

Switch(config)# enable secret Str0ngP@ss!2025

2. Создание локального администратора:

Switch(config)# username admin privilege 15 secret Admin!Secure123

3. Защита консоли:

Switch(config)# line console 0
Switch(config-line)# password ConPass!456
Switch(config-line)# login
Switch(config-line)# exec-timeout 5 0
Switch(config-line)# exit

4. Настройка VTY только для SSH:

Switch(config)# line vty 0 15
Switch(config-line)# login local
Switch(config-line)# transport input ssh
Switch(config-line)# exec-timeout 10 0
Switch(config-line)# exit

5. Генерация RSA-ключей и включение SSH v2:

Switch(config)# ip domain-name company.local
Switch(config)# crypto key generate rsa modulus 2048
Switch(config)# ip ssh version 2

Проверка:

Switch# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

Настройка SSH (ключи RSA, домен, версии, VTY)

SSH обеспечивает зашифрованный доступ к коммутатору. Для его включения требуется доменное имя и RSA-ключи.

Пример конфигурации:

Switch(config)# ip domain-name example.local
Switch(config)# crypto key generate rsa modulus 2048
Switch(config)# ip ssh version 2
Switch(config)# ip ssh time-out 60
Switch(config)# ip ssh authentication-retries 3

Попробуйте подключиться с удалённого ПК:

ssh admin@192.168.1.10

Если подключение не проходит — проверьте IP-адрес для удалённого управления на Management VLAN, наличие маршрута от ПК к коммутатору и разрешение SSH в ACL (если настроена).

Настройка интерфейсов и удаленного управления (Management VLAN)

L2-коммутатор не имеет физических портов с поддержкой IP-адреса — для удалённого управления используется виртуальный интерфейс SVI (Switch Virtual Interface), привязанный к VLAN.

Почему нельзя повесить IP на физический порт?
L2-коммутатор работает на канальном уровне (Layer 2), его порты передают Ethernet-кадры без маршрутизации. IP-адрес можно настроить только на логическом интерфейсе — SVI (interface vlan X), который представляет VLAN в логическом виде.

Зачем нужен ip default-gateway?
Команда ip default-gateway указывает коммутатору IP-адрес шлюза для отправки пакетов вне локальной подсети управления (например, для доступа по SSH из другой сети).

Пример конфигурации SVI для управления:

Switch(config)# vlan 11
Switch(config-vlan)# name MANAGEMENT
Switch(config-vlan)# exit

Switch(config)# interface vlan 11
Switch(config-if)# ip address 192.168.10.254 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit

Switch(config)# ip default-gateway 192.168.10.1

Проверка связности:

Команды проверки Management VLAN

show ip interface brief

Vlan11 в статусе up/up с IP 192.168.10.254

ping 192.168.10.1

Успешный ответ от шлюза (5 пакетов, 0% loss)

show run | include default-gateway

ip default-gateway 192.168.10.1

Примечание: В лабораторных средах часто используют interface vlan 1 по умолчанию, но в продакшене рекомендуется выделить отдельный Management VLAN (например, VLAN 11, 99) и отключить VLAN 1 на trunk-портах для безопасности.

Управление портами: включение, описание и базовая диагностика линка

Порты коммутатора по умолчанию включены (no shutdown), но могут быть отключены администратором или из-за ошибок (err-disabled).

Основные команды управления портами коммутатора Cisco

Включить порт

interface gi0/1
no shutdown

Переводит порт в рабочее состояние

Отключить порт

shutdown

Административно отключает интерфейс

Описание порта

description UPLINK-TO-CORE

Помогает идентифицировать назначение

Массовая настройка

interface range gi0/1 - 24
description ACCESS-PORTS

Применяет команду к диапазону портов

Просмотр статуса портов

show interface status

Показывает статус, VLAN, duplex, speed

Просмотр ошибок

show interfaces counters errors

Подсчёт CRC, Runts, Giants

Рекомендация по duplex/speed: По умолчанию Cisco использует auto-negotiation (auto/auto). Ручная настройка в портах скорости и дуплекса допустима только при подключении к устройствам, не поддерживающим авто-согласование. В остальных случаях оставляйте speed auto и duplex auto, чтобы избежать mismatch.

Как сохранить конфигурацию и перезагрузить коммутатор Cisco

Конфигурация Cisco IOS хранится в двух местах:

Running-config — активная конфигурация в оперативной памяти (RAM), применяется сразу при вводе команд.
Startup-config — сохранённая конфигурация в энергонезависимой памяти (NVRAM), загружается после перезагрузки.

Сравнение Running-config и Startup-config

Running-config

RAM (оперативная память)

Сразу при вводе команды

Изменения теряются при перезагрузке

Startup-config

NVRAM (энергонезависимая)

При загрузке устройства

Коммутатор загружает старую конфигурацию

Команды сохранения:

Switch# copy running-config startup-config
Destination filename [startup-config]? [Enter]
Building configuration...
[OK]

Альтернативная команда (устаревшая, но работает):

Switch# write memory

или сокращённо:

Switch# wr

Перезагрузка коммутатора:

Switch# reload
Proceed with reload? [confirm] [Enter]

Важно: Если вы не сохранили running-config в startup-config перед выполнением reload, все изменения будут потеряны. Коммутатор загрузит конфигурацию из NVRAM (startup-config), которая была сохранена ранее.

VLAN и Trunk: базовая L2-коммутация (после настройки управления)

VLAN (Virtual LAN) позволяют логически разделить коммутатор на изолированные сегменты. Access-порты назначаются одной VLAN для подключения конечных устройств, trunk-порты передают трафик нескольких VLAN между коммутаторами.

Создание и именование VLAN

Switch(config)# vlan 10
Switch(config-vlan)# name USERS
Switch(config-vlan)# exit

Switch(config)# vlan 20
Switch(config-vlan)# name SERVERS
Switch(config-vlan)# exit

Проверка:

Switch# show vlan brief

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi0/1, Gi0/2, ..., Gi0/24
10   USERS                            active
20   SERVERS                          active

Настройка access-портов (режим, VLAN, PortFast-подготовка)

Access-порты назначаются одной VLAN для подключения конечных устройств (ПК, принтеры, IP-телефоны).

Switch(config)# interface range gigabitethernet 0/1 - 12
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# description USER-PORTS
Switch(config-if-range)# spanning-tree portfast
Switch(config-if-range)# exit

Примечание: Команда spanning-tree portfast ускоряет переход порта в Forwarding (минуя Listening/Learning), но её НЕЛЬЗЯ включать на uplink/trunk-портах — это может вызвать петли L2.

Настройка trunk-портов (802.1Q, allowed VLAN, native VLAN)

Trunk-порт передаёт трафик нескольких VLAN, тегируя кадры по стандарту IEEE 802.1Q.

Пример:

Switch1(config)# interface gigabitethernet 0/24
Switch1(config-if)# description TRUNK-TO-SW2
Switch1(config-if)# switchport mode trunk
Switch1(config-if)# switchport trunk allowed vlan 10,20
Switch1(config-if)# switchport trunk native vlan 99
Switch1(config-if)# exit

Проверка:

Switch# show interfaces trunk

Port        Mode             Encapsulation  Status        Native vlan
Gi0/24      on               802.1q         trunking      99

Port        Vlans allowed on trunk
Gi0/24      10,20

Native VLAN mismatch: Если на SW1 native VLAN = 99, а на SW2 native VLAN = 1, CDP/LLDP выдаст предупреждение %CDP-4-NATIVE_VLAN_MISMATCH. Убедитесь, что native VLAN совпадает на обоих концах trunk.

STP (Spanning Tree): защита от петель и best practices для access-уровня

Access-порты назначаются одной VLAN для подключения конечных устройств (ПК, принтеры, IP-телефоны).

Выбор режима STP: PVST+ vs Rapid-PVST+

Сравнение режимов Spanning Tree

STP (IEEE 802.1D)

30–50 сек

Устаревший; не использовать

RSTP (Rapid-PVST+, IEEE 802.1w)

6–10 сек

Рекомендуется для access-уровня

Включение Rapid-PVST+:

Switch(config)# spanning-tree mode rapid-pvst

PortFast и BPDU Guard для конечных устройств

PortFast ускоряет переход порта в Forwarding (сокращает время с ~30 сек до <1 сек). BPDU Guard защищает от случайного подключения коммутатора к access-порту, переводя порт в err-disabled при получении BPDU.

Настройка на access-портах:

Switch(config)# interface range gigabitethernet 0/1 - 12
Switch(config-if-range)# spanning-tree portfast
Switch(config-if-range)# spanning-tree bpduguard enable
Switch(config-if-range)# exit

Предупреждение: НЕ включайте PortFast и BPDU Guard на uplink/trunk-портах. Используйте PortFast только на портах, подключённых к конечным устройствам (ПК, принтеры, IP-телефоны).

Защита портов на access-коммутаторе: Port Security

Port Security ограничивает количество MAC-адресов на порту, защищая от несанкционированного подключения устройств.

Режимы нарушения Port Security

shutdown (по умолчанию)

Отключает порт в err-disabled, SNMP/syslog

Максимальная безопасность; требует ручного восстановления

restrict

Дропает пакеты с неизвестных MAC, ведёт счётчик, SNMP/syslog

Меньший риск простоя; логируются нарушения

Пример конфигурации с sticky MAC:

Switch(config)# interface gigabitethernet 0/5
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security violation restrict
Switch(config-if)# exit

Наблюдаемость и журналирование: NTP и Syslog

Точная синхронизация времени необходима для корреляции логов с разных устройств и восстановления хронологии инцидента.

Пример конфигурации NTP:

Switch(config)# ntp server 192.0.2.1 prefer
Switch(config)# clock timezone MSK 3
Switch(config)# service timestamps log datetime msec localtime show-timezone

Настройка Syslog:

Switch(config)# logging host 192.0.2.10
Switch(config)# logging trap informational
Switch(config)# logging source-interface vlan 1

Обслуживание: резервное копирование конфигурации

Бэкап на TFTP-сервер:

Switch# copy running-config tftp:
Address or name of remote host []? 192.0.2.50
Destination filename [switch-confg]? SW-ACCESS-01_2025-12-15.cfg
!!
3456 bytes copied in 1.234 secs (2801 bytes/sec)

Храните бэкапы в версионном хранилище (Git, SharePoint, файловый сервер с версионностью) и регулярно проверяйте возможность восстановления.

Troubleshooting: быстрые команды проверки состояния

Команды диагностики состояния коммутатора

Порт не forwarding

show interfaces status

Status err-disabled, notconnect, disabled

Высокие ошибки на интерфейсе

show interfaces counters errors

CRC, Runts, Giants, Collisions

MAC-адрес не учится

show mac address-table

Проверить VLAN, порт, динамические записи

VLAN не работает на trunk

show interfaces trunk

Allowed VLAN, native VLAN mismatch

Соседние устройства

show cdp neighbors detail

Device ID, IP, модель, порт

Включение LLDP:

Switch(config)# lldp run

Просмотр соседей:

Switch# show lldp neighbors
Device ID           Local Intf     Hold-time  Capability      Port ID
SW-CORE-01          Gi0/24         120        B,R             Gi1/0/1

Чек-лист: частые ошибки при настройке коммутатора Cisco (и как их избежать)

Безопасность

Telnet не отключён → оставляет незашифрованный канал. Исправление: line vty 0 15; transport input ssh.
Слабые/отсутствующие пароли → риск несанкционированного доступа. Исправление: enable secret, username admin secret, длина ≥12 символов.
PortFast/BPDU Guard на uplink → переводит транк в err-disabled при получении BPDU. Исправление: убрать spanning-tree portfast с trunk-портов.

VLAN и trunk

Native VLAN mismatch → блокирует untagged трафик (CDP, STP). Исправление: проверить show interfaces trunk, синхронизировать native VLAN на обоих концах.
Allowed VLAN не настроены → пропускает все VLAN (1–4094), риск утечки. Исправление: switchport trunk allowed vlan 10,20.

Физический уровень

Duplex/speed mismatch → коллизии, CRC-ошибки. Исправление: speed auto; duplex auto на обеих сторонах.
MTU mismatch → фрагментация/дропы пакетов. Исправление: синхронизировать MTU на линках.

Конфигурация

Не сохранена конфигурация → изменения теряются после reload. Исправление: copy running-config startup-config после каждого изменения.
Неверный default-gateway → нет доступа к коммутатору из других подсетей. Исправление: проверить ip default-gateway и маршрут от ПК.

Шпаргалка по основным командам Cisco Switch (Cheat Sheet)

Доступ и режимы

Команды доступа и навигации по режимам

enable

Переход в Privileged EXEC

configure terminal

Переход в Global Configuration

exit

Выход на уровень выше

end

Выход в Privileged EXEC из любого режима

Управление (SVI/Gateway)

Команды управления интерфейсами и шлюзом

interface vlan 1

Вход в конфигурацию SVI (Management VLAN)

ip address 192.168.1.10 255.255.255.0

Задать IP-адрес на SVI

no shutdown

Включить интерфейс

ip default-gateway 192.168.1.1

Шлюз по умолчанию для L2-коммутатора

show ip interface brief

Просмотр IP-адресов интерфейсов

VLAN и trunk

Команды настройки VLAN и trunk-портов

vlan 10

Создать VLAN 10

name USERS

Назначить имя VLAN

switchport mode access

Порт в режим access

switchport access vlan 10

Назначить порт в VLAN 10

switchport mode trunk

Порт в режим trunk

switchport trunk allowed vlan 10,20

Разрешить VLAN на trunk

show vlan brief

Список VLAN и портов

show interfaces trunk

Статус trunk-портов

STP

Команды Spanning Tree Protocol

spanning-tree mode rapid-pvst

Включить Rapid-PVST+

spanning-tree portfast

Ускорить переход порта в Forwarding

spanning-tree bpduguard enable

Защита от подключения коммутатора к access-порту

Сохранение и перезагрузка

Команды сохранения конфигурации и перезагрузки

copy running-config startup-config

Сохранить конфигурацию в NVRAM

write memory

Альтернативная команда сохранения

reload

Перезагрузить коммутатор

show version

Версия IOS, uptime, модель

Особенности настройки моделей Cisco Catalyst 2960, 2950 и других серий

Сравнение моделей коммутаторов Cisco Catalyst

Catalyst 2950

Базовый PoE (зависит от SKU)

Нет

IOS 12.x; файл vlan.dat в flash; при сбросе требуется delete vlan.dat

До 16 MB
Fast Ethernet (10/100)

Catalyst 2960

PoE+ (30W) на некоторых SKU

Нет

IOS 15.x; команды совпадают с 2950

До 64 MB
Gigabit Ethernet (некоторые модели Fast Ethernet)

Catalyst 2960-X/XR

PoE+ (30W), redundant PSU на XR

Нет

IOS 15.x; команда MTU per-interface system mtu <1500-9198>

До 256 MB
Gigabit Ethernet

Catalyst 9200

PoE+ (60W UPOE), dual PSU на всех SKU

L3 (IP Routing при лицензии Network Advantage)

IOS XE 17.x; глобальная команда MTU system mtu <1500-9198>; DNA-функции

4 GB
Gigabit/Multigigabit Ethernet

Catalyst 3560/3750

PoE+ (зависит от SKU)

Да (L3-коммутатор)

IOS 15.x; поддержка ip routing

До 128 MB
Gigabit Ethernet

Как понять свою модель:

Switch# show version
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE11, RELEASE SOFTWARE (fc3)
...
Model number                   : WS-C2960-24TT-L
...

Также смотрите маркировку на корпусе (например, WS-C2960X-48FPS-L — 2960-X, 48 портов, PoE+).

Базовая настройка коммутатора Cisco с нуля: пошаговое руководство

Оглавление

Быстрый старт: минимальный набор команд для «поднять управление за 10 минут»

Как подключиться к консоли коммутатора Cisco: физическое соединение

Основные режимы командной строки (CLI) и навигация

Базовая подготовка перед настройкой (рекомендуется, если коммутатор не новый)

Как изменить имя коммутатора Cisco (Hostname)

Настройка безопасности: пароли, доступ и SSH

Настройка интерфейсов и удаленного управления (Management VLAN)

Управление портами: включение, описание и базовая диагностика линка

Как сохранить конфигурацию и перезагрузить коммутатор Cisco

VLAN и Trunk: базовая L2-коммутация (после настройки управления)

STP (Spanning Tree): защита от петель и best practices для access-уровня

Защита портов на access-коммутаторе: Port Security

Наблюдаемость и журналирование: NTP и Syslog

Обслуживание: резервное копирование конфигурации

Troubleshooting: быстрые команды проверки состояния

Чек-лист: частые ошибки при настройке коммутатора Cisco (и как их избежать)

Шпаргалка по основным командам Cisco Switch (Cheat Sheet)

Особенности настройки моделей Cisco Catalyst 2960, 2950 и других серий

FAQ по IP-адресации на Cisco-коммутаторах (короткие ответы)