Реферат p>
Тема: Конфігурація Cisco Catalyst 2900 - 3500XL p>
Зміст p>
Введення
1 Швидкий старт p>
1.1 Підключення світч p>
1.2 Присвоєння IP комутатора p>
1.3 Відкриття Cisco Visual Switch Manager Software
2 Налаштування світч p>
2.1 Управління кластером p>
2.2 Оновлення операційної системи p>
2.3 Управління протоколом SNMP p>
2.4 Членство в VLAN p>
2.5 STP p>
2.6 Установки порту p>
2.7 Фільтри flood трафіку p>
2.8 Безпека портів
3 VLAN p>
3.1 Типи vlan p>
3.2 VTP p>
3.3 Налаштування світчей p>
3.4 Приклади організації VLAN p>
Введення p>
Провайдери послуг та великі підприємства намагаються надаватизамовникам широкий спектр послуг (АТМ, Frame Relay, Інтернет, IP,електронна торгівля, передача голосових і відеоданих, SNA і т.д.) звисокою якістю і максимальною доступністю. Рішення щодо глобальноїкомутації повинні бути гнучкими і масштабованими. Вони повинні надаватипослуги на вимогу і включати в себе нові послуги по мірі їх появи наринку. Крім того послуги корпоративних глобальних мереж повинні бутимаксимально ефективними і економними, оскільки гостра конкуренціязмушує компанії постійно знижувати ціни і підвищувати продуктивність.
Комутатори Cisco, що відповідають промисловим стандартам, у поєднанні зпериферійними концентраторами являють собою саму гнучку в галузіплатформу комутації з інтелектуальними функціями управління якістюпослуг (Intelligent QoS Management Features). Вступаючи в партнерськівідносини з Cisco, провайдери послуг і підприємства можуть створюватиглобальні мережі, які здатні ефективно та економно створювати інадавати послуги, пов'язані з цифровими даними, мережею Інтернет,протоколом IP, передачею голосових і відеоданих, з найвищоюдоступністю і якістю. p>
p>
Рішення компанії Cisco Systems підкріплені солідною репутацією,стабільним фінансовим станом, взаємовідносинами з респектабельнимизамовниками і довірою акціонерів. Більше 80% трафіку найбільшої в світі мережі
Інтернет обробляється обладнанням Cisco Systems. Список Fortune 100містить ім'я Cisco Systems. Наша компанія є третьою за величиноюкомпанією, після Microsoft і Intel, акції, яких продаються на фондовійбіржі NASDAQ. Cisco Systems входить до числа 10 найбільших компаній,постачають рішення для телекомунікаційних компаній. 80% найбільшихкорпоративних мереж в світі побудовані на обладнанні компанії Cisco
Systems. Капіталізація компанії в серпні 1998 року перевищила позначку в 100мільярдів доларів США. p>
1 Швидкий старт p>
1.1 Підключення світч p>
Приєднання консольного кабелю p>
1. Підключіть поставляється плоский дріт в роз'єм на задній панелікомутатора з маркою console. p>
2. Підключіть інший кінець кабелю до com-порту комп'ютера черезвідповідний перехідник і запустіть програму-емулятортермінала (наприклад HyperTerminal або ZOC).
Порт консолі має наступні характеристики: p>
9600 бод p>
Ні парності p>
8 біт даних p>
1 біт зупинки p>
1.2 Присвоєння IP комутатора p>
В перший раз, коли ви запускаєте світч, то він запитує IP адреса.
Якщо ви призначили йому відпочинку, що дуже бажано, то він можеконфігуруватися через веб-інтерфейс Cisco Visual Switch Manager (CVSM) і
Telnet. P>
Необхідні вимоги до IP p>
Перед установкою, дізнайтеся наступну інформацію про мережу (у адміністратора): p>
. IP адреса світч p>
. Маска підмережі p>
. Типовий шлюз (router) - його може й не бути. P>
. Ну і пароль для світч (хоча швидше за все краще це придумати самому) p>
Перший запуск p>
Виконуйте наступні дії для присвоєння комутатора IP адреса:
Крок 1 Натисніть Y при першій підказкою системи: p>
Continue with configuration dialog? [yes/no]: y p>
Крок 2 Введіть IP адресу та натисніть клавішу Enter: p>
Enter IP address:
Крок 3 Введіть маску підмережі та натисніть Enter: p>
Enter IP netmask:
Крок 4 Введіть чи є у вас шлюз за замовчуванням N/Yеслі є, то введіть йогоадреса після натискання Y: p>
Would you like to enter a default gateway address? [yes]: y p>
Крок 5 Введіть IP адреса шлюзу і натисніть Enter.
IP address of the default gateway: 3 p>
Крок 6 Введіть ім'я хоста комутатора і натисніть Enter:
Enter a host name: p>
Крок 7 Введіть пароль (бажано справжньої 8-10 символів і складніша) інатисніть Enter (головне потім цей пароль не забути). Крім цього, потім напитання про пароль для Telnet відповідайте Y і введіть пароль для доступу через
Telnet
Enter enable secret: p>
Initial configuration: p>
Створився Наступне фото конфігурації: p>
interface VLAN1 p>
ip address 172.20.153.36 255.255.255.0 p>
ip default-gateway 172.20.153.01enable secret 5 $ 1 $ M3pS $ cXtAlkyR3/6Cn8/ p>
snmp community private rw p>
snmp community public ro p>
end p>
Use this configuration? [yes/no]: p>
Крок 8 Якщо все нормально - тисніть Y; немає - тисніть N (тільки врахуйте, щопароль зашифровується) для рестарту процедури установки. p>
1.3 Відкриття Cisco Visual Switch Manager Software p>
Після того, як ви присвоїли IP комутатора, то ви можетеконфігурувати його через веб-інтерфейс за допомогою Cisco Visual Switch абочерез консоль (або через Telnet) p>
CVSM підтримує наступні платформи і броузери:
| Win95 | Netscape Communicator | Microsoft Internet |
| Win 98 | 4.5. і 4.5.1 | Explorer 5.0 та 4.01 з |
| | | Service Pack 1 |
| Windows NT | Netscape Communicator | Microsoft Internet |
| | 4.5. і 4.5.1 | Explorer 5.0 або 4.01 з |
| | | Service Pack 3 |
| Solaris 2.5.1 | Netscape Communicator | Це ж Unix! |
| і више1 | 4.5. і 4.5.1 | | p>
Для відображення CVSM зробіть наступне: p>
Крок 1 Запустіть Netscape Communicator або Internet Explorer. p>
Крок 2 Увімкніть опції для з'єднання з комутатором . p>
Для Internet Explorer: p>
1. У меню View (Вид) або Tools (Інструменти)> Internet Options
(Властивості оглядача)> закладка Advanced (Додатково). P>
2. Знайдіть у списку опцій JavaVM і відзначте прапорці (якщо до цих пір невідзначені) Java JIT compiler enabled (включити компілятор Java) and the Javalogging enabled (Увімкнути консоль Java). p>
3. Клацніть Apply (Застосувати).
Для Netscape Communicator: p>
1. У меню Edit> Preferences> Advanced. P>
2. Відзначте прапорці Enable Java (Увімкнути Java), Enable
JavaScript (Увімкнути JavaScript), і Enable style-sheets (Активізувати підтримкукасадних стилів). p>
3. Клацніть OK. P>
4. Виберіть меню Edit> Preferences> Advanced, і виберіть Cache щобзмінити параметри кешування документів. p>
5. Виберіть Every time, та клацніть OK. P>
Крок 3 Введіть IP адреса комутатора в рядку адреси.
Крок 4 Натисніть Enter. Вам здасться основне вікно управління комутатором.
Крок 5 Клацніть Visual Switch Manager щоб відобразити домашню сторінку
CVSM. P>
p>
2 Налаштування світч p>
2.1 Управління кластером
Відкриває вікно управлінням кластера, подібне до наступного: p>
p>
Тут ви можете додавати і видаляти членів з кластеру, за умови,звичайно, що ви знаєте їх паролі і той світч, за яким ви знаходитесьє командним. p>
2.2 Оновлення системи IOS p>
Дозволяє відновити систему IOS на свитчи, що належать даномукластеру, з командного світч: p>
p>
Для оновлення операційної системи світч (IOS) через мережу, вамнеобхідно вказати адресу TFTP сервера (він повинен існувати з даногоадресою) і ім'я файлу (дізнайтеся у власника TFTP сервера). Потім натисніть кнопку
Upgrade і стежте, щоб не було помилок (наприклад, не знайдено TFTP сервер),при вдалому оновленні натисніть кнопку Reboot для перезавантаження машини, інакшеспробуйте оновити систему ещЈ раз. p>
2.3 Управління протоколом SNMP p>
Назва SNMP розшифровується як простий протокол передачі мережевихповідомлень. Його основне призначення - передавати повідомлення (TRAP) від клієнтадо сервера. При цьому клієнт вказує рядок спілкування, чим підтверджуєсервера, що він може з ним спілкуватися. У свитчи Catalyst цей механізмвикористовується дуже широко для виявлення інших світчей до ньогопідключених. Тому спочатку світч опитує свої порти і визначає, дезнаходяться інші свитчи серії Catalyst. На підставі цього відбуваєтьсяінтелектуальна маршрутизація і побудова топології мережі. Вид сторінкиуправління протоколом SNMP складається з трьох закладок: 1-а ім'я світч і йогомісце розташування (інформація про свитчи для інших світчей - серверна частина): p>
p>
Тут ми бачимо інформацію про свитчи таку, якою вона представляється дляінших світчей, тому змінювати її немає жодної потреби. 2-а закладкапредставляє клієнтську частину світч. Тут описуються рядка спілкування.
Змінювати цю інформацію не можна ні в якому разі, поки ви точно не знаєте,що робите. 3-я закладка становить найбільшу цінність: p>
p>
Тут ви можете вказати сервер SNMP для отримання повідомлень від світч.
Для цього в полі IP address вкажіть ip адреса сервера SNMP і нижче вкажітьрядок спілкування (цю інформацію можна отримати від власника SNMP сервера) іклацніть кнопку ADD (додати) - адреса сервера з'явиться у списку праворуч.
Його звідти можна видалити натисканням кнопки REMOVE (виділивши його ip адресу). Дляданого сервера вкажіть ті повідомлення, які йому треба посилати, виділившивідповідні прапорці. Після всіх змін натисніть кнопку OK або Cancel.
Список прапорців: p>
| Назва | Значення |
| параметра | |
| Config | ПередаЈт серверу повідомлення при зміні |
| | Своїй конфігурації |
| SNMP | СоздаЈт підтримувані повідомлення SNMP |
| TTY | ПередаЈт повідомлення при початку сесії CLI |
| VLAN | ПередаЈт серверу повідомлення при зміні |
| membership | членства VLAN |
| VTP | генерує повідомлення при змінах в |
| | Протоколі VTP |
| C2900/c3500 | Специфічні для даних світчей повідомлення | p>
CLI: p>
Призначення SNMP сервера p>
| | Команда | Призначення |
| Крок 1 | config terminal | Вхід в режим конфігурації. |
| Крок 2 | snmp-server host 172.2.128.263 | Введіть адресу SNMP сервера, рядки |
| | Traps1 snmp vlan-membership | спілкування і тип повідомлень для генерації. |
| Крок 3 | end | Вихід з режиму конфігурації. |
| Крок 4 | show running-config | Дивитися зроблених змін. | p>
2.4 Членство в VLAN p>
Дана сторінка дуже важлива в налагодженні світч, тому що вона дозволяєспостерігати і змінювати VLAN у портів, а також змінювати конфігурацію trunkпортів і спостерігати порти, що належать якому-небудь VLAN. Сторінкауправління VLAN складається з 3-х закладок (якщо вона викликається зспливаючого меню порту, то відразу ж показується сторінка налаштуванняпорту). 1-а з них показує всі порти на свитчи в заданому форматі. Назвапорту складається з визначає його клас частини: FastEthernet, номери модуля
(0 якщо системний), і та номер порту. У наступному прикладі, порт знаходиться намодулі 0 (системний порт) і має номер 1: FastEthernet0/1 далі йдеколонка режими роботи: Static (статичний доступ - один порт -> один
VLAN), Multi (мульти 1 порт -> багато VLAN), Dynamic (динамічний) і
Trunk (магістраль). У 3-й колонці в залежності від режиму роботи вказуютьсядодаткові параметри: для статичного - це одне число - номер VLAN,для multi - список VLAN, розділених комами або тире (1,2-10,16), а дляtrunk і dynamic портів тут буде напис N/A - параметрів немає. p>
p>
Для модифікації параметрів світч натисніть кнопку Modify - і вамз'явиться наступне вікно: p>
p>
Тут ви можете змінити тип порту, як це показано на малюнку і длястатичних або мульти портів вказати членство в VLAN (як це булонаписано вище). Після змін натисніть кнопку OK або Cancel. Сторінка 2 восновний налаштування членства VLAN показує нам що існують на даномусвитчи VLAN і при натисканні кнопки Highlight Port Members на сторінці світчвідображаються члени обраного VLAN, причому відображаються відповіднимиквітами (легенда внизу сторінки): p>
p>
На 3-й сторінці ви можете побачити конфігурацію trunk портів: в першомуколонці - ім'я trunk порту, режим його протоколу: ISL або IEEE802.1q, списокдопустимих VLAN і список???? VLAN. Для зміни списку допустимих і ????< br>VLAN натисніть кнопку modify для даного trunk порту. P>
p>
2.5 Spanning Tree Protcol p>
Даний протокол покликаний забезпечувати виключення "мертвих" пакетів змережі. Тобто запобігати появі нескінченних циклів в мережі. Якщо вмережі існують кільця, то краще включити STP тому що він дуже допоможеістотно знизити трафік. За замовчуванням STP включений везде.Страніцауправління STP складається з декількох розділів. Перший з них дозволяєвимикати або включати STP для конкретних VLAN. Для цього натисніть кнопку
Modify і виберіть зі списку Enabled або Disabled. Вид сторінки: p>
p>
2-а сторінка показує список головних світчей STP (STP root) дляокремих VLAN. Ця сторінка служить для перегляду mac адрес та іншихпараметрів головних світчей. Ці параметри будуть роз'яснені далі. P>
p>
3-я сторінка дозволяє змінити параметри STP для даного світч. Дляцього виберіть vlan та натисніть кнопку modify - вам буде представлений списокпараметрів STP для даної vlan. p>
| парамет | Пояснення |
| р | |
| Protoco | Тип протоколу STP: IEEE або IBM. Скрізь за замовчуванням застосовується |
| l | IEEE. Цей параметр змінювати не варто |
| Priorit | Пріоритет даного світч в STP, може приймати значення від 0 до |
| y | 65535. Менша кількість означає більший пріоритет. Світч з |
| | Найбільшим пріоритетом стає головним (root) для даного vlan. |
| Max Age | Число секунд (6-200), яке світч ждЈт конфігураційних повідомлень |
| | STP до спроби переконфігурація. Цей параметр використовується для |
| | Головного світч. Для інших цей параметр успадковується від головного. |
| Hello | Число секунд (1-10) між передачею повідомлень іншим свитчи про те, |
| Time | що даний працює. Цей параметр застосовується для головного |
| | Світч. Для інших цей параметр успадковується від головного. |
| Forward | Число секунд (4-200), коли порт змінює своЈ стан з |
| Delay | стану дослідження (learning) у стан передача |
| | Пакетів (forwarding) при зміні конфігурації. Це якраз те |
| | Час, коли у порту блимає жовтий індикатор при приєднанні або |
| | Від'єднанні мережевого кабелю. |
| | | P>
p>
4-а сторінка дозволяє змінити параметри STP для кожного конкретногопорту. Для цього виберіть порт і натисніть кнопку modify. P>
| Установки | Пояснення |
| тр | |
| Port | Цей параметр дозволяє порту при зміні параметрів відразу ж |
| Fast | преходить від стану learning до стану forwarding. При цьому |
| | Вивчення STP відбувається лише при включенні світч. Цей параметр |
| | Корисний для серверів, які працюють з великою кількістю клієнтів. |
| Path | Менше число означає більшу швидкість передачі. 100 - 10Мбіт; 19 |
| cost | - 100Мбіт; 4 - 1Гбіт; 2 - 10Гбіт |
| Priori | Число, що означає пріоритет порту. Більше число - більший |
| ty | пріоритет. | p>
CLI: p>
Зміна затримки пердачі пакетів p>
| | Команда | Призначення |
| Крок 1 | configure terminal | Вхід в режим конфігурації. |
| Крок 2 | spanning-tree [vlan | Введіть затримки передачі пакетів |
| | Stp-list] forward-time | у секундах в діапазоні від 4-х до 200-т. |
| | Seconds | |
| Крок 3 | end | Вихід з режиму конфігурації. |
| Крок 4 | show spanning-tree | Перевірка змін. | p>
Включення режиму швидкого порту p>
| | Команда | Призначення |
| Крок 1 | configure | Вхід в режим конфігурації. |
| | Terminal | |
| Крок 2 | interface | Вхід в режим настройки |
| | Interface | порту. |
| Крок 3 | spanning-tree | Включення режиму швидкого |
| | Portfast | порту. |
| Крок 4 | end | Вихід з режиму |
| | | Конфігурації. |
| Крок 5 | show | Перевірка змін. |
| | Running-config | | p>
2.6 Установки порту p>
За умовчанням всі порти включені. Для відключення порту виконайтенаступні дії: p>
У розділі Status, зніміть прапорець Enable. p>
Цей розділ показує стан порту. Якщо навіть порт Enabled, то він всЈодно може мати стан LINK DOWN, якщо до нього не підключено ніякепристрій
Натисніть Apply. P>
Якщо ви настроїти SNMP сервер, то йому надсилається повідомлення linkdown. P>
Присвоєння імені порту
Щоб присвоїти порту ім'я, виконайте наступне:
У полі Name введіть бажане ім'я для порту. P>
Натисніть Apply.
Зміна установок дуплексу та швидкості порту p>
Порти типу FastEthernet здатні автоматично визначати швидкість ітип дуплексу підключеного пристрою. p>
Для того, щоб змінити настройки швидкості і дуплексу, виконайтенаступне:
Для установки режиму дуплексу: у полі Duplex, виберіть Half (напів), Full
(повний), або Auto (автовизначення). Fast Ethernet порти за замовчуваннямвстановлюються у режим Auto.
Для установки швидкості: задайте параметри в полі Speed, допустимі значення
10 (10 Мбіт), 100 (100 Мбіт), або Auto (автовизначення). Для FastEthernetпортів за замовчуванням стоїть режим автовизначення. p>
НажмітеApply.
Іноді автовизначення працює неправильно, тоді треба встановлювати ціпараметри вручну. Для гігабітних портів доступний також flow control. Аледля таких портів завжди працює режим повного дуплексу, а швидкістьнеможливо змінити. Відображення статистичної інформації про порт p>
Для показу статистичної інформації натисніть кнопку View в вибраномупорте в розділі Statistics. Відкриється окреме вікно броузера, де цястатистика і буде показана у вигляді графіка.
Вказівка: ви можете скинути статистику для порту, натиснувши кнопку Reset, цеще і закриє вікно броузера зі статистикою. p>
Описи полів p>
p>
| Поле | Опис |
| Port | Відобразиться слово "Fa" (Fast Ethernet), "Gi" (Gigabit Ethernet), or |
| | "AT" (for ATM) та номер порту. |
| Status | Включення та відключення порту. Спочатку ми просто показує поточний |
| | Статус порту. |
| Duplex | Зміна режиму дуплексу порту (Full, Half або Auto). Спочатку |
|: | Просто показує поточний стан дуплексу порту. |
| Speed: | Встановлює швидкість для Fast Ethernet портів: значення 10 (10 |
| | МБіт), 100 (100 Мбіт), або Auto (автовизначення). Спочатку просто |
| | Показує поточний стан швидкості порту. |
| | Для портів типу GigaBit завжди показує значення 1000 |
| Port | Опис порту. |
| Name | |
| Port | Включає або вимикає режим швидкого порту. |
| Fast | |
| 802.1p | Изм?? вується пріоритет для пакетів, що йдуть з даного порту для VLAN |
| | Тегів у IEEE802.1q пакетах (trunk порти). Змінювати цей параметр не |
| | Рекомендується. | p>
2.7 Установки flood трафіку p>
Взагалі термін flood буквально перекладається, як повінь. У даномуконтексті, кажучи flood, я буду мати на увазі дуже велика кількістьширокомовних чи інших пакетів у секунду, що приходять на даний порт.
Це схоже на мережевий шторм і істотно знижує пропускну здатністьпорту. У свитчи Catalyst передбачені кошти для контролю такихштормів. Ці кошти так і називаються: "Storm control". Викликаються вонивибором пункту меню Port - Flooding control. Для конкретного порту цікошти можна викликати також пункт меню flooding control.
Зовнішній вигляд flooding control: p>
p>
Він складається з 4-х закладок. Перші три показують стан для портівза ознакою фільтрації broadcast, multicast і unicast пакетів. Broadcast --широкомовні пакети, передаються всім машинам в даній підмережі.
Multicast пакети передаються всіх машин в цiй multicast групі. Unicastпакети - верхній рівень пакетів, передаються всіх машин в мережі, у нихможуть бути упаковані інші види пакетів. На сторінці flooding controlпоказується стан фільтрів для кожного порту. Виділіть порт, абогрупу портів та натисніть modify для зміни параметрів фільтрів порту.
Допустимі параметри: p>
| Параметр | Допустимі значення |
| Filter | Стан фільтра. Допустимі значення: |
| state | Disable - вимкнено |
| | Enable - включений |
| Trap state | Посилати чи повідомлення SNMP сервера при фільтрації |
| | Штормового трафіку |
| Rising | Межа широкомовних пакетів в секунду |
| threshold | до початку фільтрації |
| Falling | Нижній поріг фільтра. При досягненні цього значення |
| threshold | фільтрація відключається | p>
p>
Крім цього у вікні статусу можна побачити кількість пакетів в секундуданого типу, що приходять на порт і число посланих повідомлень про початок іНаприкінці фільтрації. p>
Для портів можна також встановити, чи буде він брати Multicast і
Unicast пакети з невідомими mac адресами. Якщо встановлено значення
Enable, то такий трафік дозволений, інакше він блокується. Для кожного портуможна подивитися це значення, а потім виділивши його, натиснути кнопку Modifyдля зміни цих параметрів. p>
p>
p>
CLI: p>
Включення flood фільтрів: p>
| | Команда | Призначення |
| Крок 1 | configure terminal | Вхід в режим настроювання. |
| Крок 2 | interface interface | Вхід в режим настроювання порту. |
| Крок 3 | port storm-control broadcast | Введіть верхній і нижній пороги |
| | [Threshold (rising | фільтра широкомовних пакетів |
| | Rising-number falling | відповідно. |
| | Falling-number)] | Верхній поріг повинен бути більше |
| | | Нижнього (що не повинно викликати |
| | | Сумнівів). |
| Крок 4 | port storm-control trap | Посилати SNMP серверу повідомлення про |
| | | Включення/вимикання фільтра. |
| Крок 5 | end | Вихід з режиму конфігурації. |
| Крок 6 | show port storm-control | Перевірка зроблених змін. |
| | [Interface] | | p>
Вимкнення flood фільтрів: p>
| | Команда | Призначення |
| Крок 1 | configure terminal | Вхід в режим настроювання. |
| Крок 2 | interface interface | Вхід в режим настроювання порту. |
| Крок 3 | no port storm-control | Вимкнення фільтра широкомовних |
| | Broadcast | пакетів |
| Крок 4 | end | Вихід з режиму конфігурації. |
| Крок 5 | show port storm-control | Перевірка зроблених змін. |
| | [Interface] | | p>
Відключення невідомих multicast/unicast пакетів p>
| | Команда | Призначення |
| Крок 1 | configure terminal | Вхід в режим конфігурації. |
| Крок 2 | interface interface | Вхід в режим настроювання порту. |
| Крок 3 | port block multicast | Блокування multicast пакетів. |
| Крок 4 | port block unicast | Блокування unicast пакетів. |
| Крок 5 | end | Вихід з режиму конфігурації. |
| Крок 6 | show port block | Перевірка змін для відповідно |
| | (Multicast | unicast) | multicast і unicast пакетів (по-окремо). |
| | Interface | | p>
Нормальний режим передачі пакетів p>
| | Команда | Призначення |
| Крок 1 | configure terminal | Вхід в режим конфігурації. |
| Крок 2 | interface interface | Вхід в режим настроювання порту. |
| Крок 3 | no port block multicast | Відключення блокування multicast пакетів. |
| Крок 4 | no port block unicast | Відключення блокування unicast пакетів. |
| Крок 5 | end | Вихід з режиму конфігурації. |
| Крок 6 | show port block | Перевірка змін для відповідно |
| | (Multicast | unicast) | multicast і unicast пакетів (по-окремо). |
| | Interface | | p>
2.8 Безпека портів p>
У свитчи серії Catalyst 2900XL можливий варіант обмеження доступу допорту по mac адресах. Для виведення на екран діалогу конфігурації безпекипорту, виберіть з контекстного меню порту пункт Port Security. Відобразитьсявікно приблизно такого змісту: p>
Пояснення полів: p>
| Параметр | Допустимі значення |
| Status | Поточний стан безпеки порту. Enable - включено, Disable |
| | - Вимкнено. |
| Send | Визначає, чи буде світч посилати повідомлення SNMP сервера при |
| trap | порушенні встановлення допустимої кількості mac адрес. |
| Shutdown | Визначає, чи буде світч автоматично відключати порт при |
| Port | порушенні встановлення допустимої кількості mac адрес. |
| Maximum | Максимальна кількість mac адрес (1-132), які можуть бути |
| Adress | підключені до світч (врахуйте інший світч або хаб можуть мати |
| Count | стільки mac адрес, скільки робочих станцій та інших мережевих |
| | Комутаторів підключено до них). Для порту, подключЈнного к |
| | Робочої станції можна поставити значення 1, для забезпечення |
| | Свого роду тунеля між свитчи і PC. Для хабів або світчей |
| | Можна ставити будь-яке значення допустимих mac адрес в діапазоні |
| | 1-132. Значення N/A висвічується при отключЈнном режимі |
| | Безпеки, що означає скільки завгодно mac адрес. | p>
CLI: p>
Включення безпеки для порту. p>
| | Команда | Призначення |
| Крок 1 | configure terminal | Вхід в режим конфігурації. |
| Крок 2 | interface interface | Режим налаштування порту. |
| Крок 3 | port security | Максимальна кількість mac адрес для порта + |
| | Max-mac-count 1 | включення безпеки. |
| Крок 4 | port security action | При порушенні безпеки порт буде |
| | Shutdown | виключатися. |
| Крок 5 | end | Вихід з режиму конфіураціі. |
| Крок 6 | show port security | Перевірка змін. | p>
Вимкнення безпеки для порту. p>
| | Команда | Призначення |
| Крок 1 | configure terminal | Вхід в режим конфігурації. |
| Крок 2 | interface interface | Режим налаштування порту. |
| Крок 3 | no port security | Відключення безпеки для порту. |
| Крок 4 | port security action | При порушенні безпеки порт буде |
| | Shutdown | виключатися. |
| Крок 5 | end | Вихід з режиму конфіураціі. |
| Крок 6 | show port security | Перевірка змін. | p>
3 Віртуальні мережі (VLAN) p>
Взагалі термін VLAN означає віртуальна локальна мережа. Така мережавідрізняється від фізичної LAN лише тим, що організовується розподіл пакетівв єдиної локальної мережі так, як якщо б це були б різні підмережі. Такимчином за допомогою VLAn можна організувати поділ локальної мережі наокремі ділянки. При цьому існує можливість регулювативзаємодія VLAN досить широко. p>
3.1 Типи VLAN p>
Немає потреби говорити, що існує кілька типів організації VLAN вмережі. Найпростіший з них - статичний. Ви призначаєте кожному порту будь -або номер VLAN і вони будуть "бачити" тільки ті порти, що належать томуж VLAN. При цьому абсолютно виключається можливість взаємодії з
"чужим" портом. При цьому самі комутатори з'єднуються між собоюза допомогою особливих каналів зв'язку - trunk магістралей. За такими магістраляхпроходять дані всіх VLAN. Але, на жаль, trunk порт повинен бути point-to -point (з двома кінцями) і може підключатися тільки до свитчи і роутера,підтримує VLAN. Таким чином організація мережевого доменного серверастає можливою тільки при використанні роутера: (. З іншого бокуtrunk магістралі підтримуються всіма типами світчей, які вміють робити
VLAN. Інша перевага - використання особливого протоколу кицьок,забезпечує централізоване управління всією системою VLAN. Наприклад,ви можете на сервер VTP вимкнути або включити определЈнную VLAN.
МультіVLAN дуже цікавий тип організації VLAN. Він полягає у визначеннідля порту декількох допустимих VLAN (наприклад, для економістів це можутьбути VLAN Economics і Server для доступу до загальних серверів і.т.д.). ТутвсЈ гранично просто, але, на жаль, свитчи серії 1900 і молодший непідтримують таку можливість: ((Тому такий світч може обслуговуватитільки один VLAN на одне підключення до нового світч Catalyst 2900 XL або
3300. При цьому якщо на основному свитчи цей порт буде мульти, то й настарий світч проходитимуть пакети від всіх мульти VLAN описаних на такомупорте.І нарешті, спосіб для страждаючих параноїдальною безпекоюнетадмінов, полягає в призначенні кожної VLAN списку допустимих мак
(або, на кшталт, IP-адрес). Коли на порт приходить пакет, то надсилаєтьсязапит VPMS серверу, є такий мак чи ні. Але при виборі типу VLAN,врахуйте що на одному свитчи не може бути різних типів організації VLAN. p>
3.2 VTP p>
Перед тим, як створювати в мережі VLAN, вирішите заздалегідь, чи будетеви використовувати для управління VLAN протокол VTP. Використовуючи VTP, ви можете,змінивши конфігурацію VLAN на одному свитчи, наприклад, Catalyst 2900 series
XL, автоматично змінити цю конфігурацію для всіх світчей, підключенихдо цього. Без VTP ви не зможете надсилати інформацію про VLAN іншим свитчи.
VTP забезпечує централізоване управління VLAN, і виключає можливістьдублювання VLAN а також інші неправильні налаштування. VTP дозволяєоптимізувати трафік між VLAN і забезпечує безпеку передачіданих. p>
VTP домен p>
Домен VTP (домен управління VLAN) - це світч або група з'єднанихсвітчей, що розділяють VTP. Світч може входити тільки в один VTP домен. P>
За замовчуванням комутатори вважають, що вони не належать до VTP домену,поки їм не приходить повідомлення по порту-каналу (trunk порт) або ви вручну непризначите їм домен. За замовчуванням режим VTP встановлюється як VTP сервер,але комутатор не стане розсилати інформацію іншим свитчи, поки йомувручну не визначено домен VTP.
Якщо світч отримує інформацію про VTP через trunk порт, то він автоматичностає членом даного домену та успадковує конфігурацію. Коли ви змінюєтеналаштування VLAN на сервері VTP, то вони автоматично успадковуються клієнтамичерез trunk порти. Якщо ж ви конфігуріруете налаштування VLAN на комутаторі -клієнта, то вони стосуються тільки даного світч. p>
3.3 Настройка VLAN за допомогою Cisco CLI p>
По-перше, є вельми істотні відмінності CLI у світчей серій 2900і 1900, а тому їх потрібно розглядати окремо. НачнЈм з світчей серії
2900. Отже, ви під'єднали нуль-модемний кабель або запустили сеансtelnet. По-перше на запрошення HOST_NAME> треба відповісти enable і ввестипароль до світч, для отримання доступу до конфігурації. Для переглядувідомостей про свитчи наберіть show running-config. Підказка по інтерфейсу
CLI. Тут є такі зручності як автозаповнення клавішею TAB - наберітьпочаток команди, наприклад show ru, і воно розшириться в show running -config. Можна в будь-який момент отримати довідку за будь-якого питання: простонатисніть? і вам будуть запропоновані можливі параметри команди, наприклад show
?. Для повторення попередніх або наступних команд можна використовуватикурсори вгору або вниз. Для гортання тексту при запиті - more --натискайте пробіл для опускання тексту вниз на рядок. Отже, ви набрали showrunning-config і тут відобразиться інформація. Спочатку загальна інформація просвитчи (адреса, ім'я, адреса шлюз і.т.д.), а потім інформація про порти. Тутособливу увагу я б хотів звернути на інформацію про режим VLAN порту:switchport mode. Access - режим статичної VLAN; Multi - мультіVLANпорт; Trunk - режим trunk магістралі; Dynamic - VPMS режим. Наступнийпараметр switchport показує особливі параметри для даного типу порту.
Наприклад для access це єдиний ідентифікатор VLAN, для multi - списокдопустимих VLAN, разделЈнных комою або -, для вказівки проміжку
VLAN.Такім чином, після зроблених змін непогано було б дивитися, щосаме сталося. p>
Для постійного збереження параметрів налаштування наберіть write memory. Дляперезавантаження світч використовуйте команду reload. І закінчуючи цю тему,підкажу, як скинути налаштування світч після невдалих дослідів:
> enable
# rename config.text ДРУГОЕ_ІМЯ.text
# reloadі ви відразу ж почнете з початкового конфігураційного діалогу. Для виходу звкладених режимів конфігурації натискайте exit. Для повного виходу наберітьдва рази exit. Отже, приступимо до налаштування VLAN. Припускаю, що ви вжеперебуваєте в режимі конфігурації. (config) # interface FastEthernetx/x (потрібний вам порт), потім ви в режимі конфігурації порту - (config-if) #,тепер вам доступні будь-які доступні зміни конфігурації порту. Дляотримання списку допустимих команд як завжди можна натиснути?. Поподробнеезупинюся на команді switchport mode, що визначає режим роботи порту для
VLAN. Допустимі значення access (статичний доступ), multi (мульти-доступ)і trunk (режим тунельний магістралі). Для конфігурації конкретного режимупотрібно застосовуватиswitchport access vlan ID - єдина vlanswitchport multi vlan ID, ID, ID або switchport multi vlan ID-ID, ID-ID, ID
- Список допустимих vlanswitchport trunk allowed vlan LISTID - допустимі для магістралі vlan (позамовчуванням 1-1005) prunning encapsulation native
Для скасування будь-яких значень скористайтеся командою no switchport ... івикористовуйте ті ж команди, що і для включення опцій, але використовуйте їх узворотному порядку, тобто p>
no switchport multi vlan ...no switchport mode multi
Не забудьте подивитися результати вашої роботи -
(config-if) # exit
(config) # exit
# show running-config
# write memory - якщо треба записати налаштування
Для осмисленої налаштування VLAN можна використовувати базу даних VLAN:
# vlan database
(vlan) #
(vlan) # show - для показу стану vlan на даному свитчи: p>
p>
Далі можна поміняти налаштування конкретної VLAN:
(vlan) # vlan ID? - Список можливих настройок:
p>
Наприклад name - настройка імені для даної vlan. Досить зручнодавати VLAN осмислені імена, але потрібно мати на увазі, що якщо на різнихсвитчи одні й ті ж vlan будуть мати різні імена, то це може викликатиплутанину в подальшому обслуговуванні. p>
Для налаштування VTP в режим сервера виконайте наступне: p>
| Дія | Команда |
| 1 В основному режимі ввійдіть у розділ | vlan database |
| конфігурації VLAN. | |
| 2 Введіть ім'я домену VTP (1 - 32 символів). | vtp domain |
| | Domain-name |
| 3 (Необов'язково) Встановіть пароль для | vtp password |
| домену (1-64 символи). | password-value |
| 4 Встановіть потрібний режим VTP для даного | vtp server (client) |
| світч (клієнт/сервер). | |
| 5 Повертаємося до спрощеного режиму. | exit |
| 6 Перевіряємо налаштування VTP. | show vtp status | p>
Приклад налаштування VTP сервера:
# Vlan database
(vlan) # vtp domain Avitek
Установка імені домену Avitek
(vlan) # vtp domain Avitek password LAVA
Установка пароля для даного домену.
(vlan) # vtp server
Включення режиму VTP сервера.
(vlan) # exit
Установки застосовані.
Виходимо .... p>
# show vtp status
VTP Version p>
: 2
Configuration Revision: 0
Maximum VLANs supported locally: 68
Number of existing VLANs: 6 p>
3.4 Приклади організації VLAN p>
Пpоект побудови multi-VLAN на основі світчей серій Catalyst 2900XL і p>
Catalyst 1900EN p> < p> p>
Пpоект побудови trunk-VLAN на основі світчей серій Catalyst 2900XL і p>
Catalyst 1900EN p>
p>
За такої схеми обов'язковий роутер або підтримка протоколу ISL, IEEE
802.1Q сервером. Крім цього доступна єдина конфігурація VLAN через домен
VTP: p>
VTP домен p>
Домен VTP (домен управління VLAN) - це світч або група з'єднанихсвітчей, що розділяють VTP. Світч може входити тільки в один VTP домен. Зазамовчуванням комутатори вважають, що вони не належать до VTP домену, поки їмне приходить повідомлення по порту-каналу (trunk порт) або ви вручну непризначите їм домен. За замовчуванням режим VTP встановлюється як VTP сервер,але комутатор не стане розсилати інформацію іншим свитчи, поки йомувручну не визначено домен VTP. Якщо світч отримує інформацію про VTP черезtrunk порт, то він автоматично стає членом даного домену тауспадковує конфігурацію. Коли ви змінюєте налаштування VLAN на сервері VTP, товони автоматично успадковуються клієнтами через trunk порти. Якщо ж виконфігуріруете налаштування VLAN на комутаторі-клієнта, то вони стосуютьсятільки даного світч. p>
Для світчей серії CISCO Catalyst 1900 немає підтримки мультіVLAN і виповинні призначати портів тільки типи static і trunk. Для управліннякомутатором через CLI використовується досить зручна система меню: p>
p>
Спочатку після запрошення світч ви натискаєте M і введіть пароль дляконфігурації світч. Після цього ви бачите головне меню: p>
p>
Для налаштування VLAN натисніть клавішу V і побачите меню налаштування VLAN: p>
p>
Для перегляду стану VLAN натисніть L а потім на питання про діапазон
VLAN можна вказати all для перегляду всіх VLAN:
p>
Для того, щоб використовувати будь-яку VLAN еЈ необхідно додати (усвитчи пізніх серій це робиться неявно, коли ви вперше цю VLANвикористовуєте): для цього в основному меню VLAN натисніть A і виконуйтеінструкцій: p>
p>
Для налаштування VLAN натисніть M і перед вами виникне схоже меню дляибранной VLAN. Для присвоєння порту допустимої VLAN можна скористатисяменю E - VLAN membership: p>
p>
Спочатку показується інформація про поточної конфігурації, а потім менюдля зміни неї. Для зміни типу VLAN для порту (статичний абодинамічний) і Використовується меню Membership type - M: p>
p>
Для присвоєння конкретної VLAN порту використовуйте меню V: p>
p>
Для налаштування trunk портів використовуйте меню T з головного менюналаштування VLAN. Вам здасться наступне меню. Trunk портами можуть бутитільки 100 Мбітні й оптичні порти. Щоб зробити порт тунелем, натиснітьклавішу T меню trunk і виберіть 2 (On): p>
p>
Конфігурація VTP для даних світчей знаходиться також на сторінціголовного меню VLAN: p>
p>
Для налаштування VTP вкажіть ім'я домену VTP, який використовується у вас вмережі (їх, звичайно, може бути декілька) та режим роботи VTP, швидше за вседля даного типу світчей це буде режим клієнта. Загалом, в режимі клієнтане можна проводити операції з VLAN, як додавання, зміни та видалення.
Ці операції проводяться централізовано на сервері VTP і передається на всісвитчи-клієнти через trunk магістралі (природно, що для використанняможливостей VTP ви повинні використовувати VLAN через тунелі-trunk) p>
Список літератури p>
http://www.cisco.com/ p>
http://www. opennet.ru/ p>
p>