Cisco 一台新設備到手的先後設定順序

Cisco 一台新設備到手的先後設定順序


關於Device的識別
會設定以下項目
1.      Hostname
2.      Banner


若為終端裝置啟用SSH連線支援
1.      SSH version
2.      Crypto key generate RSA (之後要輸入密碼長度)


針對網域名稱進行設定
1.      將domain lookup拿掉(避免之令打錯的時候跟DNS進行指令解析)
2.      設定domain name，若要允許SSH連線則為必設


針對device security進行設定
1.      Enable password
2.      telnet login password / session timeout / execute timeout / transport(提供SSH連入實需設)
3.      console login password / session timeout / execute timeout / logging synchronous
4.      service password-encryption (將明文密碼改為密文)


設定時間與時戳
1.      clock timezone
2.      service timestamps (含log跟debug兩種)


啟用帳號密碼方式登入
1.      aaa new-model
2.      aaa authentication login default local
3.      username / priority / password


設定管理用位址(通常針對VLAN 1)
1.      ip address / submask
2.      enable (no shutdown)


檢視所有相關設定
1.      show run
2.      show ip interface brief


L2設備設定Ethernet channel
1.      確認介面與鄰居的連接情況
2.      在介面下下達channel-group，注意!mode必須選擇正確。
3.      將兩台作chanel-group設備皆進行設定
4.      檢查設定是否正確完成


L2設備設定Trunk
1.      L3設備端口決定Trunking的encapsulation種類(dot1q/isl)
2.      互連兩個設備端口mode設為trunk
3.      檢查設定是否正確完成


L2設備設定VTP domain
1.      L2所有設備設定domain name / domain password / version / mode(client or server)
2.      檢查設定是否正確完成


新增vlan進入domain
1.      在vtp server mode設備上進行新增vlan id / vlan name
2.      進入所有L2裝置進行新增vlan的ip address設定與enable(no shutdown)
3.      檢查設定是否正確完成


Spanning-tree相關設定
1.      調整spanning-tree的mode (mst/pvst/rapod-pvst)
2.      在主幹裝置上設定各vlan的root primary / secondary
3.      Spanning-tree的portfast / loopguard / uplinkfast
4.      檢查設定是否正確完成


Port Security
1.      在存取層的網路設備進行Port Security設定
2.      Maximum / Mac-address / violation設定
3.      設定errdisable recovery使懲罰一段時間後可以讓合法線路恢復
4.      檢查設定是否正確完成


L3使用HSRP / VRRP / GLBP
1.      在L3裝置的路由介面上設定standby ip / priority / preempt(是否搶奪請評估)
2.      檢查設定是否正確完成


啟用路由
1.      Ip routing 直連路由
2.      Show ip route
3.      靜態路由增設(ip route X.X.X.X X.X.X.X interface / ip address)
4.      動態路由增設
5.      檢查設定是否正確完成並測試


Filter - 加入ACL規則
1.      建立ACL，預設是deny ip any any，若想僅設排除條件，請先下permit ip any any
2.      相關permit / deny條件加入(由上而下)
3.      Standard ACL設定(僅限來源IP)請靠近目的端點，排除效益與安全最大
4.      Extend ACL設定請靠近來源端點，降低路由負擔
5.      Apply在介面上後，檢查設定是否正確完成並測試


網路連線測試/互Ping
完成拓樸