Summary ¶
弊宅ではここ2年ぐらい FS.com の Switch を Core として採用していたがポートが足りなくなり Switch を増やすのも管理の都合したくなかったため漁ったところヤフオクで昔つかったことある Cisco 2960L の 48 Port モデルが安く(落札時: 11k円)入手できたので交換した。
Firmware Upgrade ¶
今回の場合は下記のサイトでログインすることで EULA が表示され Agree したらダウンロードできてしまった。数年前チャレンジした時できなかった気がしたんだけどなー。ということで Firmware Upgrade していく。
ダウンロードページで md5 Hash が確認できるので控えておく
よく使われそうな下記製品は IOS のダウンロードが確認できました。中古を漁る場合は確認してみるとよいかもしれません。
- Catalyst
- 2960L
- 3560-c
- 3560-cg
- 3750V2
- 3750X
- 3850
- 9200/9300/9400
追加で情報を頂きまして、ダウンロードの可否がもう少し明確になったため追記します。
USB メモリーを使用する ¶
TFTP Server を用意しても良かったが USB メモリーでできるようなのでやってみる。今回は 16GB の下記を利用し、 FAT32 でフォマットした状態でファイルを転送した c2960l-universalk9-mz.152-7.E8.bin
コンソールポートの上にある USB ポートに挿して保存先とメモリの空き領域を確認する
1
2
3
4
5
6
7
8
9
10
| Switch#dir
Directory of flash:/
258 -rwx 3789 Aug 24 2023 16:15:50 +00:00 pnp-tech-discovery-summary
769 -rwx 34 Aug 24 2023 16:15:48 +00:00 pnp-tech-time
516 drwx 2048 Jun 2 2020 08:13:39 +00:00 c2960l-universalk9-mz.152-6.E2b
257 -rwx 2072 Nov 4 2022 06:55:15 +00:00 multiple-fs
2 drwx 2048 Mar 1 1993 00:00:02 +00:00 lost+found
244711424 bytes total (198047744 bytes free)
|
flash:
配下に Firmware があるのを確認でき容量も 188MB あるのが確認できた。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| Switch#show file systems
File Systems:
Size(b) Free(b) Type Flags Prefixes
- - opaque ro vmap:
- - opaque ro bs:
- - opaque ro bsg:
* 244711424 198047744 flash rw flash:
- - opaque rw system:
- - opaque rw tmpsys:
- - opaque rw null:
- - opaque ro tar:
- - network rw tftp:
- - opaque ro xmodem:
- - opaque ro ymodem:
524288 522188 nvram rw nvram:
- - opaque wo syslog:
- - network rw rcp:
- - network rw http:
- - network rw ftp:
- - network rw scp:
- - network rw https:
- - opaque ro cns:
15509487616 15482208256 usbflash rw usbflash0:
|
USBメモリーが usbflash0
であることがわかったので転送する。
1
2
3
4
| Switch#copy usbflash0:c2960l-universalk9-mz.152-7.E8.bin flash: <<<<< [enter]
Destination filename [c2960l-universalk9-mz.152-7.E8.bin]? <<<<< [enter]
Copy in progress...CCCCCCCCCCC ...(snip)...
16261120 bytes copied in 108.209 secs (150275 bytes/sec)
|
Hash を確認する。今回は Web ページのが 837485e2d2e7e87e89be1d4d8ba9c0ac
であるため一致している。
1
2
3
4
| Switch#verify /md5 flash:c2960l-universalk9-mz.152-7.E8.bin
................................................................................
..........Done!
verify /md5 (flash:c2960l-universalk9-mz.152-7.E8.bin) = 837485e2d2e7e87e89be1d4d8ba9c0ac
|
起動設定を更新する
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
| Switch#show boot
BOOT path-list : flash:c2960l-universalk9-mz.152-6.E2b/c2960l-universalk9-mz.152-6.E2b.bin
Config file : flash:/config.text
Private Config file : flash:/private-config.text
Enable Break : yes
Manual Boot : no
Allow Dev Key : yes
HELPER path-list :
Boot optimization : disabled
NVRAM/Config file
buffer size: 524288
Timeout for Config
Download: 0 seconds
Config Download
via DHCP: disabled (next boot: disabled)
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Switch(config)# boot system flash:c2960l-universalk9-mz.152-7.E8.bin
Switch(config)#
Switch#write memory
Building configuration...
[OK]
|
更新されているのを確認したので reload
1
2
3
4
5
6
7
8
9
10
| Switch#show boot
BOOT path-list : flash:c2960l-universalk9-mz.152-7.E8.bin
Config file : flash:/config.text
Switch#reload
System configuration has been modified. Save? [yes/no]: y
Building configuration...
[OK]
Proceed with reload? [confirm]
|
更新されちゃったw
1
2
3
4
5
6
7
| Switch>show version
...(snip)...
Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 52 WS-C2960L-48TS-LL 15.2(7)E8 C2960L-UNIVERSALK9-M
|
Configuration ¶
不要サービスの停止 ¶
1
2
3
4
5
6
7
8
| no aaa new-model
no ip http server
no ip http secure-server
no service pad
!
interface Vlan1
no ip address
shutdown
|
証明書の削除 ¶
1
2
| no crypto pki trustpoint TP-self-signed-★★
no crypto pki certificate chain TP-self-signed-★★
|
パスワード暗号化 ¶
1
| service password-encryption
|
社外トランシバーの有効化 ¶
今回は Mikrotik の DAC を利用して接続するため設定する。
Topic
このコマンドは隠しコマンドのため ?
では表示されない!!
1
2
| service unsupported-transceiver
no errdisable detect cause gbic-invalid
|
STP(Spanning Tree Protocol) ¶
STP のデフォルトモードを edge に変更してすぐ Uplink するようにしておく。
Topic
Uplink や Switch に接続するポートはポート単位で無効化するのを忘れずに
1
| spanning-tree portfast edge default
|
VLAN 設定 ¶
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
| vtp mode transparent
vlan 211
name home 5G
vlan 212
name SoftBank
vlan 213
name Rakuten Mobile
vlan 221
name MGMT
vlan 222
name User
|
管理系設定 ¶
1
2
3
| ip domain-name exsample.com
ip default-gateway 10.2.21.1
ip name-server 10.2.21.1
|
Hostname ¶
1
| hostname c2960l-48ts-01
|
ログ ¶
1
2
3
4
5
6
| service timestamps debug datetime localtime show-timezone
service timestamps log datetime msec localtime show-timezone
logging buffered 2097152
login on-failure log
login on-success log
|
時刻設定 ¶
1
2
3
4
5
| clock timezone JST 9
ntp server ntp1.jst.mfeed.ad.jp minpoll 6 maxpoll 10 prefer
ntp server ntp2.jst.mfeed.ad.jp minpoll 6 maxpoll 10
ntp server ntp3.jst.mfeed.ad.jp minpoll 6 maxpoll 10
|
ACLs ¶
1
2
3
| ip access-list extended MGMT-NET
10 permit ip 10.1.11.0 0.0.0.255 any
20 permit ip 10.2.21.0 0.0.0.255 any
|
SNMP ¶
1
2
3
4
5
6
7
8
9
10
11
12
| snmp-server community aoya6iro RO MGMT-NET
snmp-server trap-source Vlan221
snmp-server system-shutdown
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server enable traps tty
snmp-server enable traps cpu threshold
snmp-server enable traps port-security
snmp-server enable traps envmon fan shutdown supply temperature status
snmp-server enable traps config
snmp-server enable traps syslog
snmp-server host 10.1.11.21 version 2c aoya6iro
snmp-server host 10.1.11.22 version 2c aoya6iro
|
username ¶
1
2
| username ansible privilege 15 secret P@ssW0rd
username naa0yama privilege 15
|
Note
パスワード認証でユーザーアクセスを許可する場合は secret P@ssW0rd
が必要です。今回は naa0yama
を鍵認証、 ansible
をパスワード認証としています。
SSH ¶
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| crypto key generate rsa modulus 2048
ip ssh version 2
line vty 0 4
access-class MGMT-NET in
logging synchronous
login local
transport input ssh
line vty 5 15
access-class MGMT-NET in
logging synchronous
login local
transport input ssh
!
|
鍵の登録をします。
Warning
対応しているのは ssh-rsa
のみなので対応鍵を用意してください
1
2
3
| ip ssh pubkey-chain
username naa0yama
key-string
|
用意できたら公開鍵を 80文字程度で改行し貼り付ける必要があります。
Linux では fold -b -w 72 ~/.ssh/id_rsa.pub
を使うと楽でしょう
1
2
3
4
5
6
7
8
| AAAAB...........................................................................
................................................................................
................................................................................
................................................................................
........... [email protected]
exit
exit
exit
|
Warning
鍵を投入し下記のように警告が出た場合改行までの行数が長すぎた場合があります
1
2
3
|
SW(conf-ssh-pubkey-data)#exit
%SSH: Failed to decode the Key Value
|
Interfaces ¶
Interface Access ¶
1
2
3
4
| interface GigabitEthernet0/1
description Uplink: home 5G
switchport access vlan 211
switchport mode access
|
Interface Trunk ¶
1
2
3
4
| interface GigabitEthernet0/9
description ix2215-01(Gi0.0)
switchport trunk allowed vlan 211,212,213
switchport mode trunk
|
Interface LACP ¶
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| interface Port-channel6
description crs310-01,02(sfp5)
switchport trunk allowed vlan 2-4093
switchport mode trunk
!
interface GigabitEthernet0/49
description crs310-01(sfp5)
switchport trunk allowed vlan 2-4093
channel-protocol lacp
channel-group 6 mode active
!
interface GigabitEthernet0/50
description crs310-02(sfp5)
switchport trunk allowed vlan 2-4093
channel-protocol lacp
channel-group 6 mode active
|
参考情報 ¶