| |Команда |Назначение | |Шаг 1 |configure terminal |Вход в режим конфигурации. | |Шаг 2 |interface interface |Вход в режим настройки порта. | |Шаг 3 |no port block multicast |Отключение блокировки multicast пакетов. | |Шаг 4 |no port block unicast |Отключение блокировки unicast пакетов. | |Шаг 5 |end |Выход из режима конфигурации. | |Шаг 6 |show port block |Проверка изменений для соответственно | | |multicast |multicast и unicast пакетов(по-отдельности).| | |interface | |
2.8 Безопасность портов
В свитчах серии Catalyst 2900XL возможен вариант ограничения доступа к порту по mac адресам. Для вывода на экран диалога конфигурации безопасности порта, выберите из всплывающего меню порта пункт Port Security. Отобразится окно примерно следующего содержания:
[pic] Объяснение полей:
|Параметр|Допустимые значения | |Status |Текущее состояние безопасности порта. Enable - включено, Disable | | |- выключено. | |Send |Определяет, будет ли свитч посылать сообщение SNMP серверу при | |trap |нарушении установки допустимого количества mac адресов. | |Shutdown|Определяет, будет ли свитч автоматически отключать порт при | |Port |нарушении установки допустимого количества mac адресов. | |Maximum |Максимальное количество mac адресов(1-132), которые могут быть | |Adress |подключены к свитчу(учтите другой свитч или хаб могут иметь | |Count |столько mac адресов, сколько рабочих станций или других сетевых | | |коммутаторов подключено к ним). Для порта, подключЈнного к | | |рабочей станции можно поставить значение 1, для обеспечения | | |своего рода тунеля между свитчом и PC. Для хабов или свитчей | | |можно ставить любое значение допустимых mac адресов в диапазоне | | |1-132. Значение N/A высвечивается при отключЈнном режиме | | |безопасности, что означает сколько угодно mac адресов. |
CLI:
Включение безопасности для порта.
| |Команда |Назначение | |Шаг 1 |configure terminal |Вход в режим конфигурации. | |Шаг 2 |interface interface |Режим настройки порта. | |Шаг 3 |port security |Максимальное количество mac адресов для порта + | | |max-mac-count 1 |включение безопасности. | |Шаг 4 |port security action|При нарушении безопасности порт будет | | |shutdown |выключаться. | |Шаг 5 |end |Выход из режима конфиурации. | |Шаг 6 |show port security |Проверка изменений. |
Выключение безопасности для порта.
| |Команда |Назначение | |Шаг 1 |configure terminal |Вход в режим конфигурации. | |Шаг 2 |interface interface |Режим настройки порта. | |Шаг 3 |no port security |Отключение безопасности для порта. | |Шаг 4 |port security action |При нарушении безопасности порт будет | | |shutdown |выключаться. | |Шаг 5 |end |Выход из режима конфиурации. | |Шаг 6 |show port security |Проверка изменений. |
3 Виртуальные сети (VLAN)
Вообще термин VLAN означает виртуальная локальная сеть. Такая сеть отличается от физической LAN лишь тем, что организуется разделение пакетов в единой локальной сети так, как если бы это были бы разные подсети. Таким образом с помощью VLAn можно организовать деление локальной сети на отдельные участки. При этом существует возможность регулировать взаимодействие VLAN весьма широко.
3.1 Типы VLAN
Нет нужды говорить, что существует несколько типов организации VLAN в сети. Самый простой из них - статический. Вы назначаете каждому порту какой- либо номер VLAN и они будут "видеть" только те порты, что принадлежат тому же VLAN. При этом абсолютно исключается возможность взаимодействия с "чужим" портом. При этом сами коммутаторы соединяются между собой посредством особых каналов связи - trunk магистралей. По таким магистралям проходят данные всех VLAN. Но, к сожалению, trunk порт должен быть point-to- point(о двух концах) и может подключаться только к свитчам и роутерам, поддерживающим VLAN. Таким образом организация сетевого доменного сервера становится возможной только при использовании роутера :(. С другой стороны trunk магистрали поддерживаются всеми типами свитчей, которые умеют делать VLAN. Другое преимущество - использование особого протокола кисок, обеспечивающего централизованное управление всей системой VLAN. Например, вы можете на сервере VTP отключить или включить определЈнную VLAN. МультиVLAN очень интересный тип организации VLAN. Он состоит в определении для порта нескольких допустимых VLAN(например, для экономистов это могут быть VLAN Economics и Server для доступа к общим серверам и.т.д.). Здесь всЈ предельно просто, но, к сожалению, свитчи серии 1900 и младше не поддерживают такую возможность :(( Поэтому такой свитч может обслуживать только один VLAN на одно подключение к новому свитчу Catalyst 2900 XL или 3300. При этом если на основном свитче этот порт будет мульти, то и на старый свитч будут проходить пакеты от всех мульти VLAN описанных на таком порте.И наконец, способ для страдающих параноидальной безопасностью нетадминов, заключается в назначении каждой VLAN списка допустимых мак (или, вроде, IP адресов). Когда на порт приходит пакет, то посылается запрос VPMS серверу, есть такой мак или нет. Но при выборе типа VLAN, учтите что на одном свитче не может быть разных типов организации VLAN.
3.2 VTP
Перед тем, как создавать в сети VLAN, решите предварительно, будете ли вы использовать для управления VLAN протокол VTP. Используя VTP, вы можете, изменив конфигурацию VLAN на одном свитче, например, Catalyst 2900 series XL, автоматически изменить эту конфигурацию для всех свитчей, подключенных к данному. Без VTP вы не сможете посылать информацию о VLAN другим свитчам. VTP обеспечивает централизованное управление VLAN, и исключает возможность дублирования VLAN а также другие неправильные настройки. VTP позволяет оптимизировать трафик между VLAN и обеспечивает безопасность передачи данных.
VTP домен
Домен VTP (домен управления VLAN) - это свитч или группа соединенных свитчей, разделяющих VTP. Свитч может входить только в один VTP домен.
По умолчанию коммутаторы считают, что они не относятся к VTP домену, пока им не приходит сообщение по порту-каналу(trunk порт) или вы вручную не назначите им домен. По умолчанию режим VTP устанавливается как VTP сервер, но коммутатор не станет рассылать информацию другим свитчам, пока ему вручную не присвоен домен VTP. Если свитч получает информацию о VTP через trunk порт, то он автоматически становится членом данного домена и наследует конфигурацию. Когда вы меняете настройки VLAN на сервере VTP, то они автоматически наследуются клиентами через trunk порты. Если же вы конфигурируете настройки VLAN на коммутаторе- клиенте, то они касаются только данного свитча.
3.3 Настройка VLAN при помощи Cisco CLI
Во-первых, есть весьма существенные различия CLI у свитчей серий 2900 и 1900, а посему рассматривать их нужно отдельно. НачнЈм со свитчей серии 2900. Итак, вы подсоединили нуль-модемный кабель или запустили сеанс telnet. Во-первых на приглашение HOST_NAME> надо ответить enable и ввести пароль к свитчу, для получения доступа к конфигурации. Для просмотра сведений о свитче наберите show running-config. Подсказка по интерфейсу CLI. Здесь есть такие удобства как автозаполнение кнопкой TAB - наберите начало команды, например show ru, и оно расширится в show running- config. Можно в любой момент получить справку по любому вопросу: просто нажмите ? и вам будут предложены возможные параметры команды, например show ?. Для повторения предыдущих или следующих команд можно использовать курсоры вверх или вниз. Для пролистывания текста при запросе --more-- нажимайте пробел для опускания текста вниз на строку. Итак, вы набрали show running-config и здесь отобразится информация. Вначале общая информация о свитче (адрес, имя, адреса шлюз и.т.д.), а затем информация о портах. Здесь особое внимание я бы хотел обратить на информацию о режиме VLAN порта: switchport mode . Access - режим статической VLAN; Multi - мультиVLAN порт; Trunk - режим trunk магистрали; Dynamic - VPMS режим. Следующий параметр switchport показывает особые параметры для данного типа порта. Например для access это единственный идентификатор VLAN, для multi - список допустимых VLAN, разделЈнных запятой или -, для указания промежутка VLAN.Таким образом, после сделанных изменений неплохо было бы смотреть, что именно произошло.
[pic] Для постоянного сохранения параметров настройки наберите write memory. Для перезагрузки свитча используйте команду reload. И заканчивая эту тему, подскажу, как сбросить настройки свитча после неудачных опытов: >enable #rename config.text ДРУГОЕ_ИМЯ.text #reload и вы сразу же начнете с начального конфигурационного диалога. Для выхода из вложенных режимов конфигурации нажимайте exit. Для полного выхода наберите два раза exit. Итак, приступим к настройке VLAN. Предполагаю, что вы уже находитесь в режиме конфигурации. (config)# interface FastEthernet x/x(нужный вам порт), затем вы в режиме конфигурации порта - (config-if)#, теперь вам доступны любые доступные изменения конфигурации порта. Для получения списка допустимых команд как обычно можно нажать ?. Поподробнее остановлюсь на команде switchport mode, определяющей режим работы порта для VLAN. Допустимые значения access(статический доступ), multi(мульти-доступ) и trunk(режим тунельной магистрали). Для конфигурации конкретного режима нужно применять switchport access vlan ID - единственная vlan switchport multi vlan ID, ID, ID или switchport multi vlan ID-ID, ID-ID, ID - список допустимых vlan switchport trunk allowed vlan LISTID - допустимые для магистрали vlan(по умолчанию 1-1005) prunning encapsulation native Для отмены каких-либо значений воспользуйтесь командой no switchport ... и применяйте те же команды, что и для включения опций, но применяйте их в обратном порядке, т.е.
no switchport multi vlan ... no switchport mode multi Не забудьте посмотреть результаты вашей работы - (config-if)#exit (config)#exit #show running-config #write memory - если надо записать настройки Для осмысленной настройки VLAN можно использовать базу данных VLAN: #vlan database (vlan)# (vlan)#show - для показа состояния vlan на данном свитче:
[pic]
Далее можно поменять настройки конкретной VLAN: (vlan)#vlan ID ? - список возможных настроек: [pic]
Например name - настройка имени для данной vlan. Довольно удобно давать VLAN осмысленные имена, но нужно иметь в виду, что если на разных свитчах одни и те же vlan будут иметь разные имена, то это может вызвать путаницу в дальнейшем обслуживании.
Для настройки VTP в режим сервера выполните следующее:
|Действие |Команда | |1 В основном режиме войдите в раздел |vlan database | |конфигурации VLAN. | | |2 Введите имя домена VTP(1 - 32 символов). |vtp domain | | |domain-name | |3 (Необязательно) Установите пароль для |vtp password | |домена(1-64 символа). |password-value | |4 Установите нужный режим VTP для данного |vtp server(client) | |свитча(клиент/сервер). | | |5 Возвращаемся в основной режим. |exit | |6 Проверяем настройки VTP. |show vtp status |
Пример настройки VTP сервера: # vlan database (vlan)# vtp domain Avitek Установка имени домена Avitek (vlan)# vtp domain Avitek password LAVA Установка пароля для данного домена. (vlan)# vtp server Включение режима VTP сервера. (vlan)# exit Настройки применены. Выходим....
# show vtp status VTP Version
: 2 Configuration Revision : 0 Maximum VLANs supported locally : 68 Number of existing VLANs : 6
3.4 Примеры организации VLAN
Пpоект построения multi-VLAN на основе свитчей серий Catalyst 2900XL и
Catalyst 1900EN
Пpоект построения trunk-VLAN на основе свитчей серий Catalyst 2900XL и
При такой схеме обязателен роутер или поддержка протокола ISL, IEEE 802.1Q сервером. Кроме этого доступна единая конфигурация VLAN через домен VTP:
Домен VTP(домен управления VLAN) - это свитч или группа соединенных свитчей, разделяющих VTP. Свитч может входить только в один VTP домен. По умолчанию коммутаторы считают, что они не относятся к VTP домену, пока им не приходит сообщение по порту- каналу(trunk порт) или вы вручную не назначите им домен. По умолчанию режим VTP устанавливается как VTP сервер, но коммутатор не станет рассылать информацию другим свитчам, пока ему вручную не присвоен домен VTP. Если свитч получает информацию о VTP через trunk порт, то он автоматически становится членом данного домена и наследует конфигурацию. Когда вы меняете настройки VLAN на сервере VTP, то они автоматически наследуются клиентами через trunk порты. Если же вы конфигурируете настройки VLAN на коммутаторе-клиенте, то они касаются только данного свитча.
Для свитчей серии CISCO Catalyst 1900 нет поддержки мультиVLAN и вы должны назначать портам только типы static и trunk. Для управления коммутатором через CLI используется весьма удобная система меню:
Вначале после приглашения свитча вы нажимаете M и вводите пароль для конфигурации свитча. После этого вы видите главное меню:
Для настройки VLAN нажмите клавишу V и увидите меню настройки VLAN:
Для просмотра состояния VLAN нажмите L а затем на вопрос о диапазоне VLAN можно указать all для просмотра всех VLAN: [pic]
Для того, чтобы использовать какую-либо VLAN еЈ необходимо добавить(в свитчах поздних серий это делается неявно, когда вы впервые эту VLAN используете): для этого в основном меню VLAN нажмите A и следуйте инструкциям:
Для настройки VLAN нажмите M и перед вами возникнет схожее меню для ыбранной VLAN. Для присвоения порту допустимой VLAN можно воспользоваться меню E - VLAN membership:
Вначале показывается информация о текущей конфигурации, а затем меню для изменения оной. Для изменения типа VLAN для порта(статический или динамический) и спользуется меню Membership type - M:
Для присвоения конкретной VLAN порту используйте меню V:
Для настройки trunk портов используйте меню T из главного меню настройки VLAN. Вам покажется следующее меню. Trunk портами могут быть только 100 Мбитные и оптические порты. Чтобы сделать порт тунелем, нажмите клавишу T меню trunk и выберите 2(On):
Конфигурация VTP для данных свитчей находится также на странице главного меню VLAN:
Для настройки VTP укажите имя домена VTP, который используется у вас в сети(их, конечно, может быть несколько) и режим работы VTP, скорее всего для данного типа свитчей это будет режим клиента. В общем, в режиме клиента нельзя проводить операции с VLAN, вроде добавления, изменения и удаления. Эти операции проводятся централизованно на сервере VTP и передается на все свитчи-клиенты через trunk магистрали(естественно, что для использования возможностей VTP вы должны использовать VLAN через тунели-trunk)
Список литературы
http://www.cisco.com/
http://www.opennet.ru/
Страницы: 1, 2, 3
