Реферат: Конфигурация Cisco Catalyst 2900 – 3500XL
Реферат: Конфигурация Cisco Catalyst 2900 – 3500XL
Реферат
Тема:
Конфигурация
Cisco Catalyst 2900 – 3500XL
Содержание
Введение
1 Быстрый
старт
1.1 Подключение
свитча
1.2
Присвоение
IP коммутатору
1.3
Открытие Cisco
Visual
Switch
Manager
Software
2
Настройка
свитча
2.1 Управление
кластером
2.2 Обновление
операционной
системы
2.3 Управление
протоколом
SNMP
2.4 Членство в
VLAN
2.5 STP
2.6 Настройки
порта
2.7 Фильтры flood трафика
2.8 Безопасность
портов
3 VLAN
3.1 Типы
vlan
3.2 VTP
3.3 Настройка
свитчей
3.4 Примеры организации
VLAN
Введение
Провайдеры
услуг и крупные
предприятия
стараются
предоставлять
заказчикам
широкий спектр
услуг (АТМ, Frame
Relay, Интернет, IP,
электронная
торговля, передача
голосовых и
видеоданных,
SNA и т.д.) с высоким
качеством и
максимальной
доступностью.
Решения по
глобальной
коммутации
должны быть
гибкими и
масштабируемыми.
Они должны
предоставлять
услуги по требованию
и включать в
себя новые
услуги по мере
их появления
на рынке. Кроме
того услуги
корпоративных
глобальных
сетей должны
быть максимально
эффективными
и экономными,
поскольку
острая конкуренция
заставляет
компании постоянно
снижать цены
и повышать
производительность.
Коммутаторы
Cisco, отвечающие
промышленным
стандартам,
в сочетании
с периферийными
концентраторами
представляют
собой самую
гибкую в отрасли
платформу
коммутации
с интеллектуальными
функциями
управления
качеством услуг
(Intelligent QoS Management Features). Вступая
в партнерские
отношения с
Cisco, провайдеры
услуг и предприятия
могут создавать
глобальные
сети, которые
способны эффективно
и экономно
создавать и
предоставлять
услуги, связанные
с цифровыми
данными, сетью
Интернет, протоколом
IP, передачей
голосовых и
видеоданных,
с самой высокой
доступностью
и качеством.
Решения компании
Cisco Systems подкреплены
солидной репутацией,
стабильным
финансовым
положением,
взаимоотношениями
с респектабельными
заказчиками
и доверием
акционеров.
Более 80% трафика
крупнейшей
в мире сети
Интернет
обрабатывается
оборудованием
Cisco Systems. Список
Fortune 100 содержит
имя Cisco Systems. Наша
компания является
третьей по
величине компанией,
после Microsoft и Intel, акции,
которых продаются
на фондовой
бирже NASDAQ. Cisco Systems входит
в число 10 крупнейших
компаний,
поставляющих
решения для
телекоммуникационных
компаний. 80%
крупнейших
корпоративных
сетей в мире
построены на
оборудовании
компании Cisco
Systems. Капитализация
компании в
августе 1998 года
превысила
отметку в 100
миллиардов
долларов США.
1 Быстрый
старт
1.1 Подключение
свитча
Присоединение
консольного
кабеля
1. Подключите
поставляемый
плоский провод
в разъем на
задней панели
коммутатора
с маркой console.
2.
Подключите
другой конец
кабеля к com-порту
компьютера
через соответствующий
переходник
и запустите
программу-эмулятор
терминала(например
HyperTerminal или ZOC).
Порт
консоли имеет
следующие
характеристики:
9600 бод
Нет
четности
8 бит
данных
1 бит
остановки
1.2 Присвоение
IP коммутатору
В первый
раз, когда вы
запускаете
свитч, то он
запрашивает
IP адрес. Если
вы назначаете
ему оный, что
весьма желательно,
то он может
конфигурироваться
через веб-интерфейс
Cisco Visual Switch Manager (CVSM) и Telnet.
Необходимые
требования
к IP
Перед
установкой,
узнайте следующую
информацию
о сети (у администратора):
Первый запуск
Выполняйте
следующие
действия для
присвоения
коммутатору
IP адреса:
Шаг 1
Нажмите
Y
при первой
подсказке
системы:
Continue
with configuration dialog? [yes/no]:
y
Шаг 2
Введите
IP адрес и нажмите
клавишу Enter:
Enter
IP address:
Шаг 3
Введите
маску подсети
и нажмите Enter:
Enter
IP netmask:
Шаг 4
Введите
есть ли у вас
шлюз по умолчанию
N/Yесли
есть, то введите
его адрес после
нажатия Y:
Would
you like to enter a default gateway address? [yes]:
y
Шаг 5
Введите IP адрес
шлюза и нажмите
Enter.
IP
address of the default gateway:3
Шаг 6
Введите имя
хоста коммутатора
и нажмите Enter:
Enter
a host name:
Шаг 7
Введите
пароль(желательно
подлиней 8-10
символов и
посложней) и
нажмите Enter(главное
потом этот
пароль не забыть).
Кроме этого,
затем на вопрос
о пароле для
Telnet ответьте Y и
введите пароль
для доступа
через Telnet
Enter enable secret:
Initial configuration:
Создался
следующий
файл
конфигурации: interface
VLAN1 ip address 172.20.153.36 255.255.255.0 ip default-gateway
172.20.153.01
enable
secret 5 $1$M3pS$cXtAlkyR3/6Cn8/ snmp community private rw snmp
community public ro end Use this configuration? [yes/no]:
Шаг 8
Если все нормально
- давите Y; нет
- давите N(только
учтите, что
пароль зашифровывается)
для рестарта
процедуры
установки.
1.3
Открытие
Cisco Visual Switch Manager Software
После
того, как вы
присвоили IP
коммутатору,
то вы можете
конфигурировать
его через
веб-интерфейс
с помощью Cisco
Visual Switch или через
консоль (или
через Telnet)
CVSM поддерживает
следующие
платформы и
броузеры:
Win95
Win
98
|
Netscape
Communicator 4.5. и
4.5.1
|
Microsoft
Internet Explorer 5.0 и
4.01 с
Service Pack 1
|
Windows
NT
|
Netscape
Communicator 4.5. и
4.5.1
|
Microsoft
Internet Explorer 5.0 или
4.01 с
Service Pack 3
|
Solaris
2.5.1 и выше1
|
Netscape
Communicator 4.5. и
4.5.1
|
Это
ж Unix!
|
Для
отображения
CVSM сделайте
следующее:
Шаг 1
Запустите
Netscape Communicator или
Internet Explorer.
Шаг 2
Включите опции
для соединения
с коммутатором.
Для
Internet Explorer:
1. Выберите в
меню View (Вид)
или Tools
(Инструменты)>Internet
Options (Свойства
обозревателя)>закладка
Advanced (Дополнительно).
2. Найдите в списке
опций JavaVM
и отметьте
флажки (если
до сих пор не
отмечены) Java
JIT
compiler
enabled
(включить компилятор
Java) and the Java
logging enabled (Включить
консоль Java).
3. Кликните Apply
(Применить).
Для
Netscape Communicator:
1. Выберите
в меню
Edit>Preferences>Advanced.
2. Отметьте
флажки
Enable
Java(Включить
Java), Enable
JavaScript(Включить
JavaScript), и
Enable
style-sheets(Включить
поддержку
касадных
стилей).
3. Кликните OK.
4. Выберите меню
Edit>Preferences>Advanced,
и выберите
Cache чтобы изменить
параметры
кеширования
документов.
5. Выберите Every
time, и кликните
OK.
Шаг 3
Введите IP адрес
коммутатора
в строке адреса.
Шаг 4
Нажмите Enter.
Вам покажется
основное окно
управления
коммутатором.
Шаг 5
Щелкните Visual
Switch Manager чтобы
отобразить
домашнюю страницу
CVSM.
2 Настройка
свитча
2.1 Управление
кластером
Открывает
окно управлением
кластера, подобное
следующему:
Здесь вы можете
добавлять и
удалять членов
из кластера,
при условии,
конечно, что
вы знаете их
пароли и тот
свитч, за которым
вы находитесь
является командным.
2.2 Обновление
системы IOS
Позволяет
обновить систему
IOS на свитчах,
принадлежащих
данному кластеру,
с командного
свитча:
Для
обновления
операционной
системы свитча
(IOS) через сеть,
вам необходимо
указать адрес
TFTP сервера(он
должен существовать
по данному
адресу) и имя
файла(узнайте
у владельца
TFTP сервера). Затем
нажмите кнопку
Upgrade и следите,
чтобы не было
ошибок(например,
не найден TFTP
сервер), при
удачном обновлении
нажмите кнопку
Reboot для перезагрузки
машины, иначе
попробуйте
обновить систему
ещЈ раз.
2.3 Управление
протоколом
SNMP
Название
SNMP расшифровывается
как простой
протокол передачи
сетевых сообщений.
Его основное
назначение
- передавать
сообщения(TRAP)
от клиента к
серверу. При
этом клиент
указывает
строку общения,
чем подтверждает
серверу, что
он может с ним
общаться. В
свитчах Catalyst этот
механизм используется
очень широко
для обнаружения
других свитчей
к нему подключенных.
Поэтому вначале
свитч опрашивает
свои порты и
определяет,
где находятся
другие свитчи
серии Catalyst. На
основании этого
происходит
интеллектуальная
маршрутизация
и построение
топологии сети.
Вид страницы
управления
протоколом
SNMP состоит из
трех закладок:
1-я имя свитча
и его местоположение
(информация
о свитче для
других свитчей
- серверная
часть):
Здесь мы видим
информацию
о свитче такую,
какой она
представляется
для других
свитчей, поэтому
изменять ее
нет никакой
необходимости.
2-я закладка
представляет
клиентскую
часть свитча.
Здесь описываются
строки общения.
Изменять
эту информацию
нельзя ни в
коем случае,
пока вы точно
не знаете, что
делаете.
3-я закладка
представляет
наибольшую
ценность:
Здесь
вы можете указать
сервер SNMP для
получения
сообщений от
свитча. Для
этого в поле
IP address укажите ip адрес
сервера SNMP и ниже
укажите строку
общения (эту
информацию
можно получить
от владельца
SNMP сервера) и
щелкните кнопку
ADD (добавить) -
адрес сервера
появится в
списке справа.
Его оттуда
можно удалить
нажатием кнопки
REMOVE(выделив его
ip адрес). Для
данного сервера
укажите те
сообщения,
которые ему
нужно посылать,
выделив соответствующие
флажки. После
всех изменений
нажмите кнопку
OK или Cancel. Список
флажков:
Имя
параметра
|
Значение
|
Config |
ПередаЈт
серверу сообщение
при изменении
своей конфигурации |
SNMP |
СоздаЈт
поддерживаемые
сообщения
SNMP |
TTY |
ПередаЈт
сообщение
при начале
сессии CLI |
VLAN
membership |
ПередаЈт
серверу сообщение
при изменении
членства VLAN |
VTP |
Генерирует
сообщение
при изменениях
в протоколе
VTP |
C2900/c3500 |
Специфические
для данных
свитчей сообщения |
CLI:
Назначение
SNMP сервера
|
Команда
|
Назначение
|
Шаг 1
|
config
terminal
|
Вход
в режим конфигурации.
|
Шаг 2
|
snmp-server
host 172.2.128.263 traps1 snmp vlan-membership
|
Введите
адрес SNMP сервера,
строки общения
и тип сообщений
для генерации.
|
Шаг 3
|
end
|
Выход
из режима
конфигурации.
|
Шаг 4
|
show
running-config
|
Просмотр
сделанных
изменений.
|
2.4 Членство
в VLAN
Данная страница
очень важна
в настройке
свитча, т.к. она
позволяет
наблюдать и
изменять VLAN у
портов, а также
изменять конфигурацию
trunk портов и наблюдать
порты, принадлежащие
какому-либо
VLAN. Страница
управления
VLAN состоит из
3-х закладок
(если она вызывается
из всплывающего
меню порта, то
сразу же показывается
страница настройки
порта). 1-я из них
показывает
все порты на
свитче в заданном
формате. Имя
порта состоит
из определяющей
его класс части:
FastEthernet, номера модуля
(0 если системный),
и и номер порта.
В следующем
примере, порт
находится на
модуле 0 (системный
порт) и имеет
номер 1: FastEthernet0/1 далее
следует колонка
режима работы:
Static (статический
доступ - один
порт --> один
VLAN), Multi (мульти 1 порт
--> много VLAN), Dynamic
(динамический)
и Trunk(магистраль).
В 3-й колонке в
зависимости
от режима работы
указываются
дополнительные
параметры: для
статического
- это одно число
- номер VLAN, для
multi - список VLAN, разделенных
запятыми или
тире (1,2-10,16), а для
trunk и dynamic портов
здесь будет
надпись N/A - параметров
нет.
Для
модификации
параметров
свитча нажмите
кнопку Modify - и вам
предстанет
следующее окно:
Здесь
вы можете поменять
тип порта, как
это показано
на рисунке и
для статических
или мульти
портов указать
членство в VLAN
(как это было
написано выше).
После изменений
нажмите кнопку
OK или Cancel. Страница
2 в основной
настройке
членства VLAN
показывает
нам существующие
на данном свитче
VLAN и при нажатии
кнопки Highlight Port Members на
странице свитча
отображаются
члены выбранного
VLAN, причем отображаются
соответствующими
цветами (легенда
внизу страницы):
На 3-й
странице вы
можете увидеть
конфигурацию
trunk портов: в первой
колонке - имя
trunk порта, режим
его протокола:
ISL или IEEE802.1q, список
допустимых
VLAN и список ???? VLAN.
Для изменения
списка допустимых
и ???? VLAN нажмите
кнопку modify для
данного trunk порта.
2.5 Spanning Tree Protcol
Данный
протокол призван
обеспечивать
исключение
"мертвых" пакетов
из сети. То есть
предотвращать
появление
бесконечных
циклов в сети.
Если в сети
существуют
кольца, то лучше
включить STP так
как он поможет
очень существенно
снизить трафик.
По умолчанию
STP включен везде.Страница
управления
STP состоит из
нескольких
разделов. Первый
из них позволяет
выключать или
включать STP для
конкретных
VLAN. Для этого
нажмите кнопку
Modify и выберите
из списка Enabled или
Disabled. Вид страницы:
2-я страница
показывает
список главных
свитчей STP (STP root) для
отдельных VLAN.
Эта страница
служит для
просмотра mac
адресов и других
параметров
главных свитчей.
Эти параметры
будут разъяснены
далее.
3-я страница
позволяет
изменить параметры
STP для данного
свитча. Для
этого выберите
vlan и нажмите кнопку
modify - вам будет
представлен
список параметров
STP для данной
vlan.
Параметр
|
Объяснение
|
Protocol |
Тип
протокола
STP: IEEE или IBM. Везде
по умолчанию
применяется
IEEE. Этот параметр
менять не следует |
Priority |
Приоритет
данного свитча
в STP, может принимать
значения от
0 до 65535. Меньшее
число означает
больший
приоритет.
Свитч с наибольшим
приоритетом
становится
главным(root) для
данного vlan.
|
Max Age |
Число
секунд(6-200), которое
свитч ждЈт
конфигурационных
сообщений
STP до попытки
переконфигурации.
Этот параметр
применяется
для главного
свитча. Для
других этот
параметр
наследуется
от главного. |
Hello Time |
Число
секунд(1-10) между
передачей
сообщений
другим свитчам
о том, что данный
работает. Этот
параметр
применяется
для главного
свитча. Для
других этот
параметр
наследуется
от главного. |
Forward
Delay |
Число
секунд(4-200), когда
порт изменяет
своЈ состояние
с состояния
исследование(learning)
в состояние
передача
пакетов(forwarding) при
изменении
конфигурации.
Это как раз
то время, когда
у порта мигает
желтый индикатор
при присоединении
или отсоединении
сетевого кабеля. |
|
|
4-я
страница позволяет
изменить параметры
STP для каждого
конкретного
порта. Для этого
выберите порт
и нажмите кнопку
modify.
Параметр
|
Объяснение
|
Port Fast |
Этот
параметр позволяет
порту при
изменении
настроек сразу
же преходить
от состояния
learning к состоянию
forwarding. При этом
изучение STP
происходит
лишь при включении
свитча. Этот
параметр полезен
для серверов,
которые работают
с большим числом
клиентов. |
Path cost |
Меньшее
число означает
большую скорость
передачи. 100 -
10Мбит; 19 - 100Мбит;
4 - 1Гбит; 2 - 10Гбит |
Priority |
Число,
означающее
приоритет
порта. Большее
число - больший
приоритет. |
CLI:
Изменение
задержки пердачи
пакетов
|
Команда
|
Назначение
|
Шаг 1
|
configure
terminal
|
Вход
в режим конфигурации.
|
Шаг 2
|
spanning-tree
[vlan
stp-list]
forward-time seconds
|
Введите
значение задержки
передачи пакетов
в секундах в
диапазоне от
4-х до 200-т.
|
Шаг 3
|
end
|
Выход
из режима
конфигурации.
|
Шаг 4
|
show
spanning-tree
|
Проверка
изменений.
|
Включение
режима быстрого
порта
|
Команда
|
Назначение
|
Шаг 1
|
configure
terminal
|
Вход
в режим конфигурации.
|
Шаг 2
|
interface
interface
|
Вход
в режим настройки
порта.
|
Шаг 3
|
spanning-tree
portfast
|
Включение
режима быстрого
порта.
|
Шаг 4
|
end
|
Выход
из режима
конфигурации.
|
Шаг 5
|
show
running-config
|
Проверка
изменений.
|
2.6
Настройки порта
По умолчанию
все порты включены.
Для отключения
порта выполните
следующие
действия:
В разделе Status,
снимите флажок
Enable. Этот раздел
показывает
состояние
порта. Если
даже порт Enabled,
то он всЈ равно
может иметь
состояние LINK
DOWN, если к нему
не подключено
никакое устройство
Нажмите
Apply. Если
вы сконфигурировали
SNMP сервер, то ему
посылается
сообщение
linkdown.
Присвоение
имени порту
Чтобы
присвоить порту
имя, выполните
следующее:
В поле
Name введите
желаемое имя
для порта.
Нажмите Apply.
Изменение
установок
дуплекса и
скорости порта
Порты типа
FastEthernet способны
автоматически
определять
скорость и тип
дуплекса
подключенного
устройства.
Для
того, чтобы
изменить настройки
скорости и
дуплекса, выполните
следующее:
Для
настройки
режима дуплекса:
в поле Duplex, выберите
Half (полу), Full
(полный), или
Auto (автоопределение).
Fast Ethernet порты по
умолчанию
устанавливаются
в режим Auto.
Для
настройки
скорости: задайте
параметры в
поле Speed, допустимые
значения 10
(10 МБит), 100 (100 МБит),
или Auto (автоопределение).
Для FastEthernet портов
по умолчанию
стоит режим
автоопределения.
НажмитеApply.
Иногда
автоопределение
работает неверно,
тогда надо
устанавливать
эти параметры
вручную. Для
Гигабитных
портов доступен
также flow control. Но
для таких портов
всегда работает
режим полного
дуплекса, а
скорость невозможно
изменить. Отображение
статистической
информации
о порте
Для показа
статистической
информации
нажмите кнопку
View в выбраном
порте в разделе
Statistics. Откроется
отдельное окно
броузера, где
эта статистика
и будет показана
в виде графика.
Указание:
вы можете сбросить
статистику
для порта, нажав
кнопку Reset,
это еще и закроет
окно броузера
со статистикой.
Описания
полей
Поле
|
Описание
|
Port |
Отображается
слово
"Fa" (Fast Ethernet), "Gi" (Gigabit Ethernet),
or "AT "(for ATM) и
номер
порта. |
Status |
Включение
и отключение
порта. Вначале
просто показывает
текущий статус
порта. |
Duplex: |
Изменение
режима дуплекса
порта(Full,
Half или Auto
). Вначале просто
показывает
текущий статус
дуплекса порта.
|
Speed: |
Устанавливает
скорость для
Fast Ethernet портов: значения
10 (10
МБит), 100
(100 МБит), или Auto
(автоопределение).
Вначале просто
показывает
текущий статус
скорости
порта. Для
портов типа
GigaBit всегда показывает
значение 1000
|
Port Name |
Описание
порта. |
Port Fast |
Включает
или выключает
режим быстрого
порта.
|
802.1p |
Изменяет
приоритет
для пакетов,
идущих с данного
порта для VLAN
тегов в IEEE802.1q
пакетах(trunk порты).
Изменять этот
параметр не
рекомендуется. |
2.7
Настройки flood
траффика
Вообще термин
flood буквально
переводится,
как наводнение.
В данном контексте,
говоря flood, я буду
иметь в виду
очень большое
количество
широковещательных
или иных пакетов
в секунду, приходящих
на данный порт.
Это похоже на
сетевой шторм
и существенно
понижает пропускную
способность
порта. В свитчах
Catalyst предусмотренны
средства для
контроля таких
штормов. Эти
средства так
и называются:
"Storm control". Вызываются
они выбором
пункта меню
Port - Flooding control. Для
конкретного
порта эти средства
можно вызвать
также пункт
всплывающего
меню flooding control. Внешний
вид flooding control:
Он
состоит из 4-х
закладок. Первые
три показывают
состояние для
портов по признаку
фильтрации
broadcast, multicast и unicast пакетов.
Broadcast - широковещательные
пакеты, передаются
всем машинам
в данной подсети.
Multicast пакеты передаются
всем машинам
в данной multicast группе.
Unicast пакеты - верхний
уровень пакетов,
передаются
всем машинам
в сети, в них
могут быть
упакованы
другие типы
пакетов. На
странице flooding
control показывается
состояние
фильтров для
каждого порта.
Выделите порт,
или группу
портов и нажмите
modify для изменения
параметров
фильтров порта.
Допустимые
параметры:
Параметр
|
Допустимые
значения
|
Filter
state |
Состояние
фильтра. Допустимые
значения: Disable
- выключен Enable
- включен
|
Trap state |
Посылать
ли сообщения
SNMP серверу при
фильтрации
штормового
трафика |
Rising
threshold |
Пороговое
значение
широковещательных
пакетов в секунду
до начала
фильтрации |
Falling
threshold |
Нижний
порог
фильтра.
При достижении
этого значения
фильтрация
отключается |
Кроме
этого в окне
статуса можно
увидеть количество
пакетов в секунду
данного типа,
приходящих
на порт и число
посланных
сообщений о
начале и конце
фильтрации. Для
портов можно
также установить,
будет ли он
принимать
Multicast и Unicast пакеты
с неизвестными
mac адресами. Если
установлено
значение Enable, то
такой трафик
разрешен, иначе
он блокируется.
Для каждого
порта можно
посмотреть
это значение,
а затем выделив
его, нажать
кнопку Modify для
изменения этих
параметров.
CLI:
Включение
flood фильтров:
|
Команда
|
Назначение
|
Шаг 1
|
configure
terminal
|
Вход
в режим настройки.
|
Шаг 2
|
interface
interface
|
Вход
в режим настройки
порта.
|
Шаг 3
|
port
storm-control broadcast
[threshold {rising
rising-number
falling
falling-number}]
|
Введите
верхний и нижний
пороги фильтра
широковещательных
пакетов соответственно.
Верхний
порог должен
быть больше
нижнего(что
не должно вызывать
сомнений).
|
Шаг 4
|
port
storm-control trap
|
Посылать
SNMP серверу сообщения
о включении/выключении
фильтра.
|
Шаг 5
|
end
|
Выход
из режима
конфигурации.
|
Шаг 6
|
show
port storm-control
[interface]
|
Проверка
сделанных
изменений.
|
Выключение
flood фильтров:
|
Команда
|
Назначение
|
Шаг 1
|
configure
terminal
|
Вход
в режим настройки.
|
Шаг 2
|
interface
interface
|
Вход
в режим настройки
порта.
|
Шаг 3
|
no
port storm-control broadcast
|
Выключение
фильтра
широковещательных
пакетов
|
Шаг 4
|
end
|
Выход
из режима
конфигурации.
|
Шаг 5
|
show
port storm-control
[interface]
|
Проверка
сделанных
изменений.
|
Отключение
неизвестных
multicast/unicast пакетов
|
Команда
|
Назначение
|
Шаг 1
|
configure
terminal
|
Вход
в режим конфигурации.
|
Шаг 2
|
interface
interface
|
Вход
в режим настройки
порта.
|
Шаг 3
|
port
block multicast
|
Блокировка
multicast пакетов.
|
Шаг 4
|
port
block unicast
|
Блокировка
unicast пакетов.
|
Шаг 5
|
end
|
Выход
из режима
конфигурации.
|
Шаг 6
|
show
port block multicast
interface
|
Проверка
изменений
для соответственно
multicast
и unicast
пакетов(по-отдельности).
|
Нормальный
режим передачи
пакетов
|
Команда
|
Назначение
|
Шаг 1
|
configure
terminal
|
Вход
в режим конфигурации.
|
Шаг 2
|
interface
interface
|
Вход
в режим настройки
порта.
|
Шаг 3
|
no
port block multicast
|
Отключение
блокировки
multicast пакетов.
|
Шаг 4
|
no
port
block unicast
|
Отключение
блокировки
unicast пакетов.
|
Шаг 5
|
end
|
Выход
из режима
конфигурации.
|
Шаг 6
|
show
port block
interface
|
Проверка
изменений
для соответственно
multicast
и unicast
пакетов(по-отдельности).
|
2.8
Безопасность
портов
В свитчах
серии Catalyst 2900XL возможен
вариант ограничения
доступа к порту
по mac адресам.
Для вывода на
экран диалога
конфигурации
безопасности
порта, выберите
из всплывающего
меню порта
пункт Port Security. Отобразится
окно примерно
следующего
содержания:
Объяснение
полей:
Параметр
|
Допустимые
значения
|
Status |
Текущее
состояние
безопасности
порта. Enable - включено,
Disable - выключено. |
Send trap |
Определяет,
будет ли свитч
посылать сообщение
SNMP серверу при
нарушении
установки
допустимого
количества
mac адресов. |
Shutdown
Port |
Определяет,
будет ли свитч
автоматически
отключать
порт при нарушении
установки
допустимого
количества
mac адресов. |
Maximum
Adress Count |
Максимальное
количество
mac адресов(1-132),
которые могут
быть подключены
к свитчу(учтите
другой свитч
или хаб могут
иметь столько
mac адресов, сколько
рабочих станций
или других
сетевых коммутаторов
подключено
к ним). Для порта,
подключЈнного
к рабочей станции
можно поставить
значение 1, для
обеспечения
своего рода
тунеля между
свитчом и PC. Для
хабов или свитчей
можно ставить
любое значение
допустимых
mac адресов в
диапазоне
1-132. Значение
N/A высвечивается
при отключЈнном
режиме безопасности,
что означает
сколько угодно
mac адресов. |
CLI:
Включение
безопасности
для порта.
|
Команда
|
Назначение
|
Шаг 1
|
configure
terminal
|
Вход
в режим конфигурации.
|
Шаг 2
|
interface
interface
|
Режим
настройки
порта.
|
Шаг 3
|
port
security max-mac-count
1
|
Максимальное
количество
mac адресов для
порта + включение
безопасности.
|
Шаг 4
|
port
security action shutdown
|
При
нарушении
безопасности
порт будет
выключаться.
|
Шаг 5
|
end
|
Выход
из режима
конфиурации.
|
Шаг 6
|
show
port security
|
Проверка
изменений.
|
Выключение
безопасности
для порта.
|
Команда
|
Назначение
|
Шаг 1
|
configure
terminal
|
Вход
в режим конфигурации.
|
Шаг 2
|
interface
interface
|
Режим
настройки
порта.
|
Шаг 3
|
no
port security
|
Отключение
безопасности
для порта.
|
Шаг 4
|
port
security action
shutdown
|
При
нарушении
безопасности
порт будет
выключаться.
|
Шаг 5
|
end
|
Выход
из режима
конфиурации.
|
Шаг 6
|
show
port security
|
Проверка
изменений.
|
3 Виртуальные
сети (VLAN)
Вообще
термин VLAN означает
виртуальная
локальная сеть.
Такая сеть
отличается
от физической
LAN лишь тем, что
организуется
разделение
пакетов в единой
локальной сети
так, как если
бы это были бы
разные подсети.
Таким образом
с помощью VLAn можно
организовать
деление локальной
сети на отдельные
участки. При
этом существует
возможность
регулировать
взаимодействие
VLAN весьма широко.
3.1 Типы VLAN
Нет
нужды говорить,
что существует
несколько типов
организации
VLAN в сети. Самый
простой из них
- статический.
Вы назначаете
каждому порту
какой-либо
номер VLAN и они
будут "видеть"
только те порты,
что принадлежат
тому же VLAN. При
этом абсолютно
исключается
возможность
взаимодействия
с "чужим" портом.
При этом сами
коммутаторы
соединяются
между собой
посредством
особых каналов
связи - trunk магистралей.
По таким магистралям
проходят данные
всех VLAN. Но, к сожалению,
trunk порт должен
быть point-to-point(о двух
концах) и может
подключаться
только к свитчам
и роутерам,
поддерживающим
VLAN. Таким образом
организация
сетевого доменного
сервера становится
возможной
только при
использовании
роутера :(. С другой
стороны trunk магистрали
поддерживаются
всеми типами
свитчей, которые
умеют делать
VLAN. Другое преимущество
- использование
особого протокола
кисок, обеспечивающего
централизованное
управление
всей системой
VLAN. Например, вы
можете на сервере
VTP отключить
или включить
определЈнную
VLAN. МультиVLAN очень
интересный
тип организации
VLAN. Он состоит
в определении
для порта нескольких
допустимых
VLAN(например, для
экономистов
это могут быть
VLAN Economics и Server для доступа
к общим серверам
и.т.д.). Здесь всЈ
предельно
просто, но, к
сожалению,
свитчи серии
1900 и младше не
поддерживают
такую возможность
:(( Поэтому такой
свитч может
обслуживать
только один
VLAN на одно подключение
к новому свитчу
Catalyst 2900 XL или 3300. При
этом если на
основном свитче
этот порт будет
мульти, то и на
старый свитч
будут проходить
пакеты от всех
мульти VLAN описанных
на таком порте.И
наконец, способ
для страдающих
параноидальной
безопасностью
нетадминов,
заключается
в назначении
каждой VLAN списка
допустимых
мак (или, вроде,
IP адресов). Когда
на порт приходит
пакет, то посылается
запрос VPMS серверу,
есть такой мак
или нет. Но при
выборе типа
VLAN, учтите что
на одном свитче
не может быть
разных типов
организации
VLAN.
3.2 VTP
Перед тем, как
создавать в
сети VLAN, решите
предварительно,
будете ли вы
использовать
для управления
VLAN протокол VTP.
Используя VTP,
вы можете, изменив
конфигурацию
VLAN на одном свитче,
например, Catalyst
2900 series XL, автоматически
изменить эту
конфигурацию
для всех свитчей,
подключенных
к данному. Без
VTP вы не сможете
посылать информацию
о VLAN другим свитчам.
VTP обеспечивает
централизованное
управление
VLAN, и исключает
возможность
дублирования
VLAN а также другие
неправильные
настройки. VTP
позволяет
оптимизировать
трафик между
VLAN и обеспечивает
безопасность
передачи данных.
VTP домен
Домен VTP (домен
управления
VLAN) - это свитч или
группа соединенных
свитчей, разделяющих
VTP. Свитч может
входить только
в один VTP домен.
По умолчанию
коммутаторы
считают, что
они не относятся
к VTP домену, пока
им не приходит
сообщение по
порту-каналу(trunk
порт) или вы
вручную не
назначите им
домен. По умолчанию
режим VTP устанавливается
как VTP сервер,
но коммутатор
не станет рассылать
информацию
другим свитчам,
пока ему вручную
не присвоен
домен VTP.
Если
свитч получает
информацию
о VTP через trunk порт,
то он автоматически
становится
членом данного
домена и наследует
конфигурацию.
Когда вы меняете
настройки VLAN
на сервере VTP,
то они автоматически
наследуются
клиентами через
trunk порты. Если
же вы конфигурируете
настройки VLAN
на коммутаторе-клиенте,
то они касаются
только данного
свитча.
3.3 Настройка
VLAN при помощи
Cisco CLI
Во-первых,
есть весьма
существенные
различия CLI у
свитчей серий
2900 и 1900, а посему
рассматривать
их нужно отдельно.
НачнЈм со свитчей
серии 2900. Итак,
вы подсоединили
нуль-модемный
кабель или
запустили сеанс
telnet. Во-первых на
приглашение
HOST_NAME> надо ответить
enable и ввести пароль
к свитчу, для
получения
доступа к
конфигурации.
Для просмотра
сведений о
свитче наберите
show running-config. Подсказка
по интерфейсу
CLI. Здесь есть
такие удобства
как автозаполнение
кнопкой TAB - наберите
начало команды,
например show
ru, и оно расширится
в show running-config. Можно в
любой момент
получить справку
по любому вопросу:
просто нажмите
? и вам будут
предложены
возможные
параметры
команды, например
show ?. Для повторения
предыдущих
или следующих
команд можно
использовать
курсоры вверх
или вниз. Для
пролистывания
текста при
запросе --more-- нажимайте
пробел для
опускания
текста вниз
на строку. Итак,
вы набрали show
running-config и здесь
отобразится
информация.
Вначале общая
информация
о свитче (адрес,
имя, адреса
шлюз и.т.д.), а затем
информация
о портах. Здесь
особое внимание
я бы хотел обратить
на информацию
о режиме VLAN порта:
switchport mode . Access - режим
статической
VLAN; Multi - мультиVLAN порт;
Trunk - режим trunk магистрали;
Dynamic - VPMS режим. Следующий
параметр switchport
показывает
особые параметры
для данного
типа порта.
Например для
access это единственный
идентификатор
VLAN, для multi - список
допустимых
VLAN, разделЈнных
запятой или
-, для указания
промежутка
VLAN.Таким образом,
после сделанных
изменений
неплохо было
бы смотреть,
что именно
произошло.
Для
постоянного
сохранения
параметров
настройки
наберите write
memory. Для перезагрузки
свитча используйте
команду reload. И
заканчивая
эту тему, подскажу,
как сбросить
настройки
свитча после
неудачных
опытов:
>enable
#rename
config.text ДРУГОЕ_ИМЯ.text
#reload
и вы сразу
же начнете с
начального
конфигурационного
диалога. Для
выхода из вложенных
режимов конфигурации
нажимайте exit.
Для полного
выхода наберите
два раза exit. Итак,
приступим к
настройке VLAN.
Предполагаю,
что вы уже находитесь
в режиме конфигурации.
(config)# interface FastEthernet x/x(нужный
вам порт), затем
вы в режиме
конфигурации
порта - (config-if)#, теперь
вам доступны
любые доступные
изменения
конфигурации
порта. Для получения
списка допустимых
команд как
обычно можно
нажать ?. Поподробнее
остановлюсь
на команде
switchport mode, определяющей
режим работы
порта для VLAN.
Допустимые
значения
access(статический
доступ), multi(мульти-доступ)
и trunk(режим тунельной
магистрали).
Для конфигурации
конкретного
режима нужно
применять
switchport
access vlan ID - единственная
vlan
switchport
multi vlan ID, ID, ID или
switchport multi vlan ID-ID, ID-ID, ID - список
допустимых
vlan
switchport
trunk allowed vlan LISTID - допустимые
для магистрали
vlan(по умолчанию
1-1005)
prunning
encapsulation
native
Для
отмены каких-либо
значений
воспользуйтесь
командой no
switchport ... и применяйте
те же команды,
что и для включения
опций, но применяйте
их в обратном
порядке, т.е.
no switchport multi vlan
...
no switchport mode multi
Не забудьте
посмотреть
результаты
вашей работы
-
(config-if)#exit
(config)#exit
#show running-config
#write memory - если
надо записать
настройки
Для
осмысленной
настройки VLAN
можно использовать
базу данных
VLAN:
#vlan database
(vlan)#
(vlan)#show - для
показа состояния
vlan на данном
свитче:
Далее можно
поменять настройки
конкретной
VLAN:
(vlan)#vlan ID ? - список
возможных
настроек:
Например name -
настройка имени
для данной
vlan. Довольно удобно
давать VLAN осмысленные
имена, но нужно
иметь в виду,
что если на
разных свитчах
одни и те же
vlan будут иметь
разные имена,
то это может
вызвать путаницу
в дальнейшем
обслуживании. Для
настройки VTP в
режим сервера
выполните
следующее:
Действие
|
Команда
|
1
В основном
режиме войдите
в раздел конфигурации
VLAN.
|
vlan
database
|
2
Введите
имя домена
VTP(1 - 32 символов).
|
vtp
domain domain-name
|
3
(Необязательно)
Установите
пароль для
домена(1-64 символа).
|
vtp
password password-value
|
4
Установите
нужный режим
VTP для данного
свитча(клиент/сервер).
|
vtp
server(client)
|
5
Возвращаемся
в основной
режим.
|
exit
|
6
Проверяем
настройки
VTP.
|
show
vtp status
|
Пример
настройки VTP
сервера:
# vlan
database
(vlan)#
vtp domain Avitek
Установка
имени домена
Avitek
(vlan)#
vtp domain Avitek password LAVA
Установка
пароля для
данного домена.
(vlan)# vtp server
Включение
режима VTP сервера.
(vlan)# exit
Настройки
применены.
Выходим....
# show
vtp status
VTP Version
: 2
Configuration
Revision : 0
Maximum VLANs supported
locally : 68
Number of existing VLANs
: 6
3.4 Примеры организации
VLAN
Пpоект
построения
multi-VLAN на основе
свитчей серий
Catalyst 2900XL и Catalyst 1900EN
Пpоект
построения
trunk-VLAN на основе
свитчей серий
Catalyst 2900XL и Catalyst 1900EN
При такой схеме
обязателен
роутер или
поддержка
протокола ISL,
IEEE 802.1Q сервером.
Кроме этого
доступна единая
конфигурация
VLAN через домен
VTP:
VTP домен
Домен
VTP(домен управления
VLAN) - это свитч или
группа соединенных
свитчей, разделяющих
VTP. Свитч может
входить только
в один VTP домен.
По умолчанию
коммутаторы
считают, что
они не относятся
к VTP домену, пока
им не приходит
сообщение по
порту- каналу(trunk
порт) или вы
вручную не
назначите им
домен. По умолчанию
режим VTP устанавливается
как VTP сервер,
но коммутатор
не станет рассылать
информацию
другим свитчам,
пока ему вручную
не присвоен
домен VTP. Если
свитч получает
информацию
о VTP через trunk порт,
то он автоматически
становится
членом данного
домена и наследует
конфигурацию.
Когда вы меняете
настройки VLAN
на сервере VTP,
то они автоматически
наследуются
клиентами через
trunk порты. Если
же вы конфигурируете
настройки VLAN
на коммутаторе-клиенте,
то они касаются
только данного
свитча.
Для
свитчей серии
CISCO Catalyst 1900 нет поддержки
мультиVLAN и вы
должны назначать
портам только
типы static и trunk. Для
управления
коммутатором
через CLI используется
весьма удобная
система меню:
Вначале
после приглашения
свитча вы нажимаете
M и вводите пароль
для конфигурации
свитча. После
этого вы видите
главное меню:
Для
настройки VLAN
нажмите клавишу
V и увидите меню
настройки VLAN:
Для
просмотра
состояния VLAN
нажмите L а затем
на вопрос о
диапазоне VLAN
можно указать
all для просмотра
всех VLAN:
Для
того, чтобы
использовать
какую-либо VLAN
еЈ необходимо
добавить(в
свитчах поздних
серий это делается
неявно, когда
вы впервые эту
VLAN используете):
для этого в
основном меню
VLAN нажмите A и
следуйте инструкциям:
Для
настройки VLAN
нажмите M и перед
вами возникнет
схожее меню
для ыбранной
VLAN. Для присвоения
порту допустимой
VLAN можно воспользоваться
меню E - VLAN membership:
Вначале
показывается
информация
о текущей
конфигурации,
а затем меню
для изменения
оной. Для изменения
типа VLAN для
порта(статический
или динамический)
и спользуется
меню Membership type - M:
Для
присвоения
конкретной
VLAN порту используйте
меню V:
Для
настройки trunk
портов используйте
меню T из главного
меню настройки
VLAN. Вам покажется
следующее меню.
Trunk портами могут
быть только
100 Мбитные и
оптические
порты. Чтобы
сделать порт
тунелем, нажмите
клавишу T меню
trunk и выберите
2(On):
Конфигурация
VTP для данных
свитчей находится
также на странице
главного меню
VLAN:
Для
настройки VTP
укажите имя
домена VTP, который
используется
у вас в сети(их,
конечно, может
быть несколько)
и режим работы
VTP, скорее всего
для данного
типа свитчей
это будет режим
клиента. В общем,
в режиме клиента
нельзя проводить
операции с
VLAN, вроде добавления,
изменения и
удаления. Эти
операции проводятся
централизованно
на сервере VTP
и передается
на все свитчи-клиенты
через trunk магистрали(естественно,
что для использования
возможностей
VTP вы должны
использовать
VLAN через тунели-trunk)
Список
литературы
http://www.cisco.com/
http://www.opennet.ru/
|