Можно ли назначить несколько IP-адресов на один VLAN-интерфейс?

На многих платформах можно добавить secondary IP на SVI. На практике это используют редко: чаще делают отдельные SVI/VRF, чтобы не усложнять адресацию и маршрутизацию.

Что делать, если забыл IP-адрес коммутатора?

Подключитесь по консоли и посмотрите IP через show ip interface brief или по секции SVI в running-config. Также IP управления иногда можно увидеть с соседних устройств через CDP/LLDP (neighbors detail).

В чем разница между interface vlan 1 и физическим интерфейсом?

interface vlan (SVI) — виртуальный L3-интерфейс VLAN, на него обычно назначают IP для управления/маршрутизации. Физический порт по умолчанию L2 switchport; IP на него обычно не назначают (кроме L3-режима no switchport на некоторых моделях).

Tilda Publishing

Привет, любопытный друг. Да, это Tilda. Потому что мы хотим быстро внедрять и управлять решением, а не ждать
в очереди разработчика. Контроль, предсказуемость и отказоустойчивость — наша главная идея.

Для запросов и ТЗ

с 9:30 до 18:00

get@work-system.ru
Для запросов и ТЗ

+7 495 108-54-54
с 9:30 до 18:00

Заказать звонок

Получить КП

[{"lid":"1631794322839","ls":"10","loff":"","li_parent_id":"","li_type":"em","li_ph":" ","li_title":"\u0423\u043a\u0430\u0436\u0438\u0442\u0435 \u0432\u0430\u0448\u0443 \u044d\u043b. \u043f\u043e\u0447\u0442\u0443","li_name":"email","li_req":"y","li_nm":"email"},{"lid":"1631794322840","ls":"20","loff":"","li_parent_id":"","li_type":"ph","li_ph":" +7","li_title":"\u0412\u0430\u0448 \u043d\u043e\u043c\u0435\u0440 \u0442\u0435\u043b\u0435\u0444\u043e\u043d\u0430","li_name":"phone","li_masktype":"a","li_maskcountry":"RU","li_req":"y","li_nm":"phone"},{"lid":"1631794322841","ls":"30","loff":"","li_parent_id":"","li_type":"nm","li_ph":" ","li_title":"\u041a\u0430\u043a \u0432\u0430\u0441 \u0437\u043e\u0432\u0443\u0442?","li_name":"name","li_nm":"name"},{"lid":"1631794322843","ls":"40","loff":"","li_parent_id":"","li_type":"sb","li_title":"\u0412 \u0447\u0435\u043c \u043d\u0443\u0436\u043d\u0430 \u043f\u043e\u043c\u043e\u0449\u044c?","li_variants":"\u041a\u043e\u043d\u0441\u0443\u043b\u044c\u0442\u0430\u0446\u0438\u044f \u0441 \u043f\u043e\u0434\u0431\u043e\u0440\u043e\u043c \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u044f\n\u041f\u043e\u043c\u043e\u0449\u044c \u0432 \u043d\u0430\u043f\u0438\u0441\u0430\u043d\u0438\u0438 \u0422\u0417 \u0432 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0438\u0438 \u0441 44-\u0424\u0417 \u0438 223-\u0424\u0417\n\u0417\u0430\u043a\u0443\u043f\u043a\u0430 \u0440\u043e\u0441\u0441\u0438\u0439\u0441\u043a\u043e\u0433\u043e \u043e\u0431\u043e\u0440\u0443\u0434\u043e\u0432\u0430\u043d\u0438\u044f\n\u0417\u0430\u043a\u0443\u043f\u043a\u0430 \u0438\u043c\u043f\u043e\u0440\u0442\u043d\u044b\u0445 \u0440\u0435\u0448\u0435\u043d\u0438\u0439\n\u041f\u0440\u0438\u0433\u043b\u0430\u0448\u0435\u043d\u0438\u0435 \u0432 \u0442\u0435\u043d\u0434\u0435\u0440\/\u043a\u043e\u043d\u043a\u0443\u0440\u0441","li_name":"type","li_nm":"type"},{"lid":"1631794322844","ls":"50","loff":"","li_parent_id":"","li_type":"uw","li_uwkey":"dropbox-975ea70dd556b2b055c263","li_title":"\u0424\u0430\u0439\u043b\u044b","li_name":"file","li_multiupl":"y","li_nm":"file"},{"lid":"1631794322845","ls":"60","loff":"","li_parent_id":"","li_type":"ta","li_ph":"\u0423\u043a\u0430\u0436\u0438\u0442\u0435 \u0441\u0440\u043e\u043a\u0438 \u0440\u0435\u0430\u043b\u0438\u0437\u0430\u0446\u0438\u0438 \u043f\u0440\u043e\u0435\u043a\u0442\u0430, \u0434\u043e\u0431\u0430\u0432\u043e\u0447\u043d\u044b\u0439 \u043d\u043e\u043c\u0435\u0440 \u0442\u0435\u043b\u0435\u0444\u043e\u043d\u0430 \u0438 \u043b\u044e\u0431\u044b\u0435 \u0434\u0440\u0443\u0433\u0438\u0435 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0438","li_rows":"4","li_name":"comment","li_nm":"comment"},{"lid":"1761695496708","ls":"70","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u0414\u0430\u044e \u0441\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043e\u0431\u0440\u0430\u0431\u043e\u0442\u043a\u0443 \u043c\u043e\u0438\u0445 <a href=\"\/privacy\" style=\"color: rgb(0, 0, 0); border-bottom: 1px solid rgb(0, 0, 0); box-shadow: none; text-decoration: none;\">\u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445<\/a>","li_name":"checkbox","li_req":"y","li_nm":"checkbox"},{"lid":"1761695518561","ls":"80","loff":"","li_parent_id":"","li_type":"cb","li_label":"\u0414\u0430\u044e \u0441\u043e\u0433\u043b\u0430\u0441\u0438\u0435 \u043d\u0430 \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 <a href=\"\/mailing\" style=\"color: rgb(0, 0, 0); border-bottom: 1px solid rgb(0, 0, 0); box-shadow: none; text-decoration: none;\">E-mail \u0440\u0430\u0441\u0441\u044b\u043b\u043e\u043a<\/a>","li_name":"mailing","li_req":"y","li_nm":"mailing"}]

Подберём типовое или произведем на заказ серверное оборудование, предоставим расчёт и поможем интегрировать в систему.

Заполните форму запроса слева или отправьте описание вашей задачи на почту get@work-system.ru

При отправке письма на почту укажите номер телефона вашего специалиста для обсуждения аналогов оборудования в случае необходимости

Как настроить IP-адрес и шлюз на коммутаторе Cisco (L2/L3): команды, проверка, поиск IP

Name: WORK SYSTEM
Address: Варшавское шоссе, д. 1, стр. 6, офис А107, БЦ W Plaza-2, Москва, Москва, 117105, RU
Telephone: +7 495 108-54-54

Обновлено: Декабрь 2025

Настройка IP-адреса на коммутаторе Cisco — базовая задача, от которой зависит удалённое управление устройством и работа сетевых сервисов. В этом руководстве разберём пошаговые команды для назначения IP на SVI (Management VLAN), настройку default gateway, проверку конфигурации и поиск IP подключённых устройств. Материал подходит новичкам и инженерам, работающим через CLI (консоль/SSH). Готовые команды — в каждом разделе.

Быстрый старт: минимальный набор команд (копируй и применяй)

Для тех, кто пришёл «сделать прямо сейчас» — два готовых блока команд: L2-коммутатор (management через SVI) и L3-коммутатор (с маршрутизацией). Скопируйте нужный блок, замените IP/маску/шлюз на свои и выполните в консоли.

L2-коммутатор (management через SVI)

enable
configure terminal
interface vlan 10
 description MANAGEMENT
 ip address 192.168.10.2 255.255.255.0
 no shutdown
exit
ip default-gateway 192.168.10.1
end
write memory
show ip interface brief

Когда применять: Если коммутатор работает только на L2 (коммутация кадров внутри VLAN), а IP нужен только для управления (SSH/SNMP/мониторинг).

L3-коммутатор (ip routing включён)

enable
configure terminal
interface vlan 10
 description MANAGEMENT
 ip address 192.168.10.2 255.255.255.0
 no shutdown
exit
ip routing
ip route 0.0.0.0 0.0.0.0 192.168.10.1
end
write memory
show ip route | include 0.0.0.0

Когда применять: Если коммутатор выполняет межвлановую маршрутизацию (L3-функции) или нужен default route для выхода за пределы локальной подсети.

Как настроить IP-адрес на коммутаторе Cisco: пошаговая инструкция

На L2-коммутаторе IP назначается на виртуальный интерфейс VLAN (SVI), а не на физический порт. Стандартный сценарий: создать или выбрать VLAN(обычно Vlan1 или отдельный Management VLAN), назначить IP и маску командой ip address, включить интерфейс через no shutdown, указать шлюз командой ip default-gateway.

Чаще всего используют Vlan1, но лучше выделить отдельный Management VLAN для безопасности и изоляции трафика управления от пользовательских данных.

Подготовка к настройке через CLI: консоль/SSH, режимы IOS, что проверить заранее

Для доступа к CLI потребуется консольный кабель (RJ-45 или USB-to-serial) и терминальная программа (PuTTY, SecureCRT). Параметры по умолчанию: 9600 baud, 8 бит данных, без чётности, 1 стоп-бит, без управления потоком (8N1).

Режимы Cisco IOS:

User EXEC (Switch>) — только базовые show-команды
Privileged EXEC (Switch#) — все show и debug
Global Configuration (Switch(config)#) — настройки устройства
Interface Configuration (Switch(config-if)#) — настройки интерфейса

Перед настройкой проверьте:

Модель коммутатора и версию IOS (show version)
Текущую конфигурацию (show running-config)
Доступность питания и активных линков (show interface status)

Параметры консольного подключения Cisco по умолчанию

Speed

9600 baud

Стандарт для Cisco

Data bits

8N1 — типовая конфигурация

Parity

None

Stop bits

Flow control

None

Отключено по умолчанию

Не выполняйте настройки в production-среде без окна работ. Сохраните текущий running-config перед изменениями. При удалённой сессии обеспечьте out-of-band доступ на случай потери связи.

Если вам требуется более широкая подготовка коммутатора, см. статью базовая настройка коммутатора Cisco

Шаг 1 — войдите в привилегированный режим и режим конфигурации

Начните с включения привилегированного режима (Privileged EXEC) командой enable, затем перейдите в глобальную конфигурацию через configure terminal. Без enable доступ к конфигурации закрыт.

Switch> enable
Switch# configure terminal
Switch(config)#

Шаг 2 — выберите интерфейс VLAN (SVI) для адреса управления

Войдите в настройку SVI командой interface vlan <ID>. Для старта подходит interface vlan 1, но безопаснее создать отдельный Management VLAN (например, Vlan10). VLAN должен существовать в базе и быть активным (хотя бы один порт в этом VLAN или trunk, разрешающий VLAN).

Switch(config)# interface vlan 1
Switch(config-if)# description Management SVI

Шаг 3 — задайте IP-адрес и маску подсети на интерфейсе VLAN

Назначьте IP и маску командой ip address <IP> <MASK>. Пример: ip address 192.168.10.2 255.255.255.0 присваивает адрес 192.168.10.2 с маской /24.

Switch(config-if)# ip address 192.168.10.2 255.255.255.0

Пример адресации для Management VLAN

192.168.10.2

Адрес управления коммутатора

Маска

255.255.255.0

Определяет подсеть /24

Default Gateway

192.168.10.1

Задаётся отдельной командой ip default-gateway

VLAN

1 (или 10)

Должен существовать и иметь активные порты

Шаг 4 — включите SVI (no shutdown) и выйдите из интерфейса

Активируйте интерфейс командой no shutdown. SVI перейдёт в состояние up/up только если в этом VLAN есть хотя бы один активный порт (access или trunk, разрешающий VLAN) и нет блокировки STP.

Switch(config-if)# no shutdown
Switch(config-if)# end
Switch#

Важно:
SVI может остаться в down/down, если VLAN не создан, все порты в VLAN выключены или trunk не пропускает этот VLAN. Проверьте командами show vlan brief и show interfaces trunk.

Минимальный набор команд для создания VLAN и привязки порта:

Switch(config)# vlan 10
Switch(config-vlan)# name MANAGEMENT
Switch(config)# interface gi1/0/10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# no shutdown

Если VLAN ещё не создан или нет активных портов, SVI останется в состоянии down/down. Это самая частая причина недоступности management IP для новичков.

Настройка Default Gateway (шлюза по умолчанию) на коммутаторе Cisco

Команда ip default-gateway <IP> указывает адрес маршрутизатора, через который коммутатор отправляет пакеты управления (SSH/Telnet/SNMP) в другие подсети. Без шлюза удалённый доступ из других сетей работать не будет — ответы не дойдут обратно до администратора.

На L2-коммутаторах эта команда применяется глобально. На L3-коммутаторах с включённым ip routing используется ip route 0.0.0.0 0.0.0.0 <gateway> вместо ip default-gateway.

Switch(config)# ip default-gateway 192.168.10.1

Когда ip default-gateway, когда ip route?

L2-коммутатор (без ip routing)

ip default-gateway 192.168.10.1

Шлюз для пакетов управления, не затрагивает транзитный трафик

L3-коммутатор (с ip routing)

ip route 0.0.0.0 0.0.0.0
192.168.10.1

Default route в таблице маршрутизации для всех пакетов, включая управление

Как посмотреть и узнать текущий IP-адрес коммутатора Cisco

Используйте команды show ip interface brief, show running-config | section interface Vlan и show running-config | include ip default-gateway. Первая показывает список интерфейсов с IP и статусом (up/up), вторая — детальную конфигурацию SVI, третья — текущий шлюз.

Switch# show ip interface brief
Switch# show running-config | section interface Vlan
Switch# show running-config | include ip default-gateway

В выводе show ip interface brief ищите строку с VlanX, колонки IP-Address и Status/Protocol (должно быть up/up). Если интерфейс down/down — проверьте наличие активных портов в VLAN.

Формат вывода может немного отличаться между IOS classic и IOS XE, но команды и смысл одинаковы.

Таблица команд проверки

show ip interface brief

Список интерфейсов с IP и статусом

Быстрая проверка up/up

show running-config | section interface Vlan

Детальная конфигурация SVI

Детали IP/маски/описания

show running-config | include ip default-gateway

Адрес шлюза по умолчанию

Убедиться в правильности шлюза

Зачем нужен IP-адрес коммутатору Cisco: основы управления

IP-адрес на L2-коммутаторе нужен для удалённого управления через SSH, Telnet, SNMP, HTTP(S) — не для маршрутизации пакетов. IP назначается на SVI (Management VLAN), физические порты остаются в режиме switchport и работают на L2.

Это позволяет администратору настраивать и мониторить коммутатор из любой точки сети (при наличии маршрута и default gateway).

Дублирование списком:

L2: IP на SVI для SSH/SNMP/управления
L2: физические порты — switchport (L2)
L3: IP на SVI для маршрутизации между VLAN
L3: routed ports (no switchport) для L3-связей
L3: управление также через SVI

Варианты получения IP на SVI: статический адрес vs DHCP-клиент

Когда уместен DHCP для адреса управления

DHCP подходит для лабораторий и временных стендов, где адрес может меняться. В production-сетях это риск потери доступа при смене IP. Закрепляйте адрес через DHCP reservation на сервере (по MAC SVI) или используйте статику.

Статика vs DHCP для management

Стабильность

Постоянный адрес

Может измениться при обновлении lease

Поддержка

Проще для мониторинга и документации

Требует координации с DHCP-сервером

Риски

Ручные ошибки при настройке

Потеря доступа при сбое DHCP

Когда выбирать

Production, критичные устройства

Лаборатории, временные развёртывания

Команды: включить DHCP на интерфейсе VLAN (SVI)

Switch(config)# interface vlan 10
Switch(config-if)# ip address dhcp
Switch(config-if)# no shutdown

Проверить выданный адрес можно через show ip interface brief. На некоторых платформах доступна команда show dhcp lease (зависит от IOS).

Коммутатор не хранит полученные настройки IP-адресации по DHCP в файле running-config — они видны только через show ip interface brief или show dhcp lease. Это может сбить с толку новичков при попытке "увидеть IP в конфиге".

Можно ли задать IP на физический порт коммутатора Cisco?

На L2-коммутаторе IP назначается только на SVI (interface VlanX), физические порты работают в режиме switchport (L2). На L3-коммутаторе можно перевести порт в режим routed port командой no switchport и назначить IP напрямую, но это меняет роль порта с L2 на L3.

Где можно назначить IP

L2 switch

Только SVI

Порты — switchport (L2)

Access-коммутаторы

L3 switch (SVI)

SVI + routed ports

SVI для inter-VLAN, routed для L3-связей

Distribution, core

L3 switch (routed)

Физический порт (no switchport)

Порт работает как роутерный

Связь между L3-устройствами

Пример для L3-коммутатора: превращаем порт в routed port и назначаем IP

Switch(config)# interface gigabitEthernet1/0/1
Switch(config-if)# no switchport
Switch(config-if)# ip address 10.0.0.2 255.255.255.252
Switch(config-if)# no shutdown

Не все модели и лицензии поддерживают full L3. Проверяйте datasheet и feature set перед настройкой.

Проверка доступности и сохранение конфигурации (чтобы не потерять IP после перезагрузки)

Быстрая проверка: статус интерфейса и ping

Команда show ip interface brief покажет статус SVI (up/up), ping <gateway> проверит связь с маршрутизатором, ping <remote-host> — доступность удалённых хостов (если есть маршрутизация).

Switch# show ip interface brief
Switch# ping 192.168.10.1

Если ping не идёт:

VLAN active? (show vlan brief)
SVI up/up? (show ip interface brief)
Gateway верный? (show run | include ip default-gateway)
ACL не блокирует? (show ip access-lists)
Физика/транк в порядке? (show interfaces trunk, show interface status)

Сохранение настроек в NVRAM (write memory / copy run start)

Команды write memory и copy running-config startup-config выполняют одну функцию — сохраняют активную конфигурацию (running-config) в энергонезависимую память (startup-config). Без сохранения изменения пропадут после перезагрузки.

Switch# write memory
! или
Switch# copy running-config startup-config

Сохранение конфигурации Cisco IOS

copy running-config startup-config

Сохранить running в startup

После любых изменений

write memory (wr mem)

То же самое (короткая форма)

Быстрая фиксация

show running-config

Показать текущую (несохранённую) конфиг

Для проверки перед сохранением

show startup-config

Показать конфигурацию в NVRAM

Убедиться, что сохранено

Фиксируйте изменения в тикете или ChangeLog. Храните бэкап конфигурации на TFTP/SCP/Git для восстановления при сбое.

Как найти IP-адрес устройства, подключенного к порту Cisco (MAC → ARP → IP)

Шаг 1 — найдите MAC-адрес на порту (CAM/MAC table)

Команда show mac address-table interface <type> <num> покажет MAC-адреса, изученные коммутатором на указанном порту, и VLAN. Далее ищите соответствие IP через ARP-таблицу.

Switch# show mac address-table interface gi1/0/10

Шаг 2 — сопоставьте MAC и IP через ARP-таблицу

L2-коммутатор может иметь ARP-записи только для того VLAN/интерфейса, где у него есть IP (management SVI) и только для узлов, с которыми он реально общался (например, пинговал шлюз). Поэтому для поиска "любой машины за портом" чаще надёжнее смотреть ARP на шлюзе (L3-SVI/роутере/фаерволе).

Как "создать" ARP-запись: выполните ping <IP_хоста> или ping <gateway>, затем show ip arp | include <MAC/IP>.

Switch# show ip arp
Switch# show ip arp | include 0011.2233.4455

На L3-устройстве (роутер/ядро сети):

Router# show ip arp | include 192.168.10.100
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.10.100   0          0011.2233.4455  ARPA   Vlan10

ARP-таблица доступна?

Частично (только для своего IP)

Да (show ip arp)

Да (show arp)

Рекомендация

Смотреть на шлюзе

Локальный поиск

MAC может быть от телефона/VM/агрегации. При trunk может видеть downstream-коммутатор. Учитывайте MAC-flap и port-security.

Полная процедура поиска IP за портом:

На коммутаторе: show mac address-table interface gi1/0/10 → получить MAC
На L3-устройстве (шлюз/ядро): show ip arp | include <MAC> → получить IP
Если ARP пустая: выполнить ping <предполагаемый_IP> для создания записи, затем повторить шаг 2

Как узнать IP соседнего коммутатора (CDP/LLDP)

Протоколы CDP (Cisco Discovery Protocol) и LLDP (Link Layer Discovery Protocol) передают информацию о соседних устройствах, включая Management IP, модель, порт подключения. Команды: show cdp neighbors detail и show lldp neighbors detail.

Switch# show cdp neighbors detail
! опционально
Switch# show lldp neighbors detail

CDP и LLDP передают Management Address TLV с IP управления (если настроено). Если CDP/LLDP отключены или не передают management address, используйте MAC на uplink и ARP на L3, или обратитесь к документации/инвентаризации.

Отличия:

CDP: проприетарный протокол Cisco
LLDP: стандарт IEEE 802.1AB, поддерживается разными вендорами
Оба передают Management Address TLV с IP управления (если настроено)

Удалённое управление: включаем SSH (и почему Telnet лучше выключить)

Минимальная безопасная настройка SSH (пример)

Для SSH требуется: hostname, domain-name, локальный пользователь, RSA-ключи (модуль 2048), настройка VTY (login local, transport input ssh). После этого можно подключаться по SSH вместо небезопасного Telnet.

Switch(config)# hostname SW1
Switch(config)# ip domain-name example.local
Switch(config)# username admin privilege 15 secret STRONG_SECRET
Switch(config)# crypto key generate rsa modulus 2048
Switch(config)# line vty 0 4
Switch(config-line)# login local
Switch(config-line)# transport input ssh
Switch(config-line)# ip ssh version 2

SSH готов, если:

Есть IP на SVI
Есть default-gateway (для удалённых подсетей)
VTY настроены (login local)
RSA-ключи созданы

Минимальная проверка:

show ip ssh — убедиться, что SSH включён и версия 2
show line vty 0 4 — проверить transport input ssh
С удалённого ПК: ssh admin@192.168.10.2 — подключиться

Рекомендации:

Используйте SSHv2 (ip ssh version 2)
Отключите Telnet (transport input ssh)
Ограничьте доступ ACL на VTY
Используйте отдельный management VLAN/VRF (если доступно)
Внедрите централизованный AAA (TACACS+/RADIUS) для аудита и управления учётными записями

Почему Telnet небезопасен и что делать, если "нужно срочно"

Telnet передаёт пароли и команды открытым текстом — любой сниффер перехватит учётные данные. Если нужен срочный доступ — ограничьте Telnet ACL только из management-сети и как можно быстрее перейдите на SSH.

Сравнение Telnet и SSH

Шифрование

Нет (открытый текст)

Да (алгоритмы AES/3DES/RSA)

Аудит

Ограниченный

Полный (с AAA)

Требования

Минимальные

Hostname, domain-name, ключи

Риски

Перехват паролей, MITM

Уязвимости реализации (SSHv1 устарел)

Минимальная защита Telnet "если очень нужно":

Switch(config)# ip access-list standard MGMT_ONLY
Switch(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Switch(config-std-nacl)# deny any log
Switch(config)# line vty 0 4
Switch(config-line)# access-class MGMT_ONLY in
Switch(config-line)# transport input telnet ssh

Это ограничит Telnet только из management-подсети, но не защитит от сниффинга внутри подсети.

Troubleshooting: частые ошибки при настройке IP на Cisco switch и как исправить

interface VlanX down/down или administratively down

Статус down/down означает отсутствие активных портов в VLAN или блокировку STP. Administratively down — интерфейс выключен командой shutdown. Проверьте: no shutdown на SVI, наличие портов в VLAN, trunk allowed VLAN, состояние STP.

Switch# show interface vlan 10
Switch# show vlan brief
Switch# show interfaces trunk
Switch# show spanning-tree vlan 10

down/down

Нет активных портов в VLAN

show vlan brief

Назначить порт на VLAN

down/down

Trunk не пропускает VLAN

show interfaces trunk

switchport trunk allowed vlan add

administratively down

Команда shutdown

show interface vlan X

no shutdown

down/down

STP blocking

show spanning-tree vlan X

Проверить топологию STP

Пример фикса:

Switch(config)# interface gi1/0/1
Switch(config-if)# switchport trunk allowed vlan add 10
Switch(config-if)# no shutdown

Неправильная маска/шлюз: локально пингуется, удалённо — нет

Если ping работает внутри подсети, но не из других сетей — проблема в маске, ip default-gateway или обратной маршрутизации на роутере. Проверьте маску подсети, правильность адреса шлюза и наличие маршрута обратно на роутере.

Проверочный чек-лист:

На коммутаторе:

show ip interface brief → IP/маска корректны?
show run | include ip default-gateway → шлюз указан?
ping <gateway> → локальная связь есть?

На шлюзе (роутере):

show ip route → есть ли маршрут обратно в подсеть коммутатора?
Если нет — добавить статический маршрут или настроить dynamic routing

На удалённом ПК:

tracert <IP_коммутатора> → где обрывается?

Конфликт IP-адресов и ARP-проблемы

Признаки: флап интерфейса, прерывистый доступ, дублирующиеся ARP-записи. Проверьте ARP-таблицу, логи, DHCP snooping binding (если включено). Решение: сменить IP, использовать DHCP reservation, включить Dynamic ARP Inspection (DAI).

Switch# show ip arp
Switch# show logging
Switch# show ip dhcp snooping binding

Признаки конфликта в логах:

%IP-4-DUPADDR: Duplicate address 192.168.10.2 on Vlan10, sourced by 0011.2233.4455

Быстрый фикс:

Сменить IP на коммутаторе или конфликтующем устройстве
Включить DHCP snooping и DAI для защиты от ARP spoofing

Native VLAN mismatch / trunk не пропускает management VLAN

Симптомы: SVI down, нет доступа к коммутатору. Проверьте соответствие native VLAN на обоих концах trunk (show interfaces trunk), разрешён ли management VLAN в allowed list, создан ли VLAN в базе.

Native VLAN mismatch

show interfaces trunk

Согласовать native VLAN на обоих концах

VLAN not allowed

show interfaces trunk

switchport trunk allowed vlan add <ID>

VLAN not created

show vlan brief

vlan <ID>; name <name>

Пример диагностики:

Switch# show interfaces trunk

Port        Mode         Encapsulation  Status        Native vlan
Gi1/0/1     on           802.1q         trunking      1

Port        Vlans allowed on trunk
Gi1/0/1     1-4094

Port        Vlans allowed and active in management domain
Gi1/0/1     1,10,20

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/1     1,10,20

Если management VLAN 10 нет в "allowed and active" — добавить командой switchport trunk allowed vlan add 10.

Чек-лист безопасности для IP-интерфейса управления (Management IP)

Ограничьте доступ к VTY по IP (ACL)

Создайте стандартный ACL, разрешающий доступ только из management-подсети, и примените его на VTY-линии командой access-class. Это блокирует SSH/Telnet с неавторизованных адресов.

Switch(config)# ip access-list standard MGMT_ONLY
Switch(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Switch(config-std-nacl)# deny any log
Switch(config)# line vty 0 4
Switch(config-line)# access-class MGMT_ONLY in

Минимальные меры защиты management-доступа

SSH на VTY

line vty 0 4; access-class

Ограничить IP источника

SNMP

snmp-server community ... <acl>

Контроль доступа к SNMP

HTTP(S)

ip http access-class

Если включен веб-интерфейс

Management plane должна быть отделена от user/data plane. Используйте отдельный management VLAN, VRF (если доступно), централизованный AAA (TACACS+/RADIUS).

Отключите неиспользуемые сервисы и включите базовые защиты

Выключите HTTP (если не нужен), ограничьте SNMP community ACL, настройте баннер, таймауты на VTY, включите service password-encryption (с оговоркой — это обфускация типа 7, не криптостойкое шифрование).

10 быстрых hardening-настроек:

no ip http server (выключить HTTP)
ip http secure-server (включить HTTPS при необходимости)
snmp-server community <name> RO <acl> (ограничить SNMP)
line vty 0 4; exec-timeout 10 0 (таймаут 10 минут)
service password-encryption (обфусцировать пароли в config)
banner motd ^Unauthorized access prohibited^ (юридическое уведомление)
ip ssh version 2 (только SSHv2)
transport input ssh (отключить Telnet)
login block-for 120 attempts 3 within 60 (защита от брут-форса)
access-class MGMT_ONLY in на VTY

Banner MOTD и юридическое уведомление

Banner MOTD показывает сообщение при входе — используйте для юридического предупреждения об отслеживании сессий и политике доступа. Требование многих аудитов и стандартов безопасности.

Switch(config)# banner motd ^
Unauthorized access is prohibited. All activity is logged.
^

Как настроить IP-адрес и шлюз на коммутаторе Cisco (L2/L3): команды, проверка, поиск IP

Оглавление

Быстрый старт: минимальный набор команд (копируй и применяй)

Как настроить IP-адрес на коммутаторе Cisco: пошаговая инструкция

Подготовка к настройке через CLI: консоль/SSH, режимы IOS, что проверить заранее

Настройка Default Gateway (шлюза по умолчанию) на коммутаторе Cisco

Как посмотреть и узнать текущий IP-адрес коммутатора Cisco

Зачем нужен IP-адрес коммутатору Cisco: основы управления

Варианты получения IP на SVI: статический адрес vs DHCP-клиент

Можно ли задать IP на физический порт коммутатора Cisco?

Проверка доступности и сохранение конфигурации (чтобы не потерять IP после перезагрузки)

Как найти IP-адрес устройства, подключенного к порту Cisco (MAC → ARP → IP)

Удалённое управление: включаем SSH (и почему Telnet лучше выключить)

Troubleshooting: частые ошибки при настройке IP на Cisco switch и как исправить

Чек-лист безопасности для IP-интерфейса управления (Management IP)

FAQ по IP-адресации на Cisco-коммутаторах (короткие ответы)