Qtech QSW-2800-10T-AC-RPS [221/382] В дальнейшем хост а пересылает принятые пакеты хосту c меняя адрес источника и адрес назначения так как arp список своевременно обновляется еще одной задачей для хоста а является непрерывная отправка arp ответов и обновление arp списка коммутатора

После установки соединения запустите hyperterminal входящий в комплект windows пример приведенный далее основан на hyperterminal входящий в комплект windows хр 13

Шаг 2 включение и настройка hyperterminal 13

В выпадающем меню подключение выберите серийный порт rs 232 который используется pc например com1 и нажмите ok 14

Наберите имя для запущенного hyperterminal например switch 14

Включите коммутатор после чего следующие сообщения появятся в окне hyperterminal это режим конфигурации для коммутатора 15

Для data bits none для parity checksum 1 для stop bit none для traffic control или вы можете нажать restore default а после нажать ok 15

Настройте свойства com1 следующим образом выберите скорость 9600 для baud rate 8 15

Шаг 3 вызов командного интерфейса cli коммутатора 15

Ip адрес хоста telnet клиент и vlan интерфейс коммутатора должны иметь ipv4 ipv6 адреса в одном сегменте сети 16

Адресами метод настройки описан в посвященной этому главе следующий пример предполагает состояние коммутатора после поставки с заводскими настройками где присутствует только vlan1 16

Внутриполосное управление 16

Внутриполосное управление относится к управлению посредством доступа к коммутатору с использованием telnet или http а также snmp внутриполосное управление включает функции управления коммутатора для некоторых устройств подключенных к нему в тех случаях когда внутриполосное управление из за изменений сделанных в конфигурации коммутатора работает со сбоями для управления и конфигурирования коммутатора можно использовать внеполосное управление 16

Если второй пункт не может быть выполнен telnet клиент должен быть подключен к ipv4 ipv6 адресу коммутатора с других устройств таких как маршрутизатор 16

Коммутатор должен иметь сконфигурированный ipv4 ipv6 адрес 16

Коммутатор третьего уровня может быть настроен с несколькими ipv4 ipv6 16

Коммутатора посредством telnet пример адреса ipv4 16

Последующие шаги описывают подключение telnet клиента к интерфейсу vlan1 16

Теперь можно вводить команды управления коммутатором детальное описание команд приведено в последующих главах 16

Управление по telnet 16

Чтобы управлять коммутатором по telnet должны выполняться следующие условия 16

Внутриполосного управления ip адрес коммутатора должен быть настроен посредством внеполосного управления например через порт console команды конфигурирования следующие далее считается что все приглашения режима конфигурирования коммутатора начинаются со слова switch если отдельно не указано иного 17

Для активации функции telnet сервера пользователь должен включить её в режиме глобального конфигурирования как показано ниже 17

Команды настройки ip адреса для интерфейса vlan1 указаны ниже перед применением 17

Первым делом идет настройка ip адреса хоста он должен быть в том же сегменте сети 17

Что и ip адрес vlan1 интерфейса коммутатора предположим что ip адрес интерфейса vlan1 коммутатора 10 28 51 24 тогда ip адрес хоста может быть 10 28 52 24 с помощью команды ping 192 68 0 можно проверить доступен коммутатор или нет 17

Шаг 1 настройка ip адресов для коммутатора и запуск функции telnet server на коммутаторе 17

Для доступа в привелигерованный режим необходимо и задан уровень привилегий 15 18

Для локальной аутентификации можно использовать следующую команду 18

Для того что бы получить доступ к конфигурации через интерфейс telnet необходимо ввести достоверный логин login и пароль password в противном случае в доступе будет отказано этот метод помогает избежать неавторизованного получения доступа как результат когда telnet включен для настройки и управления коммутатора имя пользователя username и пароль password для авторизованных пользователей должены быть настроены следующей командой 18

Допустим авторизованный пользователь имеет имя test и пароль test тогда процедура задания имени и пароля для доступа по telnet 18

Необходимо запустить программу telnet клиент в windows с указанием адреса хоста 18

После ввода имени и пароля для интерфейса конфигурирования telnet пользователь сможет вызвать командный интерфейс cli настройки коммутатора команды используемые в командном интерфейсе telnet cli которые становятся доступны после ввода имени и пароля те же самые что и в консольном интерфейсе 18

Шаг 2 запуск программы telnet client 18

Шаг 3 получить доступ к коммутатору 18

Ip адрес хоста http клиент и vlan интерфейс коммутатора должны иметь ipv4 ipv6 адреса в одном сегменте сети 19

Если второй пункт не может быть выполнен http клиент должен быть подключен к ipv4 ipv6 адресу коммутатора с других устройств таких как маршрутизатор 19

Как и в управлении коммутатором через telnet как только удается ping ping6 хоста к ipv4 ipv6 адресам коммутатора и вводится правильный логин и пароль возможно получить доступ к коммутатору через http ниже описан способ настройки 19

Коммутатор должен иметь сконфигурированный ipv4 ipv6 адрес 19

О настройке ip адреса коммутатора с помощью внеполосного управления смотри главу о настройке telnet управления 19

Управление через http 19

Чтобы конфигурирование по web стало возможным нужно ввести команду ip http server в глобальном режиме конфигурирования 19

Чтобы управлять коммутатором через web интерфейс должны быть выполнены следующие условия 19

Шаг 1 настройка ip адресов для коммутатора и запуск функции http сервера 19

Web интерфейс входа выглядит следующим образом 21

Введите достоверные имя пользователя и пароль затем вы попадете в главное меню настройки web интерфейса как это показано ниже 21

Примечание при настройке коммутатора имя коммутатора пишется английскими буквами 21

Cli интерфейс 22

В режиме пользователя без дополнительных настроек пользователю доступны только запросы например время или информация о версии коммутатора 23

Для того чтобы попасть в режим администратора привилегированный существует несколько способов вход с использованием в качестве имени пользователя admin ввод команды enable из непривилегированного пользовательского интерфейса при этом необходимо будет ввести пароль администратора если установлен при работе в режиме администратора приглашение командной строки коммутатора будет выглядеть как switch коммутатор также поддерживает комбинацию клавиш ctrl z что позволяет простым способом выйти в режим администратора из любого режима конфигурации за исключением пользовательского 23

При работе с привилегиями администратора пользователь может давать команды на вывод конфигурационной информации состоянии соединения и статистической информации обо всех портах также пользователь может перейти в режим глобального конфигурирования и изменить любую часть конфигурациии коммутатора поэтому определение пароля для доступа к привилегированному режиму является обязательным для предотвращения неавторизованного 23

Режим администратора 23

Режим настройки 23

Режим пользователя 23

Является запросом для режима пользователя когда команда выхода запускается под режимом администратора она будет также возвращена в режим пользователя 23

Доступа и злонамеренного изменения конфигурации коммутатора 24

Tab в процессе ввода команды tab может быть использован для ее завершения если нет ошибок 28

Основные настройки 31

Основные настройки коммутатора 31

Управление telnet 32

Использование telnet для удаленного доступа к коммутатору 33

Команды конфигурирования telnet 33

Настройка telnet сервера 33

Настройка ip адресов коммутатора 37

Настройка snmp 38

Модернизация коммутатора 47

В bootrom режиме запустите setconfig чтобы установить ip адрес и маску коммутатора для режима bootrom ip адрес и маску сервера а также выберите tftp или ftp обновления предположим что адрес коммутатора 192 68 а адрес компьютера 192 68 6 и выберите tftp обновление конфигурации это будет выглядеть так 48

Как показано на рисунке используется консольный кабель для подключения пк к порту управления на коммутаторе пк должен иметь программное обеспечение ftp tftp сервера а также файл image необходимый для обновления 48

Нажмите ctrl b во время загрузки коммутатора для переключения в режим bootrom монитора результат операции показан ниже 48

Процедура обновления перечислена ниже 48

Шаг 1 48

Шаг 2 48

Шаг 3 48

Включить ftp tftp сервер на пк для tftp запустите программу сервера tftp для ftp запустите программу ftp сервер прежде чем начать загрузку файла обновления на коммутатор проверьте соединение между сервером и коммутатором с помощью пинга с сервера если пинг успешен запустите команду load в bootrom режиме если это не удается устранените неполадоки ниже показана конфигурация для обновления файла образа системы 49

Выполнить замену nos img в режиме bootrom показанные далее команды конфигурации позволяют сохранить образ файла системы 49

Выполняем загрузку файла boot rom на коммутатор основные действия такие же как и в шаге 4 49

Далее выполняем запись boot rom в режиме bootrom этот шаг позволяет сохранить обновленный файл 49

Шаг 4 49

Шаг 5 49

Шаг 6 49

Шаг 7 49

Config run command 50

Dir command 50

Ftp file transfer protocol tftp trivial file transfer protocol являются протоколами передачи файлов они оба принадлежат к четвертому уровню уровню приложений в tcp ip стеке протоколов используемому для передачи файлов между компьютерами узлами и коммутаторами оба они передают файлы в клиент серверной модели разница между ними описана ниже 50

Ftp основан на протоколе tcp для обеспечения надежной связи и транспортировки потока данных тем не менее он не предусматривает процедуру авторизации для доступа к файлам и использует простой механизм аутентификации передает имя пользователя и пароль для аутентификации в виде простого текста при использовании ftp для передачи файлов должны быть установлены два соединения между клиентом и сервером управляющее соединение и соединение передачи данных далее должен быть послан запрос на передачу от ftp клиента на 50

Введение в ftp tftp 50

Команда dir используется для вывода списка существующих файлов в flash 50

Обновление ftp tftp 50

Остальные команды в bootrom режиме 50

После удачного обновления выполните команду run или reboot в режиме bootrom для возврата в интерфейс настройки cli 50

Шаг 8 50

Далее описана процедура настройки коммутатора 55

Зайдите на коммутатор с любого ftp клиента с именем пользователя switch и паролем superuser используйте команду get nos img 12_25_nos img для загрузки файла nos img с коммутатора на компьютер 55

Запустите программное обеспечение ftp сервера на компьютере и установите имя пользователя switch и пароль superuser поместите файл 12_30_nos img в соответствующий каталог ftp сервера на компьютере 55

Настройка компьютера 55

Сценарий 2 использование коммутатора в качестве ftp сервера коммутатор работает как сервер и подключается одним из своих портов к компьютеру который является клиентом требуется передать файл nos img с коммутатора на компьютер и сохранить его как 12_25_nos img 55

Сценарий 3 использование коммутатора в качестве tftp сервера коммутатор работает как tftp сервер и соединяется одним из своих портов с компьютером который является tftp клиентом требуется передать файл nos img с коммутатора на компьютер 55

Зайдите на коммутатор с любого tftp клиента используйте команду tftp для загрузки nos img файла с коммутатора на компьютер 56

Запустите ftp сервер на компьютере и установите имя пользователя switch и пароль superuser 56

Настройка ftp 56

Настройка коммутатора 56

Настройка компьютера 56

Сценарий 4 коммутатор выступает как ftp клиент для просмотра списка файлов на ftp сервере условия синхронизации коммутатор соединен с компьютером через ethernet порт компьютер является ftp сервером с ip адресом 10 коммутатор выступает как ftp клиент с ip адресом интерфейса vlan1 10 56

Если коммутатор обновляет файл прошивки или файл начальной конфигурации через ftp он не должен перезапускаться пока не появится сообщение close ftp client или 226 transfer complete указывающие на успешное обновление в противном случае коммутатор может быть поврежден и его запуск будет невозможен если обновление через ftp не удается попробуйте еще раз или используйте режим bootrom для обновления 57

Перед началом процесса загрузки скачивания системных файлов с помощью протокола ftp необходимо проверить наличие соединения между клиентом и сервером это можно осуществить с помощью команды ping если эхо тестирование неудачно следует устранить неполадки с соединением 57

Перед началом процесса загрузки скачивания системных файлов с помощью протокола tftp необходимо проверить наличие соединения между клиентом и сервером это можно 57

Поиск неисправностей ftp 57

Поиск неисправностей tftp 57

Следующее сообщение отображается при успешной отправке файлов если оно не появилось пожалуйста проверьте подключение к сети и повторите команду copy еще раз 57

Следующее сообщение отображается при успешном получении файлов если оно не появилось пожалуйста проверьте подключение к сети и повторите команду copy еще раз 57

Устранение неисправностей ftp tftp 57

Если коммутатор обновляет файл прошивки или файл начальной конфигурации через tftp он не должен перезапускаться пока не появится сообщение close tftp client или 226 transfer complete указывающие на успешное обновление в противном случае коммутатор может быть поврежден и его запуск будет невозможен если обновление через tftp не удается попробуйте еще раз или используйте режим bootrom для обновления 58

Осуществить с помощью команды ping если эхо тестирование неудачно следует устранить неполадки с соединением 58

Следующее сообщение отображается при успешной отправке файлов если оно не появилось пожалуйста проверьте подключение к сети и повторите команду copy еще раз 58

Следующее сообщение отображается при успешном получении файлов если оно не появилось пожалуйста проверьте подключение к сети и повторите команду copy еще раз 58

Введение в управление кластерами сети 59

Настройка кластера 59

Список команд для конфигурирования кластера управления сети 59

Snmp server enable включение функции snmp сервера в главном коммутаторе и коммутаторах членах примечание необходимо убедиться что функция snmp сервера 63

Активна в коммутаторах членах когда главный коммутатор посещает их через snmp главный коммутатор посещает коммутатор 63

Имеется четыре коммутатора sw1 sw4 среди них sw1 является главным коммутатором а другие коммутаторами членами и sw2 и sw4 напрямую подключены с главным sw3 подключается к коммутатору через sw2 63

Команда пояснение 63

Настройка главного коммутатора 63

Настройка коммутатора члена 63

Настройки sw1 63

Настройки sw2 sw4 63

Примеры администрирования кластера 63

Процедура настройки 63

Режим глобального конфигурирования 63

Сценарий 63

Член через настройки коммандной строки commander 63

Поиск проблем в администрировании кластерами 64

Введение 65

Конфигурирование портов 65

Список команд для конфигурирования портов 65

10 1 10 1000mbps full зеркалированный порт 68

9 1 9 100mbps full зеркалированный порт источника 68

Switch1 1 7 лимит входящей полосы 50 m 68

Switch2 1 8 зеркалированный порт источника 68

Switch3 1 12 100mbps full 68

Vlan не сконфигурированы на коммутаторе по умолчанию используется vlan1 68

Коммутатор порт свойства 68

Конфигурация приведена ниже 68

Назначения 68

Примеры конфигурации порта 68

Два соединенных оптических интерфейса не поднимаются если один интерфейс настроен 69

Здесь приводится несколько ситуаций часто встречающихся при конфигурации порта и предлагаются их решения 69

На автоопределение а на втором жестко установлены скорость и дуплекс это определяется стандартом ieee 802 69

Одновременно установление лимита для многопользовательских пакетов на том же порту 69

Установка одновременно контроля за широковещательными многопользовательскими и персональными пакетами с неизвестным назначением и ограничения полосы на порту если такие комбинации установлены пропускная способность порта может оказаться меньше ожидаемой 69

Устранение неисправностей на порту 69

Введение в функцию изоляции портов 70

Конфигурация функции изоляции портов 70

Список команд для конфигурации изоляции портов 70

Типовые примеры функции изоляции портов 71

Введение в функцию распознавания петли 72

Конфигурация функции распознавания петли на порту 72

Порту 72

Список команд для конфигурирования функции распознавания петли на 72

Примеры функции распознавания петли на порту 74

Решение проблем с функцией распознавания петли на порту 75

Функция распознавания петли на порту выключена по умолчанию и должна быть включена при необходимости 75

Конфигурация функции uldp 76

Общая информация о uldp 76

Однонаправленный линк это распространенная проблема в сети особенно для оптических соединений под однонаправленным соединением понимается ситуация когда один порт соединения может принимать сообщения от другого порта а тот не может получать их от первого если физический уровень соединения есть и работает нормально проблема связи между устройствами не может быть обнаружена как показано на рисунке проблема оптического соединения не может быть обнаружена посредством механизмов физического уровня таких как автоматическое согласование параметров 76

Такой вид проблем часто возникает в ситуации когда или интерфейс или gbic giga bitrate interface converter конвертер интерфейса со скоростью 1gb имеют программные проблемы в этом случае оборудование становится недоступным или работает неправильно 76

Список команд для конфигурирования uldp 77

В сетевой топологии на рисунке порты g1 1 и g1 2 на коммутаторе а а так же порты g1 3 и g1 04 на коммутаторе b оптические и соединение имеет перекрестный тип физический уровень включен и работает нормально но соединение на уровне данных неработоспособно uldp может определить и заблокировать такой тип ошибки на соединении конечным результатом будет то что порты g1 1 и g1 2 на коммутаторе а а так же порты g1 3 и g1 04 на коммутаторе b будут заблокированы функцией uldp порты смогут работать не будут заблокированы только если соединение будет корректным 81

Последовательность конфигурации коммутатора b 81

Последовательность конфигурации коммутатора а 81

Типовые примеры функции uldp 81

Устранение неполадок функции uldp 82

Настройка функции lldp 84

Общие сведения о функции lldp 84

Список команд для конфигурирования lldp 85

Коммутатор а последовательность команд конфигурации 89

Коммутатор в последовательность команд конфигурации 89

На схеме сетевой топологии приведенной выше порт 1 3 на коммутаторе в подключен к порту 2 4 коммутатора а порт 1 коммутатора в сконфигурирован в режиме приема пакетов опция tlv на порту 4 коммутатора а сконфигурирована как portdes и syscap 89

Типовой пример функции lldp 89

Устранение неисправностей функции lldp 89

Функция lldp по умолчанию выключена после ее включения в режиме глобального конфигурирования пользователи могут включить режим отладки debug lldp для проверки отладочной информации используя команду show функции lldp можно вывести информацию о конфигурировании в глобальном режиме конфигурирования либо в режиме настройки интерфейсов 89

Настройка port channel 90

Общие сведения о port channel 90

Общие сведения о lacp 91

Настройка port channel 92

Вариант 1 настройка port channel для протокола lacp 95

Имеется два коммутатора s1 и s2 порты 1 2 3 4 на коммутаторе s1 порты доступа и добавлены в группу1 в активном режиме порты 6 8 9 10 на коммутаторе s2 тоже порты доступа и добавлены в группу 2 в пассивном режиме все порты соединены кабелями 95

Примеры использования port channel 95

Этапы конфигурации показаны ниже 95

Вариант 2 конфигурация port channel в режиме on 96

Как показано на рисунке порты 1 2 3 4 коммутатора s1 порты доступа и будут добавлены в группу1 с режимом on порты 6 8 9 10 коммутатора s2 тоже порты доступа и будут добавлены в группу2 с режимом on 96

Коммутатор сообщит что агрегирование прошло успешно порты 1 2 3 4 коммутатора s1 входят в группу port channel1 а порты 6 8 9 10 коммутатора s2 входят в группу port channel2 96

Результат конфигурации 96

Этапы конфигурации показаны ниже 96

Bandwigth ip ip forward и т д 97

Если во время конфигурации объединения портов возникли проблемы в первую очередь проверьте следующее 97

Некоторые команды не могут быть использованы на портах в port channel такие как arp 97

Порты 1 2 3 4 на коммутаторе s1 добавлены по порядку в группу портов 1 в режиме on коммутатору на удаленном конце не требуется обмен пакетами lacp для завершения объединения агрегация завершается сразу когда выполняется команда добавления порта 2 в группу 1 порты 1 и 2 объединяются в port channel 1 когда порт 3 вступает в группу 1 port channel 1 из портов 1 и 2 разбирается и пересобирается с портом 3 опять в port channel 1 когда порт 4 вступает в группу 1 port channel 1 из портов 1 2 и 3 разбирается и пересобирается с портом 4 опять в port channel 1 надо отметить что каждый раз когда новый порт вступает в группу объединения портов группа разбирается и собирается заново теперь все 4 порта на обоих коммутаторах объединены в режиме on 97

Режиме полного дуплекса имеют одинаковую скорость и настройки vlan если обнаружены несоответствия исправьте это 97

Результат конфигурации 97

Убедитесь что все порты в группе имеют одинаковые настройки например они все в 97

Устранение неисправностей port channel 97

Конфигурирование mtu 98

Общие сведения об mtu 98

Efm oam ethernet in the first mile operation administration and maintenance использование администрирование и управление ethernet на первой миле имеется в виду от клиента работает на канальном уровне сетевой модели osi реализуя дополнительные функции через подуровень оам как показано на рисунке ниже 99

Конфигурация efm oam 99

Общие сведения о efm oam 99

Первоначально технология ethernet разрабатывалась для локальных сетей но длина каналов и размеры сетей стремительно увеличивались и теперь эта технология применяется так же и на metro и на глобальных сетях из за отсутствия эффективного механизма управления что влияло на работу тенологии ethernet в метро и глобальных сетях стало жизненно необходимым применение oam на ethernet 99

Существует четыре стандарта протоколов для ethernet oam 802 ah efm oam 802 ag cfm e lmi и y 731 efm oam и cfm определены международным комитетом по стандартам ieee efm oam работает на канальном уровне для корректного обнаружения и управления каналом данных использование efm oam позволяет повысить управляемость и упростить обслуживание ethernet уровня для повышения устойчивости работы сети cfm используется для мониторинга общей сетевой связности и локализации проблем на сетевом уровне по сравнению с cfm стандарт y 731 принятый международным телекоммуникационным союзом itu более мощный стандарт e lmi принятый mef применяется только к uni так как вышеуказанные протоколы могут использоваться для различных сетевых топологий и управления между ними существуют дополнительные соглашения 99

Конфигурирование efm оам 102

Примеры efm oam 104

Устранение неисправностей efm oam 105

Безопасность портов 106

Введение 106

Настройка безопасности портов 106

Приметы настройки port security 107

Если возникают проблемы с настройкой безопасности проверьте не являются ли они следствием следущих причин 108

Проверьте включен ли port security убедитесь в настройке максимального количества mac адресов 108

Процесс настройки 108

Устранение неисправностей port security 108

Введение 109

Настройка ddm 109

Список команд конфигурации ddm 111

Примеры применения ddm 113

Устранние неисправностей ddm 117

Lldp med 118

Введение в lldp med 118

Конфигурация lldp med 118

Show lldp показывает настройки глобального lldp и lldp med 120

Switch a 120

Switch b 120

Настройка switch a 120

Показывает настройки lldp и lldp med на соседних устройствах 120

Показывает настройки lldp и lldp med на текущем порте 120

Пример настройки lldp med 120

Режим администратора 120

Топология базовой конфигурации lldp med 120

Verify the configuration 121

Настройка switch b 121

Просмотр глобального статуса и статуса интерфейса на switcha 121

Ethernet 2 коммутатора a и ethernet 1 коммутатора b являются портами устройства 122

Если возникают проблемы при настройке lldp med пожалуйста проверьте является ли эта проблема следствием следующих причин 122

Пояснение 122

Сетевого соединения они не пересылают пакеты с информацией med tlv хотя ethernet 2 коммутатора a настроен для посылки информации med tlv он не будет посылать информацию med что приведет к отсутствию в соответствующей удаленной таблице информации med на ethernet 2 коммутатора a 122

Удаленной таблице будет информация об ethernet 1 коммутатора a 122

Устранение неисправностей lldp med 122

Устройство lldp med может посылать пакеты lldp с med tlv поэтому в соответствующей 122

Введение в bpdu tunnel 124

Настройка bpdu tunnel 124

Mac адреса туннеля 125

No bpdu tunnel dmac 125

Включение отключение глобального 125

Команда описание 125

Конфигурация bpdu tunnel 125

Настройка глобального mac адреса туннеля 125

Настройка порта для поддержки туннеля 125

Применение bpdu туннеля 125

Режим глобального конфигурирования 125

Режим конфигурирования порта 125

Пример bpdu tunnel 126

Настройка bpdu tunnel на коммутаторах pe1 и pe2 127

Настройка ре 1 127

После отключения функций stp gvrp uldp lacp and dot1x на порте можно настроить функцию bpdu tunnel 127

Устранение неисправностей bpdu tunnel 127

Laser printer 128

Pc pc pc 128

Server server server 128

Switch switch switch 128

Настройка виртуальных локальных сетей vlan 128

Switch 134

Trunk port site a and site b switch port 11 134

Vlan100 134

Vlan100 site a and site b switch port 5 7 134

Vlan2 site a and site b switch port 2 4 134

Vlan200 134

Vlan200 site a and site b switch port 8 10 134

В соответствии с требованиями приложений и безопасности существующую локальную сеть необходимо разделить на три vlan три vlan имеют идентификаторы vlan2 vlan100 и vlan200 эти три vlan охватывают два различных физических места размещения площадки a и b 134

На каждой площадке имеется коммутатор требования к связи между площадками удовлетворяются если коммутаторы могут выполнять обмен трафиком vlan 134

Объект конфигурации описание конфигурации 134

Рабочая 134

Рабочая станция 134

Станция 134

Сценарий 134

Типичная топология применения vlanа 134

Типичное применение vlanа 134

Транковый канал 134

В данном примере порты 1 и 12 свободны и могут быть использованы для управляющих портов или других целей 135

Коммутатор a 135

Коммутатор b 135

Транковые порты с обеих сторон подключены к транковому каналу для передачи между узлами трафика vlanа остальные устройства подключены к другим портам vlanов 135

Шаги конфигурации описаны ниже 135

Коммутатор a 137

Коммутатор b 137

Конфигурирование туннеля dot1q 137

Меток 137

Общие сведения о туннелях dot1q 137

Туннель dot1q также называемый qinq 802 q in 802 q является расширением протокола 802 q основная идея заключается в упаковке метки клиентского vlanа cvlan tag в метку vlanа сервис провайдера spvlan tag пакет с двумя метками vlanа передается через магистральную сеть интернет провайдера таким образом обеспечивая простой туннель второго уровня для пользователя это просто и легко для управления применимо только на статических конфигурациях и специально адаптировано для небольших офисных или метро сетей использующих коммутаторы третьего уровня как магистральное оборудование 137

Шаги конфигурации описаны ниже 137

Включение туннеля dot1q на транковом порту делает метку пакета данных непредсказуемой что не подходит приложениям поэтому не рекомендуется использовать туннель dot1q на транковом порту 140

Использование туннеля совместно с pvlan не поддерживается 140

Использование туннеля совместно с stp mstp не поддерживается 140

Процедура конфигурации описана ниже 140

Устранение неисправностей туннеля dot1q 140

Конфигурирование selective qinq 141

Ethernet1 1 и ethernet1 2 коммутатора в предоставляет сетевой доступ для пользоваелей pc принадлежащих vlan 100 vlan 200 и пользователей с ip телефонами принадлежащих vlan 201 vlan 300 соответственно ethernet 1 9 соединена с сетью общего пользования 142

Ethernet1 1 коммутатора a предоставляет доступ к сети общего пользования для пользователей pc и ethernet1 2 коммутатора a предоставляет доступ к сети общего пользования для пользователей с ip телефоном пользователи pc принадлежат к vlan 100 vlan 200 и пользователи с телефонами ip принадлежат к vlan 201 vlan 300 ethernet 1 9 коммутатора а соединена с сетью общего пользования 142

Включен selective qinq на портах ethernet1 1 и ethernet1 2 на коммутаторах а и в соответственно пакеты vlan 100 vlan 200 отмечены тегом vlan 1000 как выходящий тег vlan на ethernet1 1 и пакеты vlan 201 vlan 300 отмечены тегом vlan 2000 как выходящий тег vlan на ethernet1 2 142

Конфигурирование 142

Применение selective qinq 142

Сеть общего пользования разрешает пересылать пакеты в vlan 1000 и vlan 2000 142

Создание vlan 1000 and vlan 2000 on switcha 142

Типичное применение selective qinq 142

Насройка ethernet1 1 как гибридного порта и настройка удаления тега vlan при пересылке пакетов в vlan 1000 143

Настройка ethernet 1 2 как гибридного порта и настройка удаления тега vlan при пересылке пакетов в vlan 2000 143

Настройка порта ethernet 1 9 как гибридного порта и настройка сохранения тега vlan при пересылке пакетов в vlan 1000 и vlan 2000 143

Настройка правил отображения для selective qinq на ehernet1 1 для помещения тега vlan 1000 как выходящего тега vlan в пакеты с тегами vlan 100 vlan 200 143

Настройка правил отображения для selective qinq на ehernet1 2 для помещения тега vlan 2000 как выходящего тега vlan в пакеты с тегами vlan 201 vlan 300 143

Настройки на switch b аналогичны настройкам на switch a конфигурация следующая 143

После проведения конфигурации пакеты vlan 100 vlan 200 от ethernet1 1 автоматически отмечаются тегом с vlan 1000 как выходящим тегом vlan и пакеты vlan 201 vlan 300 от ethernet1 2 автоматически отмечаются тегом с vlan 2000 как выходящим тегом vlan на switcha 143

Устранение неисправностей selective qinq 143

Функции selective qinq и dot1q tunnel не могут быть одновременно настроены на порте 143

Настройка трансляции vlanов 144

Show vlan translation просмотр сконфигурированных соответствий 145

Trunk port порты 1 и 10 узлов pe1 и pe2 145

Vlan translation порт 1 узлов pe1 и pe2 145

Команда описание 145

Объект конфигурации описание конфигурации 145

Пограничные узлы pe1 и pe2 интернет провайдера поддерживают vlan данных 20 между ce1 и ce2 из клиентской сети через vlan 3 порт 1 pe1 подключен к ce1 порт 10 подключен к публичной сети порт 1 pe2 подключен к ce2 порт 10 подключен к публичной сети 145

Режим администратора 145

Сценарий 145

Типовое применение трансляции vlаnов 145

Трансляции vlanов 145

Конфигурация multi to one vlan трансляции 146

Show vlan translation n to 1 показывает связанные настройки трансляции multi to one vlan 147

Команда описание 147

Пользователи а в и с принаддлежат vlan 1 2 и 3 соответственно на входящем сетевом уровне траффик данных пользователей а в и с будет переведен в vlan100 на ethernet1 1 со стороны switch 1 обратно траффик данных пользователей а в и с будет переведен в vlan 1 2 и 3 на ethernet1 1 со стороны switch 1от сетевого уровня соответственно таким же образом реализуется аналогичнвй перевод трансляции multi to one между пользователями d e и f на ethernet1 1 и switch 2 147

Просмотр настроек multi to one vlan передачи 147

Режим администратора 147

Сценарий 147

Типичное применение трансляции multi to one vlan 147

Конфигурирование динамических vlan 148

Mac based vlan общая конфигурация коммутаторов а b c 151

На коммутаторах со сконфигурированным динамическим vlanом когда к ним подключено несколько устройств например два компьютера бывает что первая попытка соединения между ними не получается решение в данном случае такое надо дать возможность обоим устройствам успешно послать какие либо пакеты в сеть например icmp командой ping это позволит коммутатору запомнить их mac адреса и тогда они смогут свободно связываться через динамический vlan 151

Объект конфигурации описание конфигурации 151

Пример конфигурации 151

Устранение неисправностей динамического vlanа 151

Конфигурирование gvrp 152

Коммутатор c 156

Счетчик garp установленный на транковых портах на обоих концах магистральной линии должен быть одинаковым в противном случае gvrp не сможет работать нормально рекомендуется избегать одновременной работы протоколов gvrp и rstp на узле если требуется включить протокол gvrp необходимо сначала выключить функцию rstp на портах 156

Устранение неисправностей gvrp 156

Для таблицы mac адресов определены две операции 157

Настройка таблицы mac адресов 157

Общие сведения о таблице mac адресов 157

Отправка или фильтрация пакета данных в соответствии с таблицей мас адресов 157

Получение мас адреса 157

Получение таблицы мас адресов 157

Таблица мас адресов может быть построена статически или динамически статическим конфигурированием настраивается соответствие между мас адресами и портами динамическое обучение это процесс когда коммутатор изучает связи между мас адресами и портами и регулярно обновляет таблицу мас адресов в этой секции мы остановимся на процессе динамического построения таблицы мас адресов 157

Таблица мас адресов это таблица соответствий мас адресов устройств назначения портам коммутатора mac адреса делятся на статические и динамические статические мас адреса вручную сконфигурированы пользователем имеют наивысший приоритет и действуют постоянно они не могут быть замещены динамическим мас адресами динамические адреса запоминаются коммутатором при передаче пакетов данных и они действуют ограниченное время когда коммутатор получает фрейм данных для пересылки он сохраняет мас адрес источника фрейма и соответствующий ему порт назначения когда таблица мас адресов опрашивается на предмет мас адреса приемника при нахождении нужного адреса пакет данных отправляется на соответствующий порт в противном случае коммутатор пересылает пакет на свой широковещательный домен если динамический мас адрес не встречается в пакетах для пересылки длительное время запись о нем удаляется из таблицы мас адресов коммутатора 157

Конфигурирование таблицы мас адресов 160

Примеры типичной конфигурации 161

Дополнительные функции таблицы мас адресов 162

Устранение неисправностей с таблицей мас адресов 162

Конфигурация уведомлений о mac адресах 165

Ip адрес станции сетевого управления nms 1 ip адрес агента 1 nms получит trap сообщение от агента примечание nms может установить проверку подлинности в строку характер ловушки 167

Пример mac уведомления 167

Процедура конфигурации 167

Убедитесь что сообщение ловушки отправляется успешно командой show и отладкой команды snmp 167

Устранение неисправностей mac уведомлений 167

Настройка протокола mstp 168

Общие сведения о mstp 168

Конфигурирование mstp 170

00 01 00 00 02 00 00 03 00 00 04 177

Address 177

Bridge mac 177

Bridge priority 32768 32768 32768 32768 177

Cоединения между коммутаторами показаны на рисунке выше все коммутаторы работают в mstp режиме по умолчанию их приоритеты мостов приоритеты портов и стоимость маршрутов для портов стоят по умолчанию равны параметры по умолчанию для коммутаторов показана ниже 177

Port 1 128 128 128 177

Port 2 128 128 128 177

Port 3 128 128 177

Port priority 177

Имя моста switch1 switch2 switch3 switch4 177

Пример применения mstp 177

Switch2 179

Switch3 179

Детальная конфигурация приведена ниже 179

Настроить приоритет коммутатора для экземпляра связующего дерева 3 на switch3 как 0 179

Настроить приоритет коммутатора для экземпляра связующего дерева 4 на switch4 как 0 179

Switch4 180

После настройки описанной выше switch1 будет корневым коммутатором экземпляра связующего дерева 0 всей сети в регионе mstp к которому относятся switch2 switch3 и switch4 switch 2 является корневым коммутатором региона для экземпляра связующего дерева 0 switch3 является корневым коммутатором региона для экземпляра связующего дерева 3 и switch4 является корневым коммутатором региона для экземпляра связующего дерева 4 трафик vlan 20 и 30 передается через топологию экземпляра связующего дерева 3 трафик vlan 40 и 50 передается через топологию экземпляра связующего дерева 4 трафик с остальных vlan передается через топологию экземпляра связующего дерева 0 порт 1 на switch2 является управляющим портом для экземпляров связующих деревьев 3 и 4 180

Протокол mstp путем вычислений генерирует 3 топологии экземпляров связующих деревьев 0 3 и 4 порты обозначенные x имеют состояние discarding блокированы на остальных портах передача разрешена 180

2 bridge_hello_time 1 секунда 182

Bridge_max_age 182

В противном случае протокол mstp может работать неправильно 182

Для того чтобы протокол mstp на порте смог работать mstp должен быть включен в режиме глобального конфигурирования 182

Если пользователи изменили параметры mstp они должны удостовериться в том что изменены и топологии настройки глобального режима конфигурирования выполняются для коммутаторов остальные настройки выполняются для отдельных экземпляров связующего дерева 182

Так как параметры mstp взаимосвязаны они должны соответствовать следующим требованиям 182

Устранение неисправностей mstp 182

Cos класс сервиса классификационная информация передаваемая фреймами 802 q на втором уровне занимает три бита поля tag в заголовке фрейма и называется уровнем пользовательского приоритета в диапазоне от 0 до 7 183

Ip precedence приоритет ip классификационная информация передающаяся в заголовке пакета третьего уровня занимающая 3 бита и могущая принимать значения от 0 до 7 183

Qos quality of service качество сервиса набор возможностей которые позволяют создавать разделенные полосы для передаваемых по сети данных тем самым обеспечивая лучший сервис для выбранного сетевого трафика qos гарантия качества последовательной и предсказуемой передачи данных для обеспечения требований программ qos не создает дополнительной полосы передачи но обеспечивает более эффективное управление полосой в соответствии с требованиями приложений и политикой управления сетью 183

Qos качество сервиса обеспечение гарантированного качества сервиса для последовательной и предсказуемой передачи данных и выполнения требований программ 183

Tos тип сервиса однобайтовое поле передаваемое в заголовке пакета ipv4 на третьем уровне для объявления типа сервиса ip пакета значением поля tos может быть приоритет ip ip precedence или значение dscp 183

Домен qos домен qos поддерживает устройства с qos для формирования сетевой топологии которая обеспечит качество сервиса такая топология называется доменом qos 183

Настройка qos 183

Общие сведения о qos 183

Термины qos 183

Базируясь на различных методах qos определяет приоритет для каждого входящего пакета классификационная информация содержится в заголовках ip пакетов третьего уровня и в заголовках фреймов 802 q второго уровня qos обеспечивает одинаковый сервис для пакетов одинакового приоритета в то время как для пакетов с различающимися приоритетами предлагаются различающиеся операции маршрутизатор или коммутатор поддерживающие сервис qos могут обеспечивать различную полосу передачи в соответствии с классификацией пакетов помечать пакеты в соответствии с сконфигурированными политиками а также сбрасывать некоторые низкоприоритетные пакеты в случае перегрузки полосы передачи 185

Базовая модель qos 185

Базовая модель qos состоит из 4 частей классификация применение политик пометка и планирование где классификация применение политик и пометки последовательные действия на входе а работа с очередями и планирование действия qos на выходе 185

Загрузки не может удовлетворить требования необходимой полосы и низких задержек 185

Классификация классифицирует трафик в соответствии с классификационной информацией пакетов и генерирует значение внутреннего приоритета основанное на классификационной инфрмации для различных типов пакетов классификация обеспечивается различным образом схема ниже показывает это 185

Конфигурация qos является гибкой более простой или сложной в зависимости от топологии сети и устройств и глубины анализа входящего исходящего трафика 185

Www qtech ru 186

Замечание 1 значение cos рассчитывается исходя из свойств пакета и никак не связано со значением внутреннего приоритета полученным для потока 186

Замечание 2 если одновременно сконфигурированы проверка dscp и cos то приоритет dscp важнее cos 186

Замечание 1 внутренний приоритет будет скрыт после установки установка внутреннего приоритета на трафик с определенным цветом покрывает установку внутреннего приоритета на трафик не связанный с цветом 188

Замечание 2 сброс внутреннего приоритета пакетов осуществляется в соответствии с картой преобразования внутренний приоритет внутренний приоритет intp to intp при 188

Классификации потока внутренний приоритет берется от источника или устанавливается действиями не связанными с цветом 188

В соответствии с ним планируется распределение пакетов по очередям с различным приоритетом и пакеты посылаются в соответствии с весовым приоритетом очереди и приоритетом сброса следующая схема описывает операции планирования 189

Конфигурирование qos 189

Конфигурирование карты классов 189

Конфигурирование карты политик 189

Устанавливает классификационные правила в соответствии с acl cos vlan id приоритетом ipv4 dscp и ipv6 fl для классификации потока данных различные классы потоков данных обрабатываются по разным политикам 189

Пример qos 194

Как показано на рисунке внутри области отмеченной пунктиром находится qos домен switch1 классифицирует различный трафик и назначает различные приоритеты ip для примера 195

Лист доступа с именем 1 настроен для выборки сегмента 192 68 функция qos включена глобально создана карта классов с именем с1 лист acl 1 включен в карту классов создана другая карта политик с именем p1 карта p1 ссылается на карту с1 установлены соответствующие политики для ограничения полосы и дополнительных расширений эта карта политик применена на порту ethernet 1 2 после того как вышеуказанные настройки сделаны полоса для пакетов из сегмента 192 68 проходящих через порт ethernet 1 2 установлена в 10 мб с с дополнительным расширением в 4 мб все пакеты превышающие данные установки в данном сегменте будут сброшены 195

Пример 3 195

Результат конфигурации 195

В настояшее время не рекомендуется одновременно использовать карты политик на vlan 196

Доверительные режимы exp dscp и cos могут быть сконфигурированы одновременно 196

Доверительный режим cos и exp может использоваться с другими доверительными 196

Доверительный режим dscp может использоваться с другими доверительными режимами 196

Если сконфигурирован динамический vlan mac vlan голосовой vlan vlan подсети ip vlan 196

И на его порту 196

Или картой политик эта конфигурация применяется для пакетов ipv4 и ipv6 196

Карта политики может быть привязана только ко вхдящему направлению выходящее 196

Конфигурация qos на switch1 196

Конфигурация qos на switch2 196

Направление не поддерживается 196

Протокола тогда значение cos для пакета равно значению cos для динамического vlan 196

Режимами или картой политик 196

Установим приоритет cos для пакетов из сегмента 192 68 равным 5 на порту ethernet1 1 установим внутренний приоритет равным 40 и по умолчанию трансляцию внутреннего приоритета в dcsp как 40 40 соответствующий ip приоритет равным 5 порт подключенный к switch2 транковый на switch2 порт ethernet 1 1 подключенный к switch1 настроен как доверительный dscp таким образом внутри области qos пакеты с различными приоритетами будут распределяться в различные очереди и получат различную полосу передачи 196

Устранение неисправностей qos 196

Этапы конфигурации описаны ниже 196

Конфигурирование перенаправления потоков 197

Общие сведения о перенаправлении потоков 197

Перенаправление потоков 197

Примеры перенаправления потоков 198

Устранение неисправностей перенаправления потоков 198

Конфигурирование гибкого qinq 199

Настройка гибкого qinq 199

Общие сведения о гибком qinq 199

Пример применения гибкого qinq 201

Если поток данных dslam1 идет через порт1 коммутатора конфигурация следующая 202

Если поток данных dslam2 идет через порт1 коммутатора конфигурация следующая 202

Конфигурация следующая 202

Функцию qinq пакеты будут формироваться с разными внешними метками в соответствии с vlan id пользователя пакет с меткой 1001 будет паковаться во внешнюю метку 1001 непосредственно эта метка уникальна на данной сети получит метку широковещательная сеть vlan1001 и классифицирована на устройстве bras центр хранения конфигурации пакеты с метками 2001 или 3001 будут паковаться с внешней меткой 2001 или 3001 и классифицируются на устройстве sr в соответствии с правилами потоков второй пользователь может использовать различные метки vlanов на dslam2 замечание применяемые метки vlanов для второго пользователя могут быть такими же как для первого пользователя и пакеты с этими метками так же пакуются во внешнюю метку на рисунке выше внешняя метка для второго пользователя отличается от метки первого пользователя в соответствии с расположением dslam и расположением пользователя 202

Если правила гибкого qinq не могут быть привязаны к порту проверьте нет ли проблем вызванных следующими причинами 203

Листы доступа 203

Политик 203

Проверьте поддерживается ли гибкий qinq сконфигурированными картами классов и 203

Проверьте что коммутатор имеет достаточно памяти tcam для передачи связей 203

Убедитесь что листы доступа включают разрешающие правила в карте классов имеющих 203

Устранение неисправностей гибкого qinq 203

Интерфейс 3 го уровня 204

Конфигурирование функций 3 го уровня 204

Настройка протокола ip 205

Настроить статический arp 211

Введение в функцию предотвращения arp сканирования 213

Настройка функции предотвращения arp 213

Последовательность задач конфигурации предотвращения arp 213

Сканирования 213

Типовые примеры предотвращения arp сканирования 216

Поиск неисправностей предотвращения arp сканирования 217

Предотвращение arp сканирования по умолчанию выключено после включения предотвращения arp сканирования пользователь может включить отладку debug anti arpscan для просмотра отладочной информации 217

Конфигурация защиты от подмены arp 218

Обзор 218

Конфигурация предотвращения подмены arp 219

Пример предотвращения подмены arp nd 220

В дальнейшем хост а пересылает принятые пакеты хосту c меняя адрес источника и адрес назначения так как arp список своевременно обновляется еще одной задачей для хоста а является непрерывная отправка arp ответов и обновление arp списка коммутатора 221

Если окружающая среда меняется это позволяет запретить arp обновления как только arp будет изучено оно не может быть обновлено новым arp ответом данные будут защищены от прослушивания 221

Поэтому очень важно защитить arp список настроить запрещение arp обучения в стабильной среде и затем изменить все динамические arp записи на статические выученные arp не будут обновляться и будут защищены 221

В частности если злоумышленник прибегая к arp мошенничеству выдает себя за шлюз вся сеть выйдет из строя 222

Введение в arp guard 222

Мы используем фильтрующие элементы коммутатора для защиты arp записей важных сетевых устройств от подражания другими устройствами основной теорией этого 222

Настройка arp guard 222

Существует серьезная уязвимость в модели arp протокола которая заключается в том что любое сетевое устройство может отправить arp сообщение чтобы объявить о связке ip и mac адресов это делает возможным arp мошенничество злоумышленники могут послать arp запрос или arp ответ чтобы информировать о неверной связке между ip адресом и mac адресом которая приведет в проблемам связи есть две формы arp мошенничества 1 pc4 отправляет arp сообщение чтобы сообщить что ip адрес pc2 привязан к mac адресу pc4 это приведет к тому что все ip пакеты адресуемые pc2 будут отправлены к pc4 таким образом pc4 сможет просматривать все пакеты адресованные pc2 2 pc4 отправляет arp сообщение чтобы сообщить что ip адрес pc2 привязан к несуществующему mac адресу это приведет к тому что pc2 не будет получать адресованные ему пакеты 222

Список задач конфигурации arp guard 223

Введение в самообращенный arp 224

Конфигурация самообращенного arp gratuitous arp 224

Список задач конфигурации самообращенного arp 224

Для топологии сети показанной на рисунке интерфейс коммутатора vlan10 имеет ip адрес 192 68 5 54 и маску сети 255 55 55 три компьютера pc3 pc4 pc5 подключены к этому интерфейсу интерфейс vlan1 имеет ip адрес 192 68 4 54 и маску сети 255 55 55 два компьютера pc1 и pc2 подключены к этому интерфейсу самообращенный arp включается следующий конфигурацией 225

Команда описание 225

Оба интерфейса используют самообращенный arp 225

Отобразить конфигурацию 225

Отобразить конфигурацию самообращенного arp 225

Пример конфигурации самообращенного arp 225

Режим администратора и режим конфигурации 225

Самообращенного arp 225

Самообращенный arp настроит только для одного интерфейса 225

Если самообращенный arp включен глобально он может быть выключен только глобально если самообращенный arp включен на интерфейсе он может быть выключен только на интерфейсе 226

Поиск неисправностей самообращенного arp 226

Самообращенный arp выключен по умолчанию когда самообращенный arp включен отладочную информацию можно получить используя команду debug arp send 226

Введение dhcp 227

Конфигурация dhcp 227

Dhcp server configuration 228

Конфигурация dhcp ретранслятора 232

Примеры конфигурации dhcp 234

Dns сервер 10 6 02 dns сервер 10 6 02 235

Wins сервер 10 6 09 www сервер 10 6 09 235

В расположении a машине с mac адресом 00 03 22 23 dc ab назначен фиксированный ip адрес 10 6 10 и имя хоста management 235

Время аренды 3 дня время аренды 1 день 235

Тип узла wins h узел 235

Шлюз по умолчанию 10 6 00 235

Если dhcp bootp клиент хочет получить адрес в сети 10 6 24 шлюз пересылающий широковещательные пакеты клиента должен принадлежать сети 10 6 24 чтобы клиент получил адрес из пула 10 6 24 должна быть обеспечена связность между клиентским шлюзом и коммутатором 236

Как показано на рисунке маршрутизирующий коммутатор настроен в качестве dhcp ретранслятора адрес dhcp сервера 10 0 шаги конфигурации следующие 236

Руководство по использованию когда dhcp bootp клиент подключается к vlan1 порту коммутатора клиент может получить адрес только из сети 10 6 24 вместо 10 6 24 это потому что широковещательный пакет от клиента будет запрашивать ip адрес в том же сегменте vlan интерфейса а ip адрес vlan интерфейса 10 6 24 поэтому адрес назначаемый клиенту будет принадлежать сети 10 6 24 236

Сценарий 2 236

Как показано на рисунке клиент получает адрес через dhcp ретранслятор коммутатор является устройством второго уровня доступа с включенным dhcp ретранслятором и опцией 82 ethernet1 2 является портом доступа включенным в vlan3 ethernet1 3 является транковым портом соединненым с dhcp сервером адрес которого 192 68 0 99 на коммутаторе создаются vlan 1 и интерфейс vlan 1 настраивается ip адрес 192 68 0 0 адрес dhcp ретранслятора настраивается 192 68 0 99 и vlan3 настраивается как sub vlan vlan1 237

Команда 237

Конфигурация 237

Может быть настроена только на портах 3 го уровня и не может быть настроена на портах 2 го уровня 237

Сценарий 3 237

Поиск неисправностей dhcp 238

Введение dhcpv6 239

Конфигурация dhcpv6 239

Конфигурация dhcpv6 сервера 240

Конфигурация dhcpv6 ретранслятора 242

Конфигурация сервера делегации префиксов dhcpv6 243

Конфигурация клиента делегации префиксов dhcpv6 245

Примеры конфигурации dhcpv6 246

Конфигурация коммутатора 3 247

Dhcpv6 клиенты и серверы находятся не в одной физической сети проверьте имеет ли маршрутизатор отвечающий за пересылку dhcpv6 пакетов функцию dhcpv6 ретранслятора если на промежуточном маршрутизаторе нет функции 248

Если dhcpv6 клиент не может получить ipv6 адрес и другие сетевые параметры после проверки кабелей и клиентского оборудования следует выполнить следующее 248

Поиск несиправностей dhcpv6 248

Проверьте запущен ли dhcpv6 сервер запустите его если он не запущен если 248

Введение в опцию 82 dhcp 250

Конфигурация опции 82 dhcp 250

Список задач конфигурации опции 82 dhcp 252

Примеры применения опции 82 dhcp 256

Коммутатор 1 или коммутатор 2 и таким образом сможет выделять разное адресное пространство двум подсетям чтобы упростить управление сетью 257

Конфигурация комутатора 3 mac адрес 00 1f ce 02 33 01 257

29 поиск неисправностей опции 82 dhcp 258

Введение в опции 60 и 43 dhcp 259

Настройка опций 60 и 43 на dhcp 259

Опции 60 и 43 dhcp 259

Пример настройки опций 60 и 43 dhcpv6 260

Введение в опции 37 38 dhcpv6 261

Опции 37 38 dhcpv6 261

Устранение неисправностей 60 и 43 опций dhcp 261

Список задач конфигурации опции 37 38 dhcpv6 262

Примеры опицй 37 38 dhcpv6 266

Aсогласно схеме mac aa mac bb и mac cc обычные пользователи подключенные к недоверенным интерфейсам 1 2 1 3 и ¼ соответственно они получают ip адреса 2010 2 2010 3 и 2010 4 по dhcpv6 dhcpv6 сервер подключен к доверенному интерфейсу 1 1 настроено три политики выделения адресов классов class1 соответствует опции 38 class2 соответствует опции 37 а class3 опциям 37 и 38 в пуле адресов eastdormpool запросам соответствующим классам class1 class2 и class3 будут назначены адреса из диапазонов 2001 da8 100 1 2 2001 da8 100 1 30 2001 da8 100 1 31 2001 da8 100 1 60 и 2001 da8 100 1 61 2001 da8 100 1 100 соответственно на коммутаторе a включена функция dhcpv6 snooping и настроены опции 37 и 38 267

Конфигурация коммутатора a 267

На уровне доступа используется коммутатор 1 для подключения пользователей общежития на первом уровне аггрегации коммутатор 2 настроен как dhcpv6 ретранслятор на втором уровне аггрегации коммутатор 3 настроен как dhcpv6 сервер и 268

При развертывании ipv6 сети для выделения ipv6 адресов может быть использована функция сервера dhcpv6 на маршрутизирующем устройстве если специальный сервер используется для равномерного распределения и управления ipv6 адресами dhcpv6 сервер поддерживает оба режима с отслеживание состояния stateful и без него stateless 268

Пример 1 268

Пример опций 37 38 на dhcpv6 ретрансляторе 268

Топология сети 268

Конфигурация коммутатора 2 269

Соединен с магистральной сетью на компьютерах должна быть установлена ос windows vista в которой есть dhcpv6 клиент 269

Поиск неисправностей опций 37 38 dhcpv6 270

Введение в dhcp snooping 271

Конфигурация dhcp snooping 271

Последовательность задач конфигурации dhcp snooping 272

Switch 278

Как показано на рисунке устройство mac aa обычный пользователь подключенный к недоверенному порту 1 1 коммутатора получает ip настройки через dhcp ip адрес клиента 1 dhcp сервер и шлюз подключены к доверенным портам коммутатора 1 11 и 1 12 соответственно злоумышленник mac bb подключенный к недоверенному порту 1 1 коммутатора пытается подделать dhcp сервер посылая пакеты dhcpack функция dhcp snooping на коммутаторе эффективно обнаружит и блокирует такой тип сетевой атаки 278

Последовательность настройки 278

Типовое применение dhcp snooping 278

Поиск неисправностей dhcp snooping 279

Введение в опцию 82 dhcp 280

Конфигурация опции 82 dhcp 280

Список задач конфигурации опции 82 dhcp 281

Ip dhcp snooping trust 283

No ip dhcp snooping trust 283

В данной схеме комутатор второго уровня передает сообщение запроса от dhcp клиента к серверу через включенный dhcp snooping он так же передаст сообщение ответа от сервера к клиенту для завершения процедуры dhcp протокола после включения 82 опции dhcp snooping коммутатор добавляет информацию о порте доступа в сообщение запроса от клиента с опцией 82 283

Команда описание 283

Конфигурация комутатора 3 mac адрес 00 1f ce 02 33 01 283

Настроить доверенные порты 283

Отменяет настройку 283

Примеры применения опции 82 dhcp 283

Режим порта 283

Сделать порт доверенным команда no 283

Поиск неисправностей опции 82 dhcp 285

Введение в энергосбережение eee 286

Настройка энергосбережения eee 286

Список настроек энергосбережения eee 286

Типичные примеры энергосбережения eee 286

Multicast ipv4 287

Общая информация о протоколе многоадресной маршрутизации ipv4 287

Протокол многоадресной маршрутизации 287

Команда описание 295

Осталось применить правило к ip адресу указанного источника mac адресу сети vlan источника или конкретному порту следует отметить что с учетом вышеприведенных ситуаций глобально эти правила можно использовать только при включении отслеживания igmp пакетов если же отслеживание выключено то в рамках протокола igmp можно использовать только правило для ip адреса источника ниже приводятся команды настройки 295

Режим настроек порта 295

Режим общих настроек 295

Теперь следует задать правило управления пунктом назначения оно похоже на правило управления источником но использует номера acl 6000 7999 295

Отслеживание igmp пакетов 298

Команда описан 299

Настроить отслеживание igmp пакетов 299

Режим общих настроек 299

Аутентификация при отслеживании igmp пакетов 304

Включить аутентификацию при отслеживании igmp пакетов 305

Команда описание 305

Настроить аутентификацию при отслеживании igmp пакетов 305

Режим конфигурирования порта 305

Режим общих настроек 305

Команда описание 306

Настроить radius 306

Режим общих настроек 306

Multicast ipv6 308

Отслеживание mld пакетов 308

Протокол многоадресной маршрутизации 308

Включить функцию отслеживания mld пакетов 309

Команда описание 309

Настроить отслеживание mld пакетов 309

Режим общих настроек 309

Введение в сеть vlan для многоадресной рассылки 314

Сеть vlan для многоадресной рассылки multicast 314

Список задач по настройке сети vlan для многоадресной рассылки 314

Команда описание 315

Настроить отслеживание igmp пакетов 315

Настроить отслеживание mld пакетов 315

Режим 315

Примеры сети vlan для многоадресной рассылки 316

Введение в автоматически определяемые списки acl 318

Настройка автоматически определяемых списков acl 318

Настройка автоматически определяемых списков acl 319

Пример автоматически определяемого списка acl 322

Введение в протокол 802 x 323

Настройка протокола 802 x 323

Список задач по настройке 802 x 338

Ethernet1 0 3 vlan10 vlan2 342

Ethernet1 0 6 342

Интернет 342

Как показано на рисунке ниже коммутатор получает доступ в сеть с помощью аутентификации 802 x используя в качестве сервера аутентификации сервер radius ethernet1 0 2 порт через который пользователь получает доступ к коммутатору принадлежит сети vlan100 сервер аутентификации находится в сети vlan2 сервер обновления находящийся в сети vlan10 используется пользователями для загрузки и обновления по клиентской системы ethernet1 6 порт через который коммутатор получает доступ в сеть vlan5 342

Коммутатор ethernet1 0 2 vlan100 342

Поль зоват ель 342

Примеры использования 802 x 342

Примеры использования guest vlan 342

Примечание на всех рисунках в данном разделе e2 означает ethernet 1 0 2 e3 ethernet 1 0 3 а e6 ethernet 1 0 6 342

Сервер обновления сервер аутентификации 342

Устранение неисправностей протокола 802 x 347

Введение в протокол mrpp 348

Настройка протокола mrpp 348

Список задач по настройке mrpp 351

Типичный сценарий применения протокола mrpp 354

Устранение неисправностей при работе протокола mrpp 357

Введение в ulpp 358

Настройка протокола ulpp 358

Список задач по настройке протокола ulpp 360

Типичные примеры применения протокола ulpp 364

Устранение неисправностей при работе протокола ulpp 367

Введение в протокол ulsm 368

Настройка протокола ulsm 368

Список задач по настройке протокола ulsm 369

Типичный пример применения протокола ulsm 370

Устранение неисправностей при работе протокола ulsm 372

Введение в протокол sntp 373

Настройка протокола sntp 373

Типичные примеры настройки протокола sntp 374

Введение в протокол ntp 375

Настройка функций протокола ntp 375

Список задач по настройке функции ntp 375

Типичные примеры применения функции ntp 379

Устранение неполадок при работе функции ntp 380

Введение в летнее время 381

Настройка летнего времени 381

Последовательность задач по настройке летнего времени 381

Примеры перехода на летнее время 382

Устранение неполадок при настройке летнего времени 382

Содержание

Похожие устройства