Включение Port Security
Port security может быть включена на порту одной командой:
Switch(config)# interface f0/13 Switch(config-if)# switchport port-security
В данном примере Port Security включается только на одном порту, хотя в реальных условиях она обычно задействуется на всех пользовательских портах.
После включения Port Security можно посмотреть настройки Port Security по-умолчанию при помощи команды:
Switch# show port-security interface f0/13 Port Security : Enabled Port Status : Secure-down Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0
Как можно заметить, в настройках существует ряд параметров, которые можно настроить. Обо всем по порядку.
Когда какое-либо устройство подключается к порту коммутатора, коммутатор изучает MAC адрес источника первого кадра поступившего на его порт:
Switch# show port-security interface f0/13 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 001b.d41b.a4d8:10 Security Violation Count : 0
Теперь в качестве эксперимента подключим к этому порту коммутатора хаб, к которому подключим то-же устройство, плюс еще одно новое устройство. В такой ситуации порт коммутатора будет получать кадры с двумя разными MAC адресами источника. Посмотрим, что произойдет, когда второе устройство начнет передавать трафик:
%PM-4-ERR_DISABLE: psecure-violation error detected on Fa0/13, putting Fa0/13 in err-disable state %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0021.55c8.f13c on port FastEthernet0/13. %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/13, changed state to down %LINK-3-UPDOWN: Interface FastEthernet0/13, changed state to down
Снова просмотрим состояние Port Security на порту, появление кадров с новым MAC адресом на порту коммутатора привело к выключению этого порта :
Switch# show port-security interface f0/13 Port Security : Enabled Port Status : Secure-shutdown Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0021.55c8.f13c:10 Security Violation Count : 1 Switch# show interfaces f0/13 FastEthernet0/13 is down, line protocol is down (err-disabled) Hardware is Fast Ethernet, address is 0013.c412.0f0d (bia 0013.c412.0f0d) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ...
По умолчанию, port security violation переводит порт в состояние error-disabled. В данном случае администратор может вновь включить порт применяя последовательно команды и . Но это имеет смысл делать только после отключения «лишнего» усройства, иначе порт будет снова отключен при полученнии кадра с MAC адресом этого устройства.
[править] Настройка VLAN на маршрутизаторах Cisco
Передача трафика между VLANами с помощью маршрутизатора
Передача трафика между VLAN может осуществляться с помощью маршрутизатора. Для того чтобы маршрутизатор мог передавать трафик из одного VLAN в другой (из одной сети в другую), необходимо, чтобы в каждой сети у него был интерфейс. Для того чтобы не выделять под сеть каждого VLAN отдельный физический интерфейс, создаются логические подынтерфейсы на физическом интерфейсе для каждого VLAN.
На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как тегированный порт (в терминах Cisco — транк).
Изображенная схема, в которой маршрутизация между VLAN выполняется на маршрутизаторе, часто называется router on a stick.
IP-адреса шлюза по умолчанию для VLAN (эти адреса назначаются на подынтерфейсах маршрутизатора R1):
VLAN | IP-адрес |
---|---|
VLAN 2 | 10.0.2.1 /24 |
VLAN 10 | 10.0.10.1 /24 |
VLAN 15 | 10.0.15.1 /24 |
Для логических подынтерфейсов необходимо указывать то, что интерфейс будет получать тегированный трафик и указывать номер VLAN соответствующий этому интерфейсу. Это задается командой в режиме настройки подынтерфейса:
R1(config-if)# encapsulation dot1q <vlan-id>
Создание логического подынтерфейса для VLAN 2:
R1(config)# interface fa0/0.2 R1(config-subif)# encapsulation dot1q 2 R1(config-subif)# ip address 10.0.2.1 255.255.255.0
Создание логического подынтерфейса для VLAN 10:
R1(config)# interface fa0/0.10 R1(config-subif)# encapsulation dot1q 10 R1(config-subif)# ip address 10.0.10.1 255.255.255.0
Соответствие номера подынтерфейса и номера VLAN не является обязательным условием. Однако обычно номера подынтерфейсов задаются именно таким образом, чтобы упростить администрирование. |
На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как статический транк:
interface FastEthernet0/20 switchport trunk encapsulation dot1q switchport mode trunk
Пример настройки
Конфигурационные файлы устройств для схемы изображенной в начале раздела.
Конфигурация sw1:
! interface FastEthernet0/1 switchport mode access switchport access vlan 2 ! interface FastEthernet0/2 switchport mode access switchport access vlan 2 ! interface FastEthernet0/3 switchport mode access switchport access vlan 15 ! interface FastEthernet0/4 switchport mode access switchport access vlan 10 ! interface FastEthernet0/5 switchport mode access switchport access vlan 10 ! interface FastEthernet0/20 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk allowed vlan 2,10,15 !
Конфигурация R1:
! interface fa0/0.2 encapsulation dot1q 2 ip address 10.0.2.1 255.255.255.0 ! interface fa0/0.10 encapsulation dot1q 10 ip address 10.0.10.1 255.255.255.0 ! interface fa0/0.15 encapsulation dot1q 15 ip address 10.0.15.1 255.255.255.0 !
Настройка native VLAN
По умолчанию трафик VLAN’а 1 передается не тегированым (то есть, VLAN 1 используется как native), поэтому на физическом интерфейсе маршрутизатора задается адрес из сети VLAN 1.
Задание адреса на физическом интерфейсе:
R1(config)# interface fa0/0 R1(config-if)# ip address 10.0.1.1 255.255.255.0
Если необходимо создать подынтерфейс для передачи не тегированного трафика, то в этом подынтерфейсе явно указывается, что он принадлежит native VLAN. Например, если native VLAN 99:
R1(config)# interface fa0/0.99 R1(config-subif)# encapsulation dot1q 99 native R1(config-subif)# ip address 10.0.99.1 255.255.255.0
Show
- show port-security interface fa 0/1 — смотрим port-security статус порта
- show memory statistics — показывает краткую статистику используемой памяти
Проверка корректности настройки безопасности на портах:
- show port-security address — покажет какие mac-адреса прописаны на портах
- show port-security — покажет на каких портах включено port-security и какая реакция при появлении незнакомого mac-адреса
- show interface description — покажет описания портов и статус (up, down, admin down)
Термины:
- STP (Spanning Tree Protocol, протокол связующего дерева) — сетевой протокол. Основной задачей STP является устранение петель в сети, в которой есть один или более сетевых мостов, связанных избыточными соединениями. STP решает эту задачу, автоматически блокируя соединения, которые в данный момент для полной связности коммутаторов являются избыточными.
- BPDU (Bridge Protocol Data Unit) — фрейм (единица данных) протокола управления сетевыми мостами, IEEE 802.1d, базируется на реализации протокола STP (Spanning Tree Protocol). Используется для исключения возможности возникновения петель в сетях передачи данных при наличии в них многосвязной топологии.
Остальные cisco заметки:
- logging buffered 40960 — увеличиваем log buffer до 40960 байтов. Чтобы понимать насколько можно увеличить смотрите на Processor в show memory statistics
- username имя password пароль — хранение пароля в шифрованном виде, алгоритм шифрования обратимый
- username имя secret пароль — хранение пароля в шифрованном виде, алгоритм шифрования md5crypt (они же MD5(Unix), FreeBSD MD5, Cisco-IOS MD5)
- тестирование канала (скорости, потери пакетов и тд): команда ttcp
- создание интерфейса с ip-адресом:
- configure — переходим в режим конфигурации
- interface Vlan50 — создаем, например, интерфейс для Vlan50
- ip address 172.16.11.100 — прописываем для этого интерфейса ip-адрес
Step 5: Configure PortFast, and BPDU Guard.
- Enable PortFast on all the access ports that are in use on SW-1.
- Enable BPDU Guard on all the access ports that are in use on SW-1.
- Configure SW-2 so that all access ports will use PortFast by default.
End of document
SW1 Configurations
enable
configure terminal
spanning-tree portfast default
interface FastEthernet0/1
ip dhcp snooping limit rate 5
switchport mode access
switchport port-security
switchport port-security maximum 4
switchport port-security mac-address sticky
switchport port-security violation restrict
switchport port-security mac-address 0010.11E8.3CBB
spanning-tree portfast
spanning-tree bpduguard enable
!
interface range FastEthernet0/2, FastEthernet0/10,FastEthernet0/24
ip dhcp snooping limit rate 5
switchport mode access
switchport port-security
switchport port-security maximum 4
switchport port-security mac-address sticky
switchport port-security violation restrict
spanning-tree portfast
spanning-tree bpduguard enable
!
interface range FastEthernet0/3 – 9, FastEthernet0/11 – 23
switchport access vlan 999
shutdown
!
interface range GigabitEthernet0/1 – 2
switchport trunk native vlan 100
ip dhcp snooping trust
switchport mode trunk
switchport nonegotiate
vlan 100
name Native
vlan 999
name BlackHole
SW-2 Configuration
enable
configure terminal
ip dhcp snooping
ip dhcp snooping vlan 10,20,99
spanning-tree portfast default
interface GigabitEthernet0/1
switchport trunk native vlan 100
switchport mode trunk
switchport nonegotiate
!
interface GigabitEthernet0/2
switchport trunk native vlan 100
switchport mode trunk
switchport nonegotiate
Доброго времени суток!!!
- 1- создать, приведенные на рисунке, vlan;
- 2- настроить на коммутаторах соответствующие режимы VTP;
- 3- настроить VTP таким образом, чтобы Vlan_4 присутствовал только на Switch_2;
- 4- хосты из Vlan_3 должны ping-овать друг друга;
- 5- хост из Vlan_4 должен ping-овать IP – адреса коммутаторов.
- Switch_1: порт F1/0 – trunk, F1/1 – F1/4 – vlan_1, F1/5 – F1/9 – vlan_2, F1/10 – F1/15 – vlan_3;
- Switch_2: порт F1/0, F1/1 – trunk, F1/7 – F1/15 – vlan_1, F1/2 – F1/6 – vlan_4;
- Switch_3: порт F1/1 – trunk, F1/0, F1/2 – F1/9 – vlan_1, F1/10 – F1/15 – vlan_3;
- R1>en
- R1#conf t
- R1(config)#hostname Switch_1 – задаем имя коммутатору;
- Switch_1(config)#int vlan 1
- Switch_1(config-if)#ip address 192.168.1.1 255.255.255.0 – задаем IP-адрес нашему коммутатору;
- Switch_1(config-if)#no sh
- Switch_1(config-if)#exit
- Switch_1(config)#vlan 2 – создаем vlan_2;
- Switch_1(config-vlan)#name vlan_2 – задаем ему имя;
- Switch_1(config-vlan)#exit
- Switch_1(config)#vlan 3 – создаем vlan_3;
- Switch_1(config-vlan)#name vlan_3 – задаем ему имя;
- Switch_1(config-vlan)#exit
- Switch_1(config)#int range fa 1/5 – 9 – определяем группу интерфейсов;
- Switch_1(config-if-range)#switchport mode access – задаем режим интерфейсам;
- Switch_1(config-if-range)#switchport access vlan 2 – определяем интерфейсы соответствующему vlan;
- Switch_1(config-if-range)#exit
- Switch_1(config)#int range fa 1/10 — 15
- Switch_1(config-if-range)#switchport mode access
- Switch_1(config-if-range)#switchport access vlan 3
- Switch_1(config-if-range)#exit
- Switch_1(config)#int fa 1/0
- Switch_1(config-if)#switchport mode trunk – определяем интерфейс как trunk;
- Switch_1(config-if)#switchport trunk encapsulation dot1q – ставим режим инкапсуляции;
- Switch_1(config-if)#exit
- Switch_1(config)#vtp mode server – определяем коммутатору роль Server в VTP;
Device mode already VTP SERVER. - Switch_1(config)#vtp domain cisco – задаем имя VTP домену (должно быть одинаково на всех коммутаторах);
Changing VTP domain name from NULL to cisco - Switch_1(config)#vtp password ciscocisco – задаем пароль для VTP (должен быть одинаковым на всех коммутаторах);
Setting device VLAN database password to ciscocisco - Switch_1(config)#vtp version 2 – определяем версию VTP (должна быть одинаковая на всех коммутаторах);
- Switch_1(config)#exit
- Switch_1#wr
посте
- R2>en
- R2#conf t
- R2(config)#host
- R2(config)#hostname Switch_2
- Switch_2(config)#vtp mode transparent – ставим соответствующий режим VTP;
Setting device to VTP TRANSPARENT mode. - Switch_2(config)#vtp version 2
- Switch_2(config)#vtp domain cisco
Changing VTP domain name from NULL to cisco - Switch_2(config)#vtp password ciscocisco
Setting device VLAN database password to ciscocisco - Switch_2(config)#int vlan 1
- Switch_2(config-if)#ip address 192.168.1.2 255.255.255.0
- Switch_2(config-if)#no shutdown
- Switch_2(config-if)#exit
- Switch_2(config)#vlan 4
- Switch_2(config-vlan)#name Vlan_4
- Switch_2(config-vlan)#exit
- Switch_2(config)#int range fa 1/2 — 6
- Switch_2(config-if-range)#switchport mode access
- Switch_2(config-if-range)#switchport access vlan 4
- Switch_2(config-if-range)#exit
- Switch_2(config)#int fa 1/0
- Switch_2(config-if)#switchport mode trunk
- Switch_2(config-if)#switchport trunk encapsulation dot1q
- Switch_2(config-if)#exit
- Switch_2(config)#int fa 1/1
- Switch_2(config-if)#switchport mode trunk
- Switch_2(config-if)#switchport trunk encapsulation dot1q
- Switch_2(config-if)#exit
- Switch_2(config)#exit
- Switch_2#wr
- Switch_2#
- R3>en
- R3#conf t
- R3(config)#host
- R3(config)#hostname Switch_3
- Switch_3(config)#int vlan 1
- Switch_3(config-if)#ip address 192.168.1.3 255.255.255.0
- Switch_3(config-if)#no shutdown
- Switch_3(config-if)#exit
- Switch_3(config)#vtp version 2
- Switch_3(config)#vtp mode client
Setting device to VTP CLIENT mode. - Switch_3(config)#vtp domain cisco
Changing VTP domain name from NULL to cisco - Switch_3(config)#vtp password ciscocisco
Setting device VLAN database password to ciscocisco - Switch_3(config)#int fa 1/1
- Switch_3(config-if)#switchport mode trunk
- Switch_3(config-if)#switchport trunk encapsulation dot1q
- Switch_3(config-if)#exit
- Switch_3(config)#exit
- Switch_3#wr
- Switch_3#
- Switch_3#
- Switch_3#conf t
- Switch_3(config)#int range fa 1/10 — 15
- Switch_3(config-if-range)#switchport mode access
- Switch_3(config-if-range)#switchport access vlan 3
- Switch_3(config-if-range)#exit
- Switch_3(config)#exit
- Switch_3#
- Switch_2#conf t
- Switch_2(config)#vlan 3
- Switch_2(config-vlan)#exit
- Switch_2(config)#exit
- Switch_2#
Возможности VLAN
Используя виртуальные локальные сети, можно создавать конфигурации для решения различных задач:
Объединить в единую сеть группы компьютеров, подключённых к разным коммутаторам:
Компьютеры в VLAN 1 будут взаимодействовать между собой, хотя подключены к разным физическим коммутаторам, при этом сети VLAN 1 и VLAN 2 будут невидимы друг для друга.
Разделить на разные сети компьютеры, подключённые к одному коммутатору
При этом устройства в VLAN 1 и VLAN 2 не смогут взаимодействовать между собой.
Разделить гостевую и корпоративную беспроводную сеть компании:
Гости смогут подключаться к интернету, но не получат доступа к сети компании.
Обеспечить взаимодействие территориально распределённых отделов компании как единого целого:
Основные сведения:
Пример SVI
SVI-интерфейс представляет VLAN и принадлежащие ему порты, как один интерфейс для функций маршрутизации и коммутации в системе, он создается при создании interface vlan и поддерживает протоколы маршрутизации. Присутствует однозначное соотношение между SVI и VLAN. Любому VLAN соответствует только один SVI.
SVI конфигурируется для VLAN’ов по следующим причинам:
- для передачи трафика между виртуальными локальными сетями, предоставляя шлюз по умолчанию (gateway) для VLAN;
- для преодоления резервного переключения (если требуется использование немаршрутизируемых протоколов);
- для обеспечения 3 уровня (Layer 3 модели OSI) IP-подключения к коммутатору или switch’у;
- для поддержки конфигураций пробрасывания моста (bridging) и протокола маршрутизации.
Преимущества SVI:
- Гораздо быстрее, чем router-on-a-stick, потому что все оборудование аппаратно коммутирует.
- Нет необходимости в использовании внешних ссылок от коммутатора к маршрутизатора для маршрутизации.
- Не ограничивается одной ссылкой. Каналы EtherChannels уровня 2 (Layer 2 модели OSI ) могут использоваться между коммутаторами для увеличения пропускной способности.
- Задержка намного ниже, поскольку нет необходимости оставлять переключатель-switch.
Состояние cisco портов:
В обычном (802.1D) STP существует 5 различных состояний:
- блокировка (blocking) : блокированный порт не шлет ничего. Предназначено для предотвращения петель в сети. Блокированный порт, тем не менее, слушает BPDU (чтобы быть в курсе событий, это позволяет ему, когда надо, разблокироваться и начать работать)
- прослушивание (listening) : порт слушает и начинает сам отправлять BPDU, кадры с данными не отправляет.
- обучение (learning) : порт слушает и отправляет BPDU, а также вносит изменения в CAM- таблицу, но данные не перенаправляет.
- перенаправление\пересылка (forwarding) : может все: посылает\принимает BPDU, оперирует с данными и участвует в поддержании таблицы mac-адресов. То есть это обычное состояние рабочего порта.
- отключен (disabled) : состояние administratively down, отключен командой shutdown. Понятное дело, ничего делать не может вообще, пока вручную не включат.
Порядок перечисления состояний не случаен: при включении (а также при втыкании нового провода), все порты на устройстве с STP проходят вышеприведенные состояния именно в таком порядке (за исключением disabled-состояния). Зачем? STP осторожничает. Ведь на другом конце провода, который только что воткнули в порт, может быть свич, а это потенциальная петля. Поэтому порт сначала 15 секунд (по умолчанию) пребывает в состоянии прослушивания — он смотрит BPDU, попадающие в него, выясняет свое положение в сети — как бы чего ни вышло, потом переходит к обучению еще на 15 секунд — пытается выяснить, какие mac-адреса “в ходу” на линке, и потом, убедившись, что ничего он не поломает, начинает уже свою работу. Итого целых 30 секунд простоя, прежде чем подключенное устройство сможет обмениваться информацией со своими соседями. Современные компы грузятся быстрее, чем за 30 секунд. Вот комп загрузился, уже рвется в сеть, истерит на тему “DHCP-сервер, сволочь, ты будешь айпишник выдавать, или нет?”, и, не получив искомого, обижается и уходит в себя, извлекая из своих недр айпишник автонастройки. Естественно, после таких экзерсисов, в сети его слушать никто не будет, ибо “не местный” со своим 169.254.x.x. Понятно, что это не дело и в таком случае для портов на котором находятся конечные компьютеры, а не коммутаторы используется команда «spaning-tree portfast»
Trunk порты
Для того чтобы передать через порт трафик нескольких VLAN, порт переводится в режим trunk.
Режимы интерфейса (режим по умолчанию зависит от модели коммутатора):
- auto — Порт находится в автоматическом режиме и будет переведён в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме «auto», то trunk применяться не будет.
- desirable — Порт находится в режиме «готов перейти в состояние trunk»; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).
- trunk — Порт постоянно находится в состоянии trunk, даже если порт на другом конце не поддерживает этот режим.
- nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим «не-cisco» оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk’а.
По умолчанию в транке разрешены все VLAN. Для того чтобы через соответствующий VLAN в транке передавались данные, как минимум, необходимо чтобы VLAN был активным. Активным VLAN становится тогда, когда он создан на коммутаторе и в нём есть хотя бы один порт в состоянии up/up.
VLAN можно создать на коммутаторе с помощью команды vlan. Кроме того, VLAN автоматически создается на коммутаторе в момент добавления в него интерфейсов в режиме access.
Перейдем к демонстрационной схеме. Предположим, что вланы на всех коммутаторах уже созданы (можно использовать протокол VTP).
Настройка статического транка
Создание статического транка:
На некоторых моделях коммутаторов (на которых поддерживается ISL) после попытки перевести интерфейс в режим статического транка, может появится такая ошибка:
Это происходит из-за того, что динамическое определение инкапсуляции (ISL или 802.1Q) работает только с динамическими режимами транка. И для того, чтобы настроить статический транк, необходимо инкапсуляцию также настроить статически.
Для таких коммутаторов необходимо явно указать тип инкапсуляции для интерфейса:
И после этого снова повторить команду настройки статического транка (switchport mode trunk).
Динамическое создание транков (DTP)
Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию.
Режимы DTP на интерфейсе:
auto — Порт находится в автоматическом режиме и будет переведён в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме «auto», то trunk применяться не будет.desirable — Порт находится в режиме «готов перейти в состояние trunk»; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим «не-cisco» оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk’а.
Перевести интерфейс в режим auto:
Перевести интерфейс в режим desirable:
Перевести интерфейс в режим nonegotiate:
Проверить текущий режим DTP:
Полезные команды в Cisco Switch
switchport host
Команда switchport host:
- устанавливает порт в режим access
- включает spanning-tree PortFast
- отключает EtherChannel
Запретить передавать на порт unknown unicast пакеты:
Запретить передавать на порт unknown multicast пакеты:
mac address-table
Изменить время хранения адресов в таблице коммутации (по умолчанию 300 секунд):
Создать статическую запись:
Команда позволяет настроить фильтрацию по unicast MAC-адресу.
После указания MAC-адреса, коммутатор будет отбрасывать трафик, в котором указан адрес об отправителе или получателе.
Синтаксис команды:
sw(config)# mac address-table static <mac-addr> vlan <vlan-id> drop
Проверка:
Предварительные условия
Требования
Прежде чем воспользоваться этой конфигурацией, убедитесь, что вы владеете базовым уровнем знаний по следующим разделам:
-
Настройка EtherChannel
-
Настройка коммутаторов серии Catalyst 6500/6000 и 5500/5000 с использованием интерфейса командной строки.
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:
-
Коммутатор Catalyst 5505 с ПО CatOS версии 6.4(8)
-
Коммутатор Cisco Catalyst 6509 с ПО Cisco IOS версии 12.1(20)E
Примечание. Системные требования для реализации EtherChannel на коммутаторах Catalyst см. в статье Системные требования для реализации EtherChannel на коммутаторах Catalyst
Данные для этого документа были получены при тестировании указанных устройств в специально созданных лабораторных условиях. Все устройства начинали работу с чистой конфигурацией (конфигурацией по умолчанию). При работе в действующей сети необходимо изучить все возможные последствия каждой команды.
Условные обозначения
Дополнительные сведения о применяемых в документе обозначениях см. в Условные обозначения, используемые в технической документации Cisco.
Теоретические сведения
Настройка EtherChannel производится безусловно при помощи команды channel mode on или путем автоматического согласования. Если настройка производится посредством автоматического согласования, коммутатор выполняет согласование параметров канала с дальним концом. Для выполнения данного действия коммутатор использует частный протокол объединения портов (PAgP) Cisco (при помощи команды channel mode desirable) или управления объединением каналов IEEE 802.3ad (LACP) (при помощи команды channel mode active или channel mode passive) В данном документе при настройке EtherChannel для автоматического согласования используется PAgP.
Все коммутаторы Catalyst с системным ПО CatOS поддерживают протокол PAgP. Коммутаторы серии Catalyst 6500/6000 и 4500/4000 с системным ПО Cisco IOS также поддерживают протокол PAgP. Для установления EtherChannel между устройствами с поддержкой протокола PAgP рекомендуется работать в режиме «desirable». PAgP защищает от любых недействительных конфигураций между двумя устройствами. Если соединяющее устройство не поддерживает протокол PAgP и необходимо настроить канал, используйте команду channel mode on. Ключевые слова режима молчания (silent) или немолчания (non-silent) доступны в режимах канала «auto» и «desirable». В коммутаторах серии Catalyst 6500/6000 или 4500/4000 ключевое слово режима молчания по умолчанию включено на всех портах. В коммутаторах серии Catalyst 5500/5000 ключевое слово молчания включено по умолчанию на медных портах. Ключевое слово немолчания включено по умолчанию на всех волоконных портах (FE и Gigabit Ethernet ) для коммутаторов серии Catalyst 5500/5000. Используйте ключевое слово молчания или немолчания при соединении коммутаторов Cisco.
Примечание. Дополнительные сведения о режиме настройки PAgP и режимах молчания и немолчания см. в разделах и документа Настройка канала EtherChannel между коммутаторами Catalyst 4500/4000, 5500/5000 и 6500/6000, работающими под управлением ПО CatOS.
Исключение поддеревьев VTP
Наконец отметим, что в протокол VTP включено весьма важное усовершенствование, известное под названием исключение поддеревьев VTP, которое позволяет программному обеспечению VTP автоматически определять, какие виртуальные локальные сети представлены на данном конкретном коммутаторе, и удалять (или исключать) ненужный широковещательный трафик, направленный из таких коммутаторов. Например, как показано на рис.3, на коммутаторе Tama представлены только
виртуальные локальные сети VLAN 1 и VLAN 4, но по умолчанию на него также поступает весь широковещательный трафик для сетей VLAN 2 и 3
Если бы исключение поддеревьев VTP было разрешено, то широковещательный трафик для виртуальных локальных сетей VLAN 2 и 3 был бы заблокирован, иными словами, не направлен по магистральному соединению с коммутатором Tama, поскольку эти виртуальные локальные сети на нем не представлены.
Рис. 3. Существующий по умолчанию поток широкове- щатеяьного трафика для виртуальных локальных сетей VLAN 2 и 3 без применения метода исключения поддеревьев
Очевидно, что это усовершенствование приводит к существенному сокращению широковещательного трафика в таких сетях, где на каждом коммутаторе представлены не все виртуальные локальные сети (пример подобной сети приведен на рис.4),поскольку оно позволяет более четко обозначить пределы распространения широковещательного трафика.
Рис. 4. Пример сети, в которой применение метода исключения поддеревьев позволяет достичь существенных преимуществ
Конфигурация cisco порта
- description etazh 2 komnata 1 — комментарий к интерфейсу, до 240 символов.
- switchport mode access — порт принадлежит к одному влану и передает не тегированный трафик. Детальней: xgu.ru/wiki/VLAN_в_Cisco
- switchport access vlan 30 — порт принадлежит к единственному, 30-му vlan’у и передает не тегированый трафик
- switchport mode trunk — порт передает тегированный трафик и принадлежит к одному, нескольким или всем (по умолчанию) вланам
- switchport trunk allowed vlan 1-2,10,15 — разрешенные вланы для транкового порта
- switchport trunk native vlan 5 — можно указать к какому влану на транковом порте относится не тегированный трафик, на примере это 5-й влан, по умолчанию 1-й влан.
- switchport port-security — включение порта в режим защиты от сетевых атак, с помощью ограничений трафика с привязкой к mac-адресам. По умолчанию не более одного mac-адреса на порту, в случае нарушения — выключение порта в статус «errdisable state» и запись в лог. Для того чтоб вывести порт из статуса «errdisable state» его нужно выключить и включить командами «shutdown» и «no shutdown». Детальней: xgu.ru/wiki/Port_security
- errdisable recovery cause security-violation — порт должен сам выходить из состояния «errdisable state» через 5 минут (по умолчанию)
- errdisable recovery interval 600 — указываем что порт должен сам выходить из состояния «errdisable state» через 10 минут (вместо 5-ти по умолчанию)
- switchport port-security maximum 3 — на порту разрешено не более 3 мак-адресов.
- switchport port-security mac-address 0000.1111.2222 — разрешили на порт работу хоста с мак-адресом 0000.1111.2222
- switchport port-security aging time 2 — коммутатор удаляет MAC адреса из CAM таблицы через 2 минуты их не активности (по умолчанию 5 минут). Если используем эту команду необходимо указать причину удаления мак-адреса из таблицы.
- switchport port-security aging type inactivity — причина удаления MAC адресов из CAM таблицы: из-за не активности
- spanning-tree portfast — при подключении устройства к такому порту, он, минуя промежуточные стадии, сразу переходит к forwarding-состоянию. Portfast следует включать только на интерфейсах, ведущих к конечным устройствам (рабочим станциям, серверам, телефонам и т.д.), но не к другим свичам.
- switchport host — эта команда разом включает PortFast, переводит порт в режим access (аналогично switchport mode access), и отключает протокол PAgP
- spanning-tree bpduguard enable — переход порта в состояние error-disabled при получении BPDU пакета, так как на порте с включенным «spanning-tree portfast» не должно появляться BPDU пакетов.
Особенности использования протокола STP в виртуальной локальной сети
При организации работы виртуальных локальных сетей необходимо решить еще одну задачу — обеспечить их применение в сочетании со средствами протокола SТР. В сетевой среде, основанной на использовании виртуальных локальных сетей, как и в любой другой коммутируемой сети, могут присутствовать избыточные каналы и возникать циклы, поэтому должен применяться протокол STP, Но при этом обнаруживаются определенные сложности, связанные с тем, что при использовании виртуальных локальных сетей программное обеспечение STP фактически вынуждено учитывать наличие множества разных широковещательных доменов (соответствующих каждой виртуальной локальной сети
Для настройки функциональных средств STP в сетевой среде, основанной на использование виртуальных локальных сетей, предусмотрены три метода: CST (Common Spanning Tree — протокол формирования общего распределенного связующего дерева),PVST и PVST+ (Per VLAN Spanning Tree Plus — расширенный протокол формирования отдельного распределенного связуюшего дерева для каждой виртуальной локальной сети).
Протокол CST применяется в сочетании с протоколом 802.1q организации IEEE и предусматривает просто создание единого распределенного связующего дерева для всей коммутационной инфраструктуры независимо от количества подддерживаемых виртуальных локальных сетей. Для всей физической сети формируется единая топология STP; при этом все виртуальные локальные сети вынуждены использовать эту топологию. Преимуществом этого метода является то, что в процессе определения топологии SТР коммутаторы затрачивают минимальные ресурсы. Существует единственный
корневой мост STP, поэтому перестройка структуры STP требует лишь небольших затрат ресурсов. Недостатком этого метода является то, что для всех виртуальных локальных сетей должна использоваться одна и та же топология (как правило характеризующаяся гигантскими размерами). Б результате повышается вероятность того, что выбранные маршруты будут не оптимальны, как показано на рис.5. Кроме того, в крупной физической сети может также потребоваться значительное время на формирование окончательного варианта топологии.
Протокол PVST применяется в сочетании с протоколом ISL компании Cisco. В нем предусмотрено использование отдельной топологии STP для каждой виртуальной локальной сети. Преимуществом этого метода является то, что он обеспечивает выбор оптимальных маршрутов (как показано на рис. 6) и позволяет свести к минимуму продолжительность окончательного формирования, распределенного связующего дерева. Но он имеет также определенные недостатки, связанные с тем, что приходится использовать множество корневых мостов STP, формировать несколько топологий
STP и передавать отдельные фреймы BPDU для каждой топологии, что приводит к повышению затрат ресурсов коммутатора и пропускной способности.
Протокол PVST+ представляет собой усовершенствование протокола PVST и обеспечивает функциональную совместимость между сетью CST и PVST. По сути, программное обеспечение PVST+ отображает распределенные связующие деревья PVST на распределенное связующее дерево CST, создавал своего рола «шлюз обмена данными по магистральному каналу». Но применение этого метода может приводить к созданию некоторых «странных» топологий STP, поэтому обычно гораздо проще и эффективнее придерживаться протокола PVST, если применяется ISL (или CST, при использовании протокола 802.1q).
Рис. 5. Пример неоптималъного маршрута, сформированного при использовании протокола CST
Рис. 6. Пример оптимального маршрута, сформированного при использовании протокола PVST