Tilda Publishing
Привет, любопытный друг. Да, это Tilda. Потому что мы хотим быстро внедрять и управлять решением, а не ждать
в очереди разработчика. Контроль, предсказуемость и отказоустойчивость — наша главная идея.
Подберём типовое или произведем на заказ серверное оборудование, предоставим расчёт и поможем интегрировать в систему.

Заполните форму запроса слева или отправьте описание вашей задачи на почту get@work-system.ru

При отправке письма на почту укажите номер телефона вашего специалиста для обсуждения аналогов оборудования в случае необходимости

Как настроить IP-адрес и шлюз на коммутаторе Cisco (L2/L3): команды, проверка, поиск IP

Обновлено: Декабрь 2025

Настройка IP-адреса на коммутаторе Cisco — базовая задача, от которой зависит удалённое управление устройством и работа сетевых сервисов. В этом руководстве разберём пошаговые команды для назначения IP на SVI (Management VLAN), настройку default gateway, проверку конфигурации и поиск IP подключённых устройств. Материал подходит новичкам и инженерам, работающим через CLI (консоль/SSH). Готовые команды — в каждом разделе.

Оглавление

Быстрый старт: минимальный набор команд (копируй и применяй)

Для тех, кто пришёл «сделать прямо сейчас» — два готовых блока команд: L2-коммутатор (management через SVI) и L3-коммутатор (с маршрутизацией). Скопируйте нужный блок, замените IP/маску/шлюз на свои и выполните в консоли.
L2-коммутатор (management через SVI)
enable
configure terminal
interface vlan 10
 description MANAGEMENT
 ip address 192.168.10.2 255.255.255.0
 no shutdown
exit
ip default-gateway 192.168.10.1
end
write memory
show ip interface brief
Когда применять: Если коммутатор работает только на L2 (коммутация кадров внутри VLAN), а IP нужен только для управления (SSH/SNMP/мониторинг).
L3-коммутатор (ip routing включён)
enable
configure terminal
interface vlan 10
 description MANAGEMENT
 ip address 192.168.10.2 255.255.255.0
 no shutdown
exit
ip routing
ip route 0.0.0.0 0.0.0.0 192.168.10.1
end
write memory
show ip route | include 0.0.0.0
Когда применять: Если коммутатор выполняет межвлановую маршрутизацию (L3-функции) или нужен default route для выхода за пределы локальной подсети.

Как настроить IP-адрес на коммутаторе Cisco: пошаговая инструкция

На L2-коммутаторе IP назначается на виртуальный интерфейс VLAN (SVI), а не на физический порт. Стандартный сценарий: создать или выбрать VLAN(обычно Vlan1 или отдельный Management VLAN), назначить IP и маску командой ip address, включить интерфейс через no shutdown, указать шлюз командой ip default-gateway.

Чаще всего используют Vlan1, но лучше выделить отдельный Management VLAN для безопасности и изоляции трафика управления от пользовательских данных.

Подготовка к настройке через CLI: консоль/SSH, режимы IOS, что проверить заранее

Для доступа к CLI потребуется консольный кабель (RJ-45 или USB-to-serial) и терминальная программа (PuTTY, SecureCRT). Параметры по умолчанию: 9600 baud, 8 бит данных, без чётности, 1 стоп-бит, без управления потоком (8N1).

Режимы Cisco IOS:
  1. User EXEC (Switch>) — только базовые show-команды
  2. Privileged EXEC (Switch#) — все show и debug
  3. Global Configuration (Switch(config)#) — настройки устройства
  4. Interface Configuration (Switch(config-if)#) — настройки интерфейса

Перед настройкой проверьте:
  • Модель коммутатора и версию IOS (show version)
  • Текущую конфигурацию (show running-config)
  • Доступность питания и активных линков (show interface status)
Параметры консольного подключения Cisco по умолчанию
Параметр
Значение
Примечание
Speed
9600 baud
Стандарт для Cisco
Data bits
8
8N1 — типовая конфигурация
Parity
None
Stop bits
1
Flow control
None
Отключено по умолчанию
Не выполняйте настройки в production-среде без окна работ. Сохраните текущий running-config перед изменениями. При удалённой сессии обеспечьте out-of-band доступ на случай потери связи.
Если вам требуется более широкая подготовка коммутатора, см. статью базовая настройка коммутатора Cisco
Шаг 1 — войдите в привилегированный режим и режим конфигурации
Начните с включения привилегированного режима (Privileged EXEC) командой enable, затем перейдите в глобальную конфигурацию через configure terminal. Без enable доступ к конфигурации закрыт.
Switch> enable
Switch# configure terminal
Switch(config)#
Шаг 2 — выберите интерфейс VLAN (SVI) для адреса управления
Войдите в настройку SVI командой interface vlan <ID>. Для старта подходит interface vlan 1, но безопаснее создать отдельный Management VLAN (например, Vlan10). VLAN должен существовать в базе и быть активным (хотя бы один порт в этом VLAN или trunk, разрешающий VLAN).
Switch(config)# interface vlan 1
Switch(config-if)# description Management SVI
Шаг 3 — задайте IP-адрес и маску подсети на интерфейсе VLAN
Назначьте IP и маску командой ip address <IP> <MASK>. Пример: ip address 192.168.10.2 255.255.255.0 присваивает адрес 192.168.10.2 с маской /24.
Switch(config-if)# ip address 192.168.10.2 255.255.255.0
Пример адресации для Management VLAN
Параметр
Пример
Комментарий
IP
192.168.10.2
Адрес управления коммутатора
Маска
255.255.255.0
Определяет подсеть /24
Default Gateway
192.168.10.1
Задаётся отдельной командой ip default-gateway
VLAN
1 (или 10)
Должен существовать и иметь активные порты
Шаг 4 — включите SVI (no shutdown) и выйдите из интерфейса
Активируйте интерфейс командой no shutdown. SVI перейдёт в состояние up/up только если в этом VLAN есть хотя бы один активный порт (access или trunk, разрешающий VLAN) и нет блокировки STP.
Switch(config-if)# no shutdown
Switch(config-if)# end
Switch#
Важно:
SVI может остаться в down/down, если VLAN не создан, все порты в VLAN выключены или trunk не пропускает этот VLAN. Проверьте командами show vlan brief и show interfaces trunk.
Минимальный набор команд для создания VLAN и привязки порта:
Switch(config)# vlan 10
Switch(config-vlan)# name MANAGEMENT
Switch(config)# interface gi1/0/10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# no shutdown
Если VLAN ещё не создан или нет активных портов, SVI останется в состоянии down/down. Это самая частая причина недоступности management IP для новичков.

Настройка Default Gateway (шлюза по умолчанию) на коммутаторе Cisco

Команда ip default-gateway <IP> указывает адрес маршрутизатора, через который коммутатор отправляет пакеты управления (SSH/Telnet/SNMP) в другие подсети. Без шлюза удалённый доступ из других сетей работать не будет — ответы не дойдут обратно до администратора.

На L2-коммутаторах эта команда применяется глобально. На L3-коммутаторах с включённым ip routing используется ip route 0.0.0.0 0.0.0.0 <gateway> вместо ip default-gateway.
Switch(config)# ip default-gateway 192.168.10.1
Когда ip default-gateway, когда ip route?
Условие
Команда
Пояснение
L2-коммутатор (без ip routing)
ip default-gateway 192.168.10.1
Шлюз для пакетов управления, не затрагивает транзитный трафик
L3-коммутатор (с ip routing)
ip route 0.0.0.0 0.0.0.0
192.168.10.1
Default route в таблице маршрутизации для всех пакетов, включая управление

Как посмотреть и узнать текущий IP-адрес коммутатора Cisco

Используйте команды show ip interface brief, show running-config | section interface Vlan и show running-config | include ip default-gateway. Первая показывает список интерфейсов с IP и статусом (up/up), вторая — детальную конфигурацию SVI, третья — текущий шлюз.
Switch# show ip interface brief
Switch# show running-config | section interface Vlan
Switch# show running-config | include ip default-gateway
В выводе show ip interface brief ищите строку с VlanX, колонки IP-Address и Status/Protocol (должно быть up/up). Если интерфейс down/down — проверьте наличие активных портов в VLAN.

Формат вывода может немного отличаться между IOS classic и IOS XE, но команды и смысл одинаковы.
Таблица команд проверки
Команда
Что показывает
Когда применять
show ip interface brief
Список интерфейсов с IP и статусом
Быстрая проверка up/up
show running-config | section interface Vlan
Детальная конфигурация SVI
Детали IP/маски/описания
show running-config | include ip default-gateway
Адрес шлюза по умолчанию
Убедиться в правильности шлюза

Зачем нужен IP-адрес коммутатору Cisco: основы управления

IP-адрес на L2-коммутаторе нужен для удалённого управления через SSH, Telnet, SNMP, HTTP(S) — не для маршрутизации пакетов. IP назначается на SVI (Management VLAN), физические порты остаются в режиме switchport и работают на L2.

Это позволяет администратору настраивать и мониторить коммутатор из любой точки сети (при наличии маршрута и default gateway).

Дублирование списком:
  • L2: IP на SVI для SSH/SNMP/управления
  • L2: физические порты — switchport (L2)
  • L3: IP на SVI для маршрутизации между VLAN
  • L3: routed ports (no switchport) для L3-связей
  • L3: управление также через SVI

Варианты получения IP на SVI: статический адрес vs DHCP-клиент

Когда уместен DHCP для адреса управления
DHCP подходит для лабораторий и временных стендов, где адрес может меняться. В production-сетях это риск потери доступа при смене IP. Закрепляйте адрес через DHCP reservation на сервере (по MAC SVI) или используйте статику.
Статика vs DHCP для management
Критерий
Статический IP
DHCP
Стабильность
Постоянный адрес
Может измениться при обновлении lease
Поддержка
Проще для мониторинга и документации
Требует координации с DHCP-сервером
Риски
Ручные ошибки при настройке
Потеря доступа при сбое DHCP
Когда выбирать
Production, критичные устройства
Лаборатории, временные развёртывания
Команды: включить DHCP на интерфейсе VLAN (SVI)
Switch(config)# interface vlan 10
Switch(config-if)# ip address dhcp
Switch(config-if)# no shutdown
Проверить выданный адрес можно через show ip interface brief. На некоторых платформах доступна команда show dhcp lease (зависит от IOS).
Коммутатор не хранит полученные настройки IP-адресации по DHCP в файле running-config — они видны только через show ip interface brief или show dhcp lease. Это может сбить с толку новичков при попытке "увидеть IP в конфиге".

Можно ли задать IP на физический порт коммутатора Cisco?

На L2-коммутаторе IP назначается только на SVI (interface VlanX), физические порты работают в режиме switchport (L2). На L3-коммутаторе можно перевести порт в режим routed port командой no switchport и назначить IP напрямую, но это меняет роль порта с L2 на L3.
Где можно назначить IP
Тип
Где IP
Последствия
Use-case
L2 switch
Только SVI
Порты — switchport (L2)
Access-коммутаторы
L3 switch (SVI)
SVI + routed ports
SVI для inter-VLAN, routed для L3-связей
Distribution, core
L3 switch (routed)
Физический порт (no switchport)
Порт работает как роутерный
Связь между L3-устройствами
Пример для L3-коммутатора: превращаем порт в routed port и назначаем IP
Switch(config)# interface gigabitEthernet1/0/1
Switch(config-if)# no switchport
Switch(config-if)# ip address 10.0.0.2 255.255.255.252
Switch(config-if)# no shutdown
Не все модели и лицензии поддерживают full L3. Проверяйте datasheet и feature set перед настройкой.

Проверка доступности и сохранение конфигурации (чтобы не потерять IP после перезагрузки)

Быстрая проверка: статус интерфейса и ping
Команда show ip interface brief покажет статус SVI (up/up), ping <gateway> проверит связь с маршрутизатором, ping <remote-host> — доступность удалённых хостов (если есть маршрутизация).
Switch# show ip interface brief
Switch# ping 192.168.10.1
Если ping не идёт:
  1. VLAN active? (show vlan brief)
  2. SVI up/up? (show ip interface brief)
  3. Gateway верный? (show run | include ip default-gateway)
  4. ACL не блокирует? (show ip access-lists)
  5. Физика/транк в порядке? (show interfaces trunk, show interface status)
Сохранение настроек в NVRAM (write memory / copy run start)
Команды write memory и copy running-config startup-config выполняют одну функцию — сохраняют активную конфигурацию (running-config) в энергонезависимую память (startup-config). Без сохранения изменения пропадут после перезагрузки.
Switch# write memory
! или
Switch# copy running-config startup-config
Сохранение конфигурации Cisco IOS
Команда
Назначение
Когда применять
copy running-config startup-config
Сохранить running в startup
После любых изменений
write memory (wr mem)
То же самое (короткая форма)
Быстрая фиксация
show running-config
Показать текущую (несохранённую) конфиг
Для проверки перед сохранением
show startup-config
Показать конфигурацию в NVRAM
Убедиться, что сохранено
Фиксируйте изменения в тикете или ChangeLog. Храните бэкап конфигурации на TFTP/SCP/Git для восстановления при сбое.

Как найти IP-адрес устройства, подключенного к порту Cisco (MAC → ARP → IP)

Шаг 1 — найдите MAC-адрес на порту (CAM/MAC table)
Команда show mac address-table interface <type> <num> покажет MAC-адреса, изученные коммутатором на указанном порту, и VLAN. Далее ищите соответствие IP через ARP-таблицу.
Switch# show mac address-table interface gi1/0/10
Шаг 2 — сопоставьте MAC и IP через ARP-таблицу
L2-коммутатор может иметь ARP-записи только для того VLAN/интерфейса, где у него есть IP (management SVI) и только для узлов, с которыми он реально общался (например, пинговал шлюз). Поэтому для поиска "любой машины за портом" чаще надёжнее смотреть ARP на шлюзе (L3-SVI/роутере/фаерволе).
Как "создать" ARP-запись: выполните ping <IP_хоста> или ping <gateway>, затем show ip arp | include <MAC/IP>.
Switch# show ip arp
Switch# show ip arp | include 0011.2233.4455
На L3-устройстве (роутер/ядро сети):
Router# show ip arp | include 192.168.10.100
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  192.168.10.100   0          0011.2233.4455  ARPA   Vlan10
Где искать ARP
L2 switch
L3 switch / Router
Firewall
ARP-таблица доступна?
Частично (только для своего IP)
Да (show ip arp)
Да (show arp)
Рекомендация
Смотреть на шлюзе
Локальный поиск
Локальный поиск
MAC может быть от телефона/VM/агрегации. При trunk может видеть downstream-коммутатор. Учитывайте MAC-flap и port-security.

Полная процедура поиска IP за портом:
  1. На коммутаторе: show mac address-table interface gi1/0/10 → получить MAC
  2. На L3-устройстве (шлюз/ядро): show ip arp | include <MAC> → получить IP
  3. Если ARP пустая: выполнить ping <предполагаемый_IP> для создания записи, затем повторить шаг 2
Как узнать IP соседнего коммутатора (CDP/LLDP)
Протоколы CDP (Cisco Discovery Protocol) и LLDP (Link Layer Discovery Protocol) передают информацию о соседних устройствах, включая Management IP, модель, порт подключения. Команды: show cdp neighbors detail и show lldp neighbors detail.
Switch# show cdp neighbors detail
! опционально
Switch# show lldp neighbors detail
CDP и LLDP передают Management Address TLV с IP управления (если настроено). Если CDP/LLDP отключены или не передают management address, используйте MAC на uplink и ARP на L3, или обратитесь к документации/инвентаризации.

Отличия:
  • CDP: проприетарный протокол Cisco
  • LLDP: стандарт IEEE 802.1AB, поддерживается разными вендорами
  • Оба передают Management Address TLV с IP управления (если настроено)

Удалённое управление: включаем SSH (и почему Telnet лучше выключить)

Минимальная безопасная настройка SSH (пример)
Для SSH требуется: hostname, domain-name, локальный пользователь, RSA-ключи (модуль 2048), настройка VTY (login local, transport input ssh). После этого можно подключаться по SSH вместо небезопасного Telnet.
Switch(config)# hostname SW1
Switch(config)# ip domain-name example.local
Switch(config)# username admin privilege 15 secret STRONG_SECRET
Switch(config)# crypto key generate rsa modulus 2048
Switch(config)# line vty 0 4
Switch(config-line)# login local
Switch(config-line)# transport input ssh
Switch(config-line)# ip ssh version 2
SSH готов, если:
  • Есть IP на SVI
  • Есть default-gateway (для удалённых подсетей)
  • VTY настроены (login local)
  • RSA-ключи созданы
Минимальная проверка:
  • show ip ssh — убедиться, что SSH включён и версия 2
  • show line vty 0 4 — проверить transport input ssh
  • С удалённого ПК: ssh admin@192.168.10.2 — подключиться
Рекомендации:
  • Используйте SSHv2 (ip ssh version 2)
  • Отключите Telnet (transport input ssh)
  • Ограничьте доступ ACL на VTY
  • Используйте отдельный management VLAN/VRF (если доступно)
  • Внедрите централизованный AAA (TACACS+/RADIUS) для аудита и управления учётными записями
Почему Telnet небезопасен и что делать, если "нужно срочно"
Telnet передаёт пароли и команды открытым текстом — любой сниффер перехватит учётные данные. Если нужен срочный доступ — ограничьте Telnet ACL только из management-сети и как можно быстрее перейдите на SSH.
Сравнение Telnet и SSH
Критерий
Telnet
SSH
Шифрование
Нет (открытый текст)
Да (алгоритмы AES/3DES/RSA)
Аудит
Ограниченный
Полный (с AAA)
Требования
Минимальные
Hostname, domain-name, ключи
Риски
Перехват паролей, MITM
Уязвимости реализации (SSHv1 устарел)
Минимальная защита Telnet "если очень нужно":
Switch(config)# ip access-list standard MGMT_ONLY
Switch(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Switch(config-std-nacl)# deny any log
Switch(config)# line vty 0 4
Switch(config-line)# access-class MGMT_ONLY in
Switch(config-line)# transport input telnet ssh
Это ограничит Telnet только из management-подсети, но не защитит от сниффинга внутри подсети.

Troubleshooting: частые ошибки при настройке IP на Cisco switch и как исправить

interface VlanX down/down или administratively down
Статус down/down означает отсутствие активных портов в VLAN или блокировку STP. Administratively down — интерфейс выключен командой shutdown. Проверьте: no shutdown на SVI, наличие портов в VLAN, trunk allowed VLAN, состояние STP.
Switch# show interface vlan 10
Switch# show vlan brief
Switch# show interfaces trunk
Switch# show spanning-tree vlan 10
Симптом
Вероятная причина
Команда проверки
Фикс
down/down
Нет активных портов в VLAN
show vlan brief
Назначить порт на VLAN
down/down
Trunk не пропускает VLAN
show interfaces trunk
switchport trunk allowed vlan add
administratively down
Команда shutdown
show interface vlan X
no shutdown
down/down
STP blocking
show spanning-tree vlan X
Проверить топологию STP
Пример фикса:
Switch(config)# interface gi1/0/1
Switch(config-if)# switchport trunk allowed vlan add 10
Switch(config-if)# no shutdown
Неправильная маска/шлюз: локально пингуется, удалённо — нет
Если ping работает внутри подсети, но не из других сетей — проблема в маске, ip default-gateway или обратной маршрутизации на роутере. Проверьте маску подсети, правильность адреса шлюза и наличие маршрута обратно на роутере.

Проверочный чек-лист:

  1. На коммутаторе:
  • show ip interface brief → IP/маска корректны?
  • show run | include ip default-gateway → шлюз указан?
  • ping <gateway> → локальная связь есть?

  1. На шлюзе (роутере):
  • show ip route → есть ли маршрут обратно в подсеть коммутатора?
  • Если нет — добавить статический маршрут или настроить dynamic routing

  1. На удалённом ПК:
  • tracert <IP_коммутатора> → где обрывается?
Конфликт IP-адресов и ARP-проблемы
Признаки: флап интерфейса, прерывистый доступ, дублирующиеся ARP-записи. Проверьте ARP-таблицу, логи, DHCP snooping binding (если включено). Решение: сменить IP, использовать DHCP reservation, включить Dynamic ARP Inspection (DAI).
Switch# show ip arp
Switch# show logging
Switch# show ip dhcp snooping binding
Признаки конфликта в логах:
%IP-4-DUPADDR: Duplicate address 192.168.10.2 on Vlan10, sourced by 0011.2233.4455
Быстрый фикс:
  • Сменить IP на коммутаторе или конфликтующем устройстве
  • Включить DHCP snooping и DAI для защиты от ARP spoofing
Native VLAN mismatch / trunk не пропускает management VLAN
Симптомы: SVI down, нет доступа к коммутатору. Проверьте соответствие native VLAN на обоих концах trunk (show interfaces trunk), разрешён ли management VLAN в allowed list, создан ли VLAN в базе.
Trunk-проблема
Проверка
Решение
Native VLAN mismatch
show interfaces trunk
Согласовать native VLAN на обоих концах
VLAN not allowed
show interfaces trunk
switchport trunk allowed vlan add <ID>
VLAN not created
show vlan brief
vlan <ID>; name <name>
Пример диагностики:
Switch# show interfaces trunk

Port        Mode         Encapsulation  Status        Native vlan
Gi1/0/1     on           802.1q         trunking      1

Port        Vlans allowed on trunk
Gi1/0/1     1-4094

Port        Vlans allowed and active in management domain
Gi1/0/1     1,10,20

Port        Vlans in spanning tree forwarding state and not pruned
Gi1/0/1     1,10,20
Если management VLAN 10 нет в "allowed and active" — добавить командой switchport trunk allowed vlan add 10.

Чек-лист безопасности для IP-интерфейса управления (Management IP)

Ограничьте доступ к VTY по IP (ACL)
Создайте стандартный ACL, разрешающий доступ только из management-подсети, и примените его на VTY-линии командой access-class. Это блокирует SSH/Telnet с неавторизованных адресов.
Switch(config)# ip access-list standard MGMT_ONLY
Switch(config-std-nacl)# permit 192.168.10.0 0.0.0.255
Switch(config-std-nacl)# deny any log
Switch(config)# line vty 0 4
Switch(config-line)# access-class MGMT_ONLY in
Минимальные меры защиты management-доступа
Что защищаем
Где применить ACL
Примечание
SSH на VTY
line vty 0 4; access-class
Ограничить IP источника
SNMP
snmp-server community ... <acl>
Контроль доступа к SNMP
HTTP(S)
ip http access-class
Если включен веб-интерфейс
Management plane должна быть отделена от user/data plane. Используйте отдельный management VLAN, VRF (если доступно), централизованный AAA (TACACS+/RADIUS).
Отключите неиспользуемые сервисы и включите базовые защиты
Выключите HTTP (если не нужен), ограничьте SNMP community ACL, настройте баннер, таймауты на VTY, включите service password-encryption (с оговоркой — это обфускация типа 7, не криптостойкое шифрование).

10 быстрых hardening-настроек:
  • no ip http server (выключить HTTP)
  • ip http secure-server (включить HTTPS при необходимости)
  • snmp-server community <name> RO <acl> (ограничить SNMP)
  • line vty 0 4; exec-timeout 10 0 (таймаут 10 минут)
  • service password-encryption (обфусцировать пароли в config)
  • banner motd ^Unauthorized access prohibited^ (юридическое уведомление)
  • ip ssh version 2 (только SSHv2)
  • transport input ssh (отключить Telnet)
  • login block-for 120 attempts 3 within 60 (защита от брут-форса)
  • access-class MGMT_ONLY in на VTY
Banner MOTD и юридическое уведомление
Banner MOTD показывает сообщение при входе — используйте для юридического предупреждения об отслеживании сессий и политике доступа. Требование многих аудитов и стандартов безопасности.
Switch(config)# banner motd ^
Unauthorized access is prohibited. All activity is logged.
^

FAQ по IP-адресации на Cisco-коммутаторах (короткие ответы)