6
Best Practice für Cisco SG200 SG300 Konfig
Hallo,
ich bin zur Zeit an der Aufbereitung von Dokumentation bzgl. einer Netzwerkstruktur und Konfig. Nachdem ich selbst gemerkt habe, dass viele Ports nicht als Edgeport eingestellt waren und es auch sinnvolle und wichtige Features wie BPDU Guard gibt, habe ich mich gefragt, ob man nicht auch noch weitere Einstellungen auf Cisco SG-Series Switches auf jeden Fall aktivieren sollte.
Also, eine Art Best Practice für die Cisco SG200/SG300 Serie. Die momentane Konfig ist unten aufgeführt. Welches Gerät, an welche Ports hängen ist bekannt.
Vielleicht gibt es den ein oder anderen, der mal einen Blick drauf werfen könnte? Sind z.B. die Befehle bzgl. voice vlan notwendig? Normalerweise würde ich nach dem Prinzip "Weniger ist mehr" hier gehen, damit die Konfig einfach und übersichtlich ist und sich nur auf das notwendigste beschränkt. Ich arbeite normalerweise nur über die Web-GUI (vergebt mir bitte
), aber wenn ich sehe, dass die ganze Konfig mit ca. 200 Zeilen erledigt ist, würde man sich einiges an "Rumklicken" sparen...
Das ist einer von zwei Core-Switches. Dieser hat für STP die höchste Priorität und stellt die Root-Brdige dar, deswegen 4096 als Priority. Es gibt zwei VLANs 10 und 20 und das Default VLAN 1. Es sind nur Server und Links zu anderen Switchen angebunden.
Gruß
Burak
ich bin zur Zeit an der Aufbereitung von Dokumentation bzgl. einer Netzwerkstruktur und Konfig. Nachdem ich selbst gemerkt habe, dass viele Ports nicht als Edgeport eingestellt waren und es auch sinnvolle und wichtige Features wie BPDU Guard gibt, habe ich mich gefragt, ob man nicht auch noch weitere Einstellungen auf Cisco SG-Series Switches auf jeden Fall aktivieren sollte.
Also, eine Art Best Practice für die Cisco SG200/SG300 Serie. Die momentane Konfig ist unten aufgeführt. Welches Gerät, an welche Ports hängen ist bekannt.
Vielleicht gibt es den ein oder anderen, der mal einen Blick drauf werfen könnte? Sind z.B. die Befehle bzgl. voice vlan notwendig? Normalerweise würde ich nach dem Prinzip "Weniger ist mehr" hier gehen, damit die Konfig einfach und übersichtlich ist und sich nur auf das notwendigste beschränkt. Ich arbeite normalerweise nur über die Web-GUI (vergebt mir bitte
), aber wenn ich sehe, dass die ganze Konfig mit ca. 200 Zeilen erledigt ist, würde man sich einiges an "Rumklicken" sparen...Das ist einer von zwei Core-Switches. Dieser hat für STP die höchste Priorität und stellt die Root-Brdige dar, deswegen 4096 als Priority. Es gibt zwei VLANs 10 und 20 und das Default VLAN 1. Es sind nur Server und Links zu anderen Switchen angebunden.
config-file-header
sw-sg30020-01
v1.4.2.4 / R800_NIK_1_4_194_194
CLI v1.0
set system mode router
file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
ssd-control-end XXX
!
spanning-tree priority 4096
vlan database
vlan 10,20
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
no eee enable
ip dhcp relay address 192.168.100.1
ip dhcp relay address 192.168.100.2
ip dhcp relay enable
ip dhcp information option
no bonjour enable
bonjour interface range vlan 1
hostname sw-sg30020-01
enable password level 15 encrypted XXX
no passwords complexity enable
username cisco password encrypted XXX privilege 15
ip ssh server
snmp-server location "Location steht hier drin"
snmp-server contact EmailAdresseStehtHierDrin
clock timezone " " +1
clock summer-time web recurring eu
clock source sntp
sntp unicast client enable
sntp unicast client poll
sntp server 0.de.pool.ntp.org poll
sntp server 1.de.pool.ntp.org poll
ip domain name domainname.local
ip name-server 192.168.100.2 192.168.100.1
!
interface vlan 1
ip address 192.168.50.254 255.255.255.0
no ip address dhcp
!
interface vlan 10
name VLAN_10
ip address 192.168.100.31 255.255.255.0
!
interface vlan 20
name VLAN_20
ip address 192.168.1.25 255.255.255.0
ip dhcp relay enable
!
interface gigabitethernet1
spanning-tree portfast
spanning-tree bpduguard enable
switchport mode access
switchport access vlan 10
!
interface gigabitethernet2
spanning-tree portfast
switchport mode access
switchport access vlan 10
!
interface gigabitethernet3
spanning-tree portfast
spanning-tree bpduguard enable
channel-group 3 mode auto
switchport mode access
!
interface gigabitethernet4
spanning-tree portfast
spanning-tree bpduguard enable
channel-group 3 mode auto
switchport mode access
!
interface gigabitethernet5
spanning-tree portfast
spanning-tree bpduguard enable
switchport mode access
switchport access vlan 10
!
interface gigabitethernet6
spanning-tree portfast
spanning-tree bpduguard enable
switchport mode access
switchport access vlan 10
!
interface gigabitethernet7
spanning-tree portfast
spanning-tree bpduguard enable
channel-group 1 mode auto
switchport mode access
!
interface gigabitethernet8
spanning-tree portfast
spanning-tree bpduguard enable
channel-group 1 mode auto
switchport mode access
!
interface gigabitethernet9
switchport mode access
switchport access vlan 10
!
interface gigabitethernet10
spanning-tree portfast
spanning-tree bpduguard enable
switchport mode access
switchport access vlan 10
!
interface gigabitethernet11
spanning-tree portfast
spanning-tree bpduguard enable
switchport mode access
switchport access vlan 10
!
interface gigabitethernet12
spanning-tree portfast
spanning-tree bpduguard enable
switchport mode access
switchport access vlan 10
!
interface gigabitethernet13
spanning-tree portfast
spanning-tree bpduguard enable
switchport mode access
switchport access vlan 10
!
interface gigabitethernet14
spanning-tree portfast
spanning-tree bpduguard enable
switchport mode access
switchport access vlan 10
!
interface gigabitethernet15
spanning-tree portfast
spanning-tree bpduguard enable
switchport mode access
switchport access vlan 10
!
interface gigabitethernet16
switchport trunk allowed vlan add 10,20
switchport default-vlan tagged
!
interface gigabitethernet17
switchport trunk allowed vlan add 10,20
switchport default-vlan tagged
!
interface gigabitethernet18
spanning-tree bpduguard enable
switchport mode access
switchport access vlan 10
!
interface gigabitethernet19
channel-group 2 mode auto
switchport default-vlan tagged
!
interface gigabitethernet20
channel-group 2 mode auto
switchport default-vlan tagged
!
interface Port-channel1
description SERVER02
switchport mode access
switchport access vlan 10
!
interface Port-channel2
description SWITCH
switchport trunk allowed vlan add 10,20
switchport default-vlan tagged
!
interface Port-channel3
description SERVER01
switchport mode access
switchport access vlan 10
!
exit
ip default-gateway 192.168.100.35 Gruß
Burak
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 384214
Url: https://administrator.de/contentid/384214
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
6 Kommentare
Neuester Kommentar
Hi
wie groß ist dein Netz das du so tief damit gehst - das ist unterste Prio die man setzen kann, wenn es kein Core Switch ist oder Ihr nicht über groß vermeschtes Netz verfügt würde ich solche Einstellungen nicht setzen - bei 3-4 Switchen macht das wenig sinn. Unsere Core Router sind alle auf 8192 eingestellt so das wir im Bedarfsfall noch weiter runter können (im @aqui zu zitieren: modulo 4096)
Erst ausschalten dann wieder einschalten?
Lass die besser auf deine DC's zeigen oder einer anderen internen Zeitquelle
Was mir jetzt noch fehlen würde wären ggf. LLDP Settings für VoIP, aber ansonsten sieht es schon Ok aus (kenne jetzt auch nicht die gesamte CLI von Cisco ...).
SNMP Communities würde ich ggf. noch setzen, wir die ReadOnly und Write-Communities immer gesetzt.
Just my 2 Cent
@clSchak
spanning-tree priority 4096wie groß ist dein Netz das du so tief damit gehst - das ist unterste Prio die man setzen kann, wenn es kein Core Switch ist oder Ihr nicht über groß vermeschtes Netz verfügt würde ich solche Einstellungen nicht setzen - bei 3-4 Switchen macht das wenig sinn. Unsere Core Router sind alle auf 8192 eingestellt so das wir im Bedarfsfall noch weiter runter können (im @aqui zu zitieren: modulo 4096)
no bonjour enable
bonjour interface range vlan 1 sntp server 0.de.pool.ntp.org poll
sntp server 1.de.pool.ntp.org poll Was mir jetzt noch fehlen würde wären ggf. LLDP Settings für VoIP, aber ansonsten sieht es schon Ok aus (kenne jetzt auch nicht die gesamte CLI von Cisco ...).
SNMP Communities würde ich ggf. noch setzen, wir die ReadOnly und Write-Communities immer gesetzt.
Just my 2 Cent
@clSchak
Hallo,
danke für die Antwort.
Vorweg: Ich habe die textuelle Konfiguration über die Web-GUI exportiert. Also Backup von der Running/Startup-Konfig gemacht.
So groß ist das Netz nicht. Es gibt 2 Core Switches und 5 Client Access Switches. Und bei den Core Switches dachte ich, was anderes kommt nicht mehr dazu. Aber gut, das kann ich ja ändern.
danke für die Antwort.
Vorweg: Ich habe die textuelle Konfiguration über die Web-GUI exportiert. Also Backup von der Running/Startup-Konfig gemacht.
wie groß ist dein Netz das du so tief damit gehst - das ist unterste Prio die man setzen kann, wenn es kein Core Switch ist oder Ihr nicht über groß vermeschtes Netz verfügt würde ich solche Einstellungen nicht setzen - bei 3-4 Switchen macht das wenig sinn.
So groß ist das Netz nicht. Es gibt 2 Core Switches und 5 Client Access Switches. Und bei den Core Switches dachte ich, was anderes kommt nicht mehr dazu. Aber gut, das kann ich ja ändern.
Erst ausschalten dann wieder einschalten?
Wie gesagt, die Konfig wurde mir so "ausgespuckt". Bonjour Dienst wird aber nicht gebraucht, ich schaue mir das mal an.Lass die besser auf deine DC's zeigen oder einer anderen internen Zeitquelle
Ok, stelle ich um.Was mir jetzt noch fehlen würde wären ggf. LLDP Settings für VoIP,
VoIP brauchen wir eigentlich gar nicht. Die Voice Befehle oben wären für mich auch irrelevant. Ich glaube, das ist drin, weil Smartport aktiviert ist.
die obrigen Settings für die Telefon sind normal, die stehen auch den Dell Switchen mit drin.
Bzgl. des Bonjour Dienstes wüsste ich jetzt nicht einmal für was man den benötigt. Wir haben zu dem alle Links im Core Bereich auf Trunk stehen, da (sollten) werden keine Clients angeschlossen, aber ist lediglich ein Designfrage.
Ansonsten sehe ich so keine Auffälligkeiten.
Bzgl. des Bonjour Dienstes wüsste ich jetzt nicht einmal für was man den benötigt. Wir haben zu dem alle Links im Core Bereich auf Trunk stehen, da (sollten) werden keine Clients angeschlossen, aber ist lediglich ein Designfrage
.Ansonsten sehe ich so keine Auffälligkeiten.
Zitat von @clSchak:
die obrigen Settings für die Telefon sind normal, die stehen auch den Dell Switchen mit drin.
Bzgl. des Bonjour Dienstes wüsste ich jetzt nicht einmal für was man den benötigt. Wir haben zu dem alle Links im Core Bereich auf Trunk stehen, da (sollten) werden keine Clients angeschlossen, aber ist lediglich ein Designfrage.
Ansonsten sehe ich so keine Auffälligkeiten.
die obrigen Settings für die Telefon sind normal, die stehen auch den Dell Switchen mit drin.
Bzgl. des Bonjour Dienstes wüsste ich jetzt nicht einmal für was man den benötigt. Wir haben zu dem alle Links im Core Bereich auf Trunk stehen, da (sollten) werden keine Clients angeschlossen, aber ist lediglich ein Designfrage
.Ansonsten sehe ich so keine Auffälligkeiten.
das ist Apple implementation für mDNS, außer bei cisco is das was andres :D
war mir da jetzt nicht sicher, kenne das auch nur in Verbindung mit Apple, hätte ja auch was Cisco spezifisches sein können
IGMP Snoopoing solltest du IMMER wenn möglich auf den Switches aktivieren.
