آموزش کامل کانفیگ سوئیچ سیسکو

مهر 30, 1404
ندا رهبری
سوئیچ شبکه

کانفیگ سوئیچ سیسکو فرآیندی تخصصی است که نیاز به دانش دقیق و تجربه عملی دارد. در این راهنمای جامع، تمام مراحل پیکربندی سوئیچ‌های سیسکو را از اتصال اولیه با کابل کنسول تا تنظیمات پیشرفته VLAN، Port Security و SSH آموزش می‌دهیم. این مقاله شامل دستورات کاربردی، نکات امنیتی مهم و بهترین روش‌های پیاده‌سازی است که هر مهندس شبکه برای راه‌اندازی و مدیریت موفق سوئیچ‌های Catalyst و Nexus به آن نیاز دارد....

کانفیگ سوئیچ سیسکو یکی از مهارت‌های کلیدی هر مهندس شبکه است که مستقیماً بر کیفیت، سرعت و امنیت ارتباطات سازمانی تاثیر می‌گذارد. وقتی صحبت از پیکربندی این تجهیزات می‌شود، در واقع در حال شکل‌دهی به شریان‌های حیاتی سازمان هستیم؛ مسیرهایی که اطلاعات حساس مالی، داده‌های مشتریان و ارتباطات داخلی از آن‌ها عبور می‌کنند. تفاوت میان یک شبکه کُند و ناامن با زیرساختی پایدار و قابل اعتماد، اغلب در همان چند خط کانفیگ اولیه رقم می‌خورد

فرآیند و آموزش کانفیگ سوئیچ سیسکو شامل مراحل مختلفی است که از تنظیمات اولیه دستگاه شروع می‌شود و تا پیاده‌سازی پروتکل‌های پیچیده امنیتی و بهینه‌سازی عملکرد ادامه پیدا می‌کند. این فرآیند نیازمند درک صحیح از نحوه عملکرد سوئیچ‌ها، شناخت نیازهای شبکه و آشنایی با بهترین روش‌های پیاده‌سازی است. هر سازمان بسته به اندازه، نوع فعالیت و سطح امنیتی مورد نیاز، رویکرد متفاوتی در کانفیگ سوئیچ‌های خود دارد؛ از شرکت‌های کوچک با چند کاربر گرفته تا دیتاسنترهای بزرگ با هزاران اتصال همزمان.

در این مقاله، قصد داریم کانفیگ اولیه سوئیچ سیسکو را با هم طی کنیم. از معرفی انواع سوئیچ‌های موجود و کاربرد هر کدام، تا نحوه پیاده‌سازی VLAN برای جداسازی ترافیک، تنظیمات امنیتی برای محافظت در برابر تهدیدات، و تکنیک‌های عیب‌یابی برای حل سریع مشکلات. هدف ما این است که پس از مطالعه این مقاله، نه تنها با اصول و نحوه کانفیگ سوئیچ سیسکو آشنا شوید، بلکه بتوانید تصمیم آگاهانه‌ای برای انتخاب و پیکربندی سوئیچ متناسب با نیازهای سازمان خود اتخاذ کنید.

مراحل اولیه راه‌اندازی سوئیچ سیسکو

راه‌اندازی اولیه سوئیچ سیسکو یکی از مهم‌ترین مراحل در پیاده‌سازی شبکه است که اگر به درستی انجام نشود، می‌تونه در آینده دردسرهای زیادی ایجاد کنه. سوئیچ‌های سیسکو تجهیزات plug-and-play معمولی نیستند و نیاز به راه‌اندازی اولیه، مانیتورینگ مستمر و نگهداری دارند. برخلاف تصور عموم، حتی با خرید گران‌قیمت‌ترین مدل‌ها هم نمی‌تونید بدون تنظیمات اولیه، عملکرد مطلوبی داشته باشید.

در تجربه‌های عملی متوجه شدیم که بسیاری از مشکلات امنیتی شبکه‌های سازمانی، ریشه در همین مرحله اولیه دارند. مهندسانی که به دلیل فشار زمانی یا کم‌اهمیت دانستن این مرحله، از تنظیمات پیش‌فرض عبور می‌کنند، در واقع دروازه‌های امنیتی سازمان رو باز می‌گذارند. به همین دلیل، در این بخش قصد داریم گام به گام و با جزئیات کامل، نحوه راه‌اندازی صحیح رو بررسی کنیم.

⚡

🔒

آموزش حرفه‌ای

کانفیگ سوئیچ سیسکو

راهنمای جامع پیکربندی از صفر تا صد

Switch> enable
Switch# configure terminal
Switch(config)# hostname CoreSwitch
CoreSwitch(config)#

CISCO

پورت‌های فعال ۴۸

VLAN تعریف شده ۱۲

Uptime ۹۹.۹%

اتصال به سوئیچ و دسترسی Console

اولین قدم برای کانفیگ هر سوئیچ شبکه، برقراری ارتباط فیزیکی با دستگاه است. برای اتصال به پورت کنسول سوئیچ، باید از یک کابل کنسول استفاده کنید که یک سر آن به پورت کنسول سوئیچ و سر دیگر به پورت سریال کامپیوتر متصل می‌شود. اما چالش اینجاست که اکثر لپ‌تاپ‌های امروزی فاقد پورت سریال هستند و نیاز به استفاده از مبدل USB به Serial دارید.

برای اتصال به سوئیچ، ابتدا باید نوع پورت کنسول رو شناسایی کنید. پورت کنسول سوئیچ‌ها می‌تواند Serial یا Mini USB باشد و بسته به نوع آن، باید از آداپتورهای مختلف استفاده کنید. معمولاً از دو نوع کابل استفاده می‌شه: کابل کنسول Serial DB-9 به Ethernet RJ45 (که رایج‌ترین نوع است) و آداپتور USB به Serial DB-9 برای سیستم‌هایی که پورت سریال ندارند.

پس از اتصال فیزیکی، نیاز به نرم‌افزار ترمینال دارید. نرم‌افزار PuTTY یکی از محبوب‌ترین ابزارهای رایگان برای SSH، Telnet و اتصالات سریال است که متاسفانه فقط در ویندوز پشتیبانی می‌شود. برای سیستم‌عامل‌های Linux یا macOS، گزینه‌هایی مثل SecureCRT و MobaXTerm وجود دارد.

برای پیکربندی اتصال در PuTTY، مراحل زیر رو دنبال کنید: ابتدا پورت COM که کابل به آن متصل است رو شناسایی کنید (از Device Manager ویندوز)، سپس در PuTTY گزینه Serial رو انتخاب کرده و پارامترهای پیش‌فرض رو تنظیم کنید:

تنظیمات استاندارد PuTTY:

Baud rate: 9600
Data bits: 8
Stop bits: 1
Parity: None
Flow Control: None

تنظیمات پایه Hostname, Password, IP

بعد از برقراری ارتباط موفق با سوئیچ، زمان انجام تنظیمات پایه فرا می‌رسه. برای ورود به حالت Privileged mode که امکان دسترسی به تمام دستورات کانفیگ سوئیچ سیسکو رو فراهم می‌کند، باید مراحل زیر را طی کنید:
۱. ورود به حالت Privileged Mode:

Switch> enable
Switch#

۲. ورود به Global Configuration Mode:

Switch# configure terminal
Switch(config)#

۳. تنظیم Hostname:

Switch(config)# hostname SW-Floor2-Sales
SW-Floor2-Sales(config)#

انتخاب نام مناسب که بیانگر موقعیت یا کاربرد سوئیچ باشه، در مدیریت شبکه‌های بزرگ بسیار کمک‌کننده است.

۴. تنظیم رمزهای عبور:
رمز enable secret نسبت به enable password ارجحیت دارد و به صورت رمزگذاری شده ذخیره می‌شود:

SW-Floor2-Sales(config)# enable secret P@ssw0rd123
SW-Floor2-Sales(config)# enable password cisco123

۵. رمزگذاری تمام پسوردها:

SW-Floor2-Sales(config)# service password-encryption

۶. تنظیم رمز برای Console:

SW-Floor2-Sales(config)# line console 0
SW-Floor2-Sales(config-line)# password ConsolePass123
SW-Floor2-Sales(config-line)# login
SW-Floor2-Sales(config-line)# exit

۷. تنظیم IP مدیریتی:

SW-Floor2-Sales(config)# interface vlan 1
SW-Floor2-Sales(config-if)# ip address 192.168.1.100 255.255.255.0
SW-Floor2-Sales(config-if)# no shutdown
SW-Floor2-Sales(config-if)# exit

۸. تنظیم Default Gateway:

SW-Floor2-Sales(config)# ip default-gateway 192.168.1.1

مطمئن شوید که Gateway در همان شبکه‌ای قرار دارد که به دستگاه IP داده‌اید.
۹. ذخیره تنظیمات:

SW-Floor2-Sales# copy running-config startup-config

یا

SW-Floor2-Sales# write memory

این دستور تنظیمات رو ذخیره می‌کنه تا در صورت قطع برق یا ری‌استارت، از دست نرن.

فعال‌سازی SSH برای دسترسی از راه دور :

یکی از مهم‌ترین قابلیت‌های امنیتی در سوئیچ‌های سیسکو، امکان دسترسی از راه دور با استفاده از پروتکل SSH است. SSH یک روش امن برای دسترسی از راه دور است که شامل احراز هویت و رمزنگاری می‌شود و از یک جفت کلید عمومی/خصوصی RSA استفاده می‌کند. برخلاف Telnet که اطلاعات را بصورت plain text ارسال می‌کنه، SSH تمامی ترافیک رو رمزنگاری می‌کنه.
برای پیکربندی SSH روی سوئیچ سیسکو، باید hostname، domain name، و یک username با privilege 15 و رمز عبور تنظیم کنید. همچنین، سوئیچ باید دارای تصویر IOS با قابلیت crypto باشه .

مراحل فعال‌سازی SSH:

تنظیم domain name:

Switch(config)# ip domain-name company.local

۲. ایجاد کاربر محلی با سطح دسترسی کامل:

Switch(config)# username admin privilege 15 secret Admin@123

۳. تولید کلیدهای RSA:
توصیه می‌شود که حداقل اندازه modulus برابر با ۱۰۲۴ بیت باشد. modulus بلندتر ممکن است امنیت بیشتری فراهم کند اما زمان بیشتری برای تولید و استفاده نیاز دارد.

Switch(config)# crypto key generate rsa
The name for the keys will be: Switch.company.local
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 3 seconds)

۴. تنظیم نسخه SSH:

Switch(config)# ip ssh version 2

۵. تنظیمات اضافی SSH:

Switch(config)# ip ssh time-out 60
Switch(config)# ip ssh authentication-retries 3

۶. پیکربندی خطوط VTY برای SSH:
تنظیم transport input به SSH تضمین می‌کند که فقط اتصالات SSH مجاز هستند و Telnet و سایر روش‌ها غیرفعال می‌شوند.

Switch(config)# line vty 0 15
Switch(config-line)# transport input ssh
Switch(config-line)# login local
Switch(config-line)# exec-timeout 10 0
Switch(config-line)# exit

۷. (اختیاری) فعال‌سازی SCP برای انتقال فایل:

Switch(config)# ip scp server enable

۸. تنظیمات امنیتی پیشرفته:
برای محدود کردن دسترسی SSH به IP های خاص:

Switch(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Switch(config)# line vty 0 15
Switch(config-line)# access-class 10 in

بررسی وضعیت SSH:

Switch# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 3

Switch# show ssh
Connection Version Mode Encryption  Hmac         State
۰          ۲.۰     IN   aes256-cbc  hmac-sha1    Session started

نکات مهم:

قبل از غیرفعال کردن Telnet، حتماً SSH رو تست کنید تا از دسترسی خودتون مطمئن بشید
برای اتصال از راه دور می‌تونید از نرم‌افزارهایی مثل PuTTY، SecureCRT یا MobaXterm استفاده کنید
پورت پیش‌فرض SSH پورت ۲۲ است
در صورت نیاز به تغییر کلیدهای RSA، از دستور زیر استفاده کنید:

Switch(config)# crypto key zeroize rsa

اتصال به سوئیچ از طریق SSH:
از کامپیوتر با استفاده از PuTTY

در قسمت Host Name آدرس IP مدیریتی سوئیچ رو وارد کنید
پورت ۲۲ رو انتخاب کنید
Connection type رو روی SSH قرار دهید
روی Open کلیک کنید

از یک دستگاه سیسکو دیگر:

Router# ssh -l admin 192.168.1.100

کانفیگ پیشرفته سوئیچ سیسکو

در این مرحله وارد تنظیمات پیشرفته‌ای می‌شیم که قلب عملکرد یک شبکه حرفه‌ای رو تشکیل می‌دن. این تنظیمات تفاوت میان یک شبکه ابتدایی و یک زیرساخت قابل اعتماد رو مشخص می‌کنند. براساس پروژه‌هایی که در دیتاسنترهای مختلف اجرا کردیم، عدم پیکربندی صحیح این بخش‌ها منجر به مشکلات عملکردی جدی و گاهی قطعی‌های چندساعته شده است.

پیکربندی VLAN در سوئیچ سیسکو

VLAN یکی از مهم‌ترین مفاهیم در شبکه‌های مدرن است که امکان جداسازی منطقی ترافیک رو فراهم می‌کنه. پورت access عضو untagged تنها یک VLAN است و برای اتصال دستگاه‌های انتهایی استفاده می‌شود. پورت trunk می‌تواند عضو untagged حداکثر یک VLAN و عضو tagged چندین VLAN باشد.

برای ایجاد VLAN جدید، ابتدا وارد حالت Global Configuration بشید:

Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name Sales_Department
Switch(config-vlan)# exit

Switch(config)# vlan 20
Switch(config-vlan)# name Finance_Department
Switch(config-vlan)# exit

برای تخصیص پورت به VLAN به عنوان Access Port:

Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit

برای تنظیم چندین پورت همزمان، می‌توانید از interface range استفاده کنید تا دستورات را به چندین interface به طور همزمان اعمال کنید.

Switch(config)# interface range fastethernet 0/1 - 12
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10

پیکربندی Trunk Port برای ارتباط بین سوئیچ‌ها اهمیت ویژه‌ای دارد. پورت‌های trunk امکان انتقال فریم‌های VLAN-tagged بین سوئیچ‌ها را فراهم می‌کنند و پروتکل ۸۰۲.1Q استانداردی است که برای VLAN tagging استفاده می‌شود.

Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)# switchport trunk allowed vlan 10,20,30

برای بررسی وضعیت VLANها:

Switch# show vlan brief
Switch# show interfaces trunk
Switch# show interfaces switchport

تنظیمات Port Security و امنیت

Port Security یکی از ویژگی‌های مهم امنیتی سوئیچ‌ سیسکو است که از دسترسی غیرمجاز به شبکه جلوگیری می‌کنه. این قابلیت با محدود کردن MAC Address های مجاز روی هر پورت، امنیت لایه ۲ رو به شدت افزایش می‌ده.
فعال‌سازی Port Security:

Switch(config)# interface fastethernet 0/5
Switch(config-if)# switchport mode access
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security violation restrict

تنظیمات Violation Actions:

Protect: پکت‌های غیرمجاز دراپ می‌شوند اما لاگی ثبت نمی‌شود
Restrict: پکت‌ها دراپ شده و لاگ ثبت می‌شود
Shutdown: پورت به حالت err-disabled می‌رود (پیش‌فرض)

Switch(config-if)# switchport port-security violation shutdown

برای مشاهده وضعیت Port Security:

Switch# show port-security
Switch# show port-security interface fastethernet 0/5
Switch# show port-security address

در صورتی که پورتی به دلیل تخلف امنیتی غیرفعال شده، برای فعال‌سازی مجدد:

Switch(config)# interface fastethernet 0/5
Switch(config-if)# shutdown
Switch(config-if)# no shutdown

یا استفاده از بازیابی خودکار:

Switch(config)# errdisable recovery cause psecure-violation
Switch(config)# errdisable recovery interval 300

پیکربندی Spanning Tree Protocol

برای جلوگیری از loop در شبکه، STP به طور معمول همه لینک‌های موازی بین سوئیچ‌ها را به جز یکی مسدود می‌کند. Configuring VLAN Trunks • Prerequisites for VLAN Trunks, on page 1 تنظیم صحیح STP برای عملکرد بهینه و جلوگیری از قطعی‌های ناخواسته ضروری است.
فعال‌سازی Rapid Spanning Tree:

Switch(config)# spanning-tree mode rapid-pvst
Switch(config)# spanning-tree vlan 10 root primary
Switch(config)# spanning-tree vlan 20 root secondary

تنظیمات PortFast برای پورت‌های Access:

Switch(config)# interface fastethernet 0/10
Switch(config-if)# spanning-tree portfast
Switch(config-if)# spanning-tree bpduguard enable

فعال‌سازی PortFast به صورت Global:

Switch(config)# spanning-tree portfast default
Switch(config)# spanning-tree portfast bpduguard default

تنظیم Priority برای انتخاب Root Bridge:

Switch(config)# spanning-tree vlan 10 priority 4096

دستورات مانیتورینگ STP:

Switch# show spanning-tree
Switch# show spanning-tree vlan 10
Switch# show spanning-tree summary
Switch# show spanning-tree interface gigabitethernet 0/1

تنظیمات BPDU Guard و Root Guard برای امنیت بیشتر:

Switch(config-if)# spanning-tree guard root
Switch(config-if)# spanning-tree bpdufilter enable

چرا نمی‌توانم با PuTTY به سوئیچ متصل شوم؟

ممکن است کابل کنسول معیوب است (از کابل Rollover استفاده کنید نه Straight)
یا پورت COM اشتباه انتخاب شده (از Device Manager چک کنید)
یا تنظیمات Baud Rate درست نیست (باید ۹۶۰۰ باشد).

رمز عبور سوئیچ را فراموش کرده‌ام، چگونه آن را بازیابی کنم؟

سوئیچ را خاموش کنید. دکمه Mode را نگه دارید و سوئیچ را روشن کنید. در حالت ROMMON دستور flash_init را اجرا کنید. فایل config را rename یا حذف کنید. سوئیچ را ریستارت کنید.

چرا بعد از تنظیم IP نمی‌توانم به سوئیچ ping بزنم؟

رایج‌ترین دلیل این مشکل، فراموش کردن فعال‌سازی interface VLAN 1 است که باید با دستور no shutdown در حالت interface vlan 1 انجام شود. همچنین حتماً بررسی کنید که IP سوئیچ و Default Gateway در یک subnet قرار داشته باشند، مثلاً اگر IP شما ۱۹۲.۱۶۸.۱.۱۰/۲۴ است، Gateway باید در رنج ۱۹۲.۱۶۸.۱.۰/۲۴ باشد نه در شبکه دیگری.
مورد مهم دیگر، تنظیم صحیح Default Gateway با دستور ip default-gateway 192.168.1.1 است که بدون آن، سوئیچ نمی‌تواند به شبکه‌های دیگر پاسخ دهد. اگر همه موارد فوق درست است اما همچنان مشکل دارید، احتمالاً یک ACL یا فایروال در مسیر، ترافیک ICMP را بلاک می‌کند که باید با دستور show access-lists بررسی شود.

چرا پورت‌هایی که به VLAN اختصاص دادم کار نمی‌کنند؟

این مشکل معمولاً چند دلیل اصلی دارد که باید به ترتیب بررسی کنید. اولین نکته‌ای که باید چک کنید این است که آیا اصلاً VLAN مورد نظر روی سوئیچ ایجاد شده یا خیر. با استفاده از دستور show vlan brief می‌تونید لیست تمام VLAN های موجود رو مشاهده کنید. اگر VLAN شما در این لیست نیست، ابتدا باید با دستورات vlan 10 و name Sales اون رو ایجاد کنید.
قدم بعدی بررسی وضعیت پورت است. پورت باید حتماً در حالت access تنظیم شده باشد که با دستور switchport mode access این کار انجام می‌شود. گاهی اوقات فراموش می‌کنیم که پورت در حالت shutdown قرار دارد، پس حتماً با دستور no shutdown در حالت interface configuration اون رو فعال کنید.
نکته مهم دیگر، بررسی ارتباط بین سوئیچ‌ها است. اگر VLAN شما قرار است بین چند سوئیچ کار کند، باید مطمئن شوید که پورت trunk بین سوئیچ‌ها، اجازه عبور این VLAN رو می‌دهد. با دستور show interfaces trunk می‌تونید ببینید که کدام VLAN ها از trunk عبور می‌کنند. در صورت نیاز با دستور switchport trunk allowed vlan add 10 می‌تونید VLAN مورد نظر رو به لیست allowed اضافه کنید.

خطای ” Invalid input detected” یعنی چه؟

خطای “% Invalid input detected” یعنی چه؟
این خطا معمولاً زمانی رخ می‌دهد که دستور را اشتباه تایپ کرده‌اید یا در Mode نامناسبی هستید، مثلاً سعی می‌کنید دستورات configuration را در حالت User EXEC یا Privileged EXEC اجرا کنید در حالی که باید ابتدا با configure terminal وارد Global Configuration Mode شوید. برای اطمینان از Mode صحیح، به شکل prompt دقت کنید: > برای User mode، # برای Privileged mode و (config)# برای Configuration mode است.
احتمال دیگر این است که IOS سوئیچ شما این دستور خاص را پشتیبانی نمی‌کند، که می‌تواند به دلیل نسخه قدیمی IOS یا نداشتن image مناسب (مثل k9 برای دستورات crypto) باشد. با دستور show version می‌توانید نسخه IOS و نوع image را بررسی کنید و در صورت نیاز، IOS را آپگرید کنید یا license مورد نیاز را فعال کنید.

چگونه تنظیمات را ذخیره کنم که بعد از restart پاک نشود؟

Switch# copy running-config startup-config
یا
Switch# write memory

امیدواریم این مقاله برای شما مفید واقع شده باشد. می توانید دیدگاه خود را با ما به اشتراک بگذارید.اگر در مورد این موضوع علاقمند هستید مقاله _{پیکربندی سوئیچ شبکه سیسکو} را مطالعه کنید.

جهت هرگونه مشاوره در زمینه خرید تجهیزات شبکه با ما تماس بگیرید کارشناسان ما آماده پاسخگویی به شما هستند.