Cisco Aironet 2600i を買った時の初期設定メモ
以下が前提条件です
- 買ったのは Cisco Aironet 2600i (AIR-SAP2602I-Q-K9)
- IOSは自立型のものが入っている
- ap3g2-k9w7 で始まるものは自立型(Autonomous)
- ap3g2-k9w8 で始まるものは集中管理型(Lightweight)
- show versionすれば諸々書いてある
IOSバックアップと初期化
- USBメモリは刺さらないので頑張ってtftpにバックアップ取る
- 初期enableパスワードはCisco
- 入れないときはModeボタン押しながら電源入れて初期化
# 特権
enable
configure terminal
# BVI1に適当なIPアドレス振る
interface BVI 1
ip address 192.168.20.3 255.255.255.0
exit
ip default-gateway 192.168.20.1
# tftp宛にバックアップ取る
archive upload-sw tftp://192.168.10.50/ios.tar
- 色々初期化
# config削除
erase startup-config
# flashの中身を見ながらIOSのディレクトリ以外を消していく
dir flash:
delete /force /recursive flash:managed
- WebGUIから [SOFTWARE]->[System configuration]->[Reset to Factory Defaults:] で初期化する
- erase startup-configだとIPアドレス関連の設定が戻らない
Cisco共通設定
# 特権
enable
configure terminal
# ホスト名
hostname ap01
# ログのコンソール出力を切る
no logging console
# enableパスワード設定
enable secret <Password>
# 日本時間にする
clock timezone JST 9
# ログの時刻を日本時間にして可能な限り詳細に出す
service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
# ログのバッファを増やす(値はcisco推奨値らしいが大きすぎる?)
logging buffered 512000 debugging
WebUIに入るまで
interface BVI 1
# デフォルトでBVIに振られているIPv6周りの設定を切る
no ipv6 enable
no ipv6 address dhcp
no ipv6 address autoconfig
# 改めてBVI1に適当なIPアドレス振る
ip address 192.168.20.3 255.255.255.0
exit
# デフォルトゲートウェイを設定する
ip default-gateway 192.168.20.1
# ユーザー名を作り直す
no username Cisco
username admin secret <パスワード>
- http://192.168.20.3/ でWebUIが開くはず
NTP設定
- NTPサーバはINTERNET MULTIFEEDのものを使う
# NTPを指定する
sntp server 210.173.160.27
sntp server 210.173.160.57
sntp server 210.173.160.87
- 疎通確認
show sntp
SSH
# 適当にドメイン名をつける(つけないと鍵生成できない)
ip domain-name myhome.test
# rsa鍵を2048bitで作る
crypto key generate rsa modulus 2048
# SSH version2を使う
ip ssh version 2
# デフォルトでvty 0 4が定義されていたのでそれを上書きしていく
line vty 0 4
# local認証を有効化する(これが無いと公開鍵認証が通らなかった)
login local
# vtyをsshで使う
transport input ssh
exit
# 公開鍵登録
ip ssh pubkey-chain
username <ID>
key-string
<公開鍵を適当に分割しながら貼り付ける>
exit
exit
exit
コンソール接続
- 必ずSSH接続できるようになってから行う
- コンソール接続すら出来なくなるとconfig初期化になる
# コンソール接続でローカル認証かける
line console 0
login local
exit
NW周り
- WebGUIから[HOME]->[Easy Setup]->[Network Configuration]->[Radio Configuration]で出来ることをCLIでやる
# WPA-PSKが自動で暗号化されるのを切る
# 普通なら切らない方がいい
no service password-encryption
# 2.4GHz用SSID
dot11 ssid ap24
# つなげるVLAN
vlan 10
# Open認証にする(WEPが使われていた時代の認証を切る)
authentication open
# WPA2を使う
authentication key-management wpa version 2
# WPA2のパスワード
wpa-psk ascii <パスワード>
# SSIDを公開する
guest-mode
exit
# 5GHz用SSID パラメータは2.4GHzと同じ
dot11 ssid ap50
vlan 10
authentication open
authentication key-management wpa version 2
guest-mode
wpa-psk ascii <パスワード>
exit
# 物理InterfaceのトランクポートでVLAN ID 10を通す(諸々のパラメータはデフォルト値)
interface GigabitEthernet 0.10
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 spanning-disabled
no bridge-group 10 source-learning
exit
# 2.4GHzの物理InterfaceのトランクポートでVLAN ID 10を通す(諸々のパラメータはデフォルト値)
interface Dot11Radio 0.10
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
exit
# 5GHzの物理InterfaceのトランクポートでVLAN ID 10を通す(諸々のパラメータはデフォルト値)
interface Dot11Radio 1.10
encapsulation dot1Q 10
bridge-group 10
bridge-group 10 subscriber-loop-control
bridge-group 10 spanning-disabled
bridge-group 10 block-unknown-source
no bridge-group 10 source-learning
no bridge-group 10 unicast-flooding
exit
# 2.4GHzの物理Interface
interface Dot11Radio 0
# AESを使うかどうか
encryption vlan 10 mode ciphers aes-ccm
# SSIDの割り当て
ssid ap24
no shutdown
exit
# 5GHzの物理Interface
interface Dot11Radio 1
# AESを使うかどうか
encryption vlan 10 mode ciphers aes-ccm
# SSIDの割り当て
ssid ap50
no shutdown
exit
その他
- 前面のLEDを消す
led display off
- 最後に忘れず保存する
copy running-config startup-config