![Qtech QSW-2800-10T-DC [106/382] Безопасность портов](/img/pdf.png)
Qtech QSW-2800-10T-DC [106/382] Безопасность портов
![Qtech QSW-2800-10T-AC-RPS [106/382] Безопасность портов](/views2/1596516/page106/bg6a.png)
www.qtech.ru
12БЕЗОПАСНОСТЬ ПОРТОВ
12.1 Введение
Безопасность порта это механизм, основывающийся на MAC-адресе для управления доступом к
сети. Это расширение существующих аутентификаций 802.1x и MAC. Он контролирует доступо
неавторизированных устройств сети, проверяя MAC-адрес источика полученного кадра и доступ
к неавторизированным устройствал, проверяя MAC-адрес устройства назначения в кадре. С
безопасностью портов, пользователь может настраивать различные режимы безопасности порта
для того, чтобы устройство обучалось только легальным MAC-адресам источника. После
включения безопасности портовустройство обнаруживает нелегальный фрейм, что вызывает
соответствующую функцию безопасности порта и выполняет предопределенные действия
автоматически. Это снижает нагрузку пользовательского обслуживания и значительно повышае
безопасность системы.
12.2 Настройка безопасности портов
1. Базовые настройки безопасности портов
Команда
Описание
Режим конфигурирования порта
switchport port-security
no switchport port-security
Настройка безопасности портов на
интерфейсе.
switchport port-security mac-address <mac-address>
[vlan <vlan-id>]
no switchport port-security mac-address <mac-address>
[vlan <vlan-id>]
Насройка статического безопасного
MAC-адреса на интерфейсе
switchport port-security maximum <value> [vlan <vlan-
list>]
no switchport port-security maximum <value> [vlan
<vlan-list>]
Настройка максимального числа
безопасных MAC-адресов, разрешенных
на интерфейсе
switchport port-security violation {protect | restrict |
shutdown}
no switchport port-security violation
Когда превышено максимальное число
настроенных MAC-адресов, MAC-адрес
доступа к интерфейсу не принадлежит
этому интерфейсу в таблице MAC-
адресов или MAC-адрес настроен на
несколько интерфейсов в одном VLAN,
они оба будут нарушать безопасность
MAC-адресов.
Содержание
- Руководство пользователя 1
- Серии 2800 2850 3470 3580 1
- Журнал изменений 2
- Оглавление 3
- Варианты управления 12
- Управление коммутатором 12
- Нажмите пуск start menu все программы all programs стандартные accessories связь communication hyperterminal 13
- После установки соединения запустите hyperterminal входящий в комплект windows пример приведенный далее основан на hyperterminal входящий в комплект windows хр 13
- Шаг 2 включение и настройка hyperterminal 13
- В выпадающем меню подключение выберите серийный порт rs 232 который используется pc например com1 и нажмите ok 14
- Наберите имя для запущенного hyperterminal например switch 14
- Включите коммутатор после чего следующие сообщения появятся в окне hyperterminal это режим конфигурации для коммутатора 15
- Для data bits none для parity checksum 1 для stop bit none для traffic control или вы можете нажать restore default а после нажать ok 15
- Настройте свойства com1 следующим образом выберите скорость 9600 для baud rate 8 15
- Шаг 3 вызов командного интерфейса cli коммутатора 15
- Ip адрес хоста telnet клиент и vlan интерфейс коммутатора должны иметь ipv4 ipv6 адреса в одном сегменте сети 16
- Адресами метод настройки описан в посвященной этому главе следующий пример предполагает состояние коммутатора после поставки с заводскими настройками где присутствует только vlan1 16
- Внутриполосное управление 16
- Внутриполосное управление относится к управлению посредством доступа к коммутатору с использованием telnet или http а также snmp внутриполосное управление включает функции управления коммутатора для некоторых устройств подключенных к нему в тех случаях когда внутриполосное управление из за изменений сделанных в конфигурации коммутатора работает со сбоями для управления и конфигурирования коммутатора можно использовать внеполосное управление 16
- Если второй пункт не может быть выполнен telnet клиент должен быть подключен к ipv4 ipv6 адресу коммутатора с других устройств таких как маршрутизатор 16
- Коммутатор должен иметь сконфигурированный ipv4 ipv6 адрес 16
- Коммутатор третьего уровня может быть настроен с несколькими ipv4 ipv6 16
- Коммутатора посредством telnet пример адреса ipv4 16
- Последующие шаги описывают подключение telnet клиента к интерфейсу vlan1 16
- Теперь можно вводить команды управления коммутатором детальное описание команд приведено в последующих главах 16
- Управление по telnet 16
- Чтобы управлять коммутатором по telnet должны выполняться следующие условия 16
- Внутриполосного управления ip адрес коммутатора должен быть настроен посредством внеполосного управления например через порт console команды конфигурирования следующие далее считается что все приглашения режима конфигурирования коммутатора начинаются со слова switch если отдельно не указано иного 17
- Для активации функции telnet сервера пользователь должен включить её в режиме глобального конфигурирования как показано ниже 17
- Команды настройки ip адреса для интерфейса vlan1 указаны ниже перед применением 17
- Первым делом идет настройка ip адреса хоста он должен быть в том же сегменте сети 17
- Что и ip адрес vlan1 интерфейса коммутатора предположим что ip адрес интерфейса vlan1 коммутатора 10 28 51 24 тогда ip адрес хоста может быть 10 28 52 24 с помощью команды ping 192 68 0 можно проверить доступен коммутатор или нет 17
- Шаг 1 настройка ip адресов для коммутатора и запуск функции telnet server на коммутаторе 17
- Для доступа в привелигерованный режим необходимо и задан уровень привилегий 15 18
- Для локальной аутентификации можно использовать следующую команду 18
- Для того что бы получить доступ к конфигурации через интерфейс telnet необходимо ввести достоверный логин login и пароль password в противном случае в доступе будет отказано этот метод помогает избежать неавторизованного получения доступа как результат когда telnet включен для настройки и управления коммутатора имя пользователя username и пароль password для авторизованных пользователей должены быть настроены следующей командой 18
- Допустим авторизованный пользователь имеет имя test и пароль test тогда процедура задания имени и пароля для доступа по telnet 18
- Необходимо запустить программу telnet клиент в windows с указанием адреса хоста 18
- После ввода имени и пароля для интерфейса конфигурирования telnet пользователь сможет вызвать командный интерфейс cli настройки коммутатора команды используемые в командном интерфейсе telnet cli которые становятся доступны после ввода имени и пароля те же самые что и в консольном интерфейсе 18
- Шаг 2 запуск программы telnet client 18
- Шаг 3 получить доступ к коммутатору 18
- Ip адрес хоста http клиент и vlan интерфейс коммутатора должны иметь ipv4 ipv6 адреса в одном сегменте сети 19
- Если второй пункт не может быть выполнен http клиент должен быть подключен к ipv4 ipv6 адресу коммутатора с других устройств таких как маршрутизатор 19
- Как и в управлении коммутатором через telnet как только удается ping ping6 хоста к ipv4 ipv6 адресам коммутатора и вводится правильный логин и пароль возможно получить доступ к коммутатору через http ниже описан способ настройки 19
- Коммутатор должен иметь сконфигурированный ipv4 ipv6 адрес 19
- О настройке ip адреса коммутатора с помощью внеполосного управления смотри главу о настройке telnet управления 19
- Управление через http 19
- Чтобы конфигурирование по web стало возможным нужно ввести команду ip http server в глобальном режиме конфигурирования 19
- Чтобы управлять коммутатором через web интерфейс должны быть выполнены следующие условия 19
- Шаг 1 настройка ip адресов для коммутатора и запуск функции http сервера 19
- Web интерфейс входа выглядит следующим образом 21
- Введите достоверные имя пользователя и пароль затем вы попадете в главное меню настройки web интерфейса как это показано ниже 21
- Примечание при настройке коммутатора имя коммутатора пишется английскими буквами 21
- Cli интерфейс 22
- В режиме пользователя без дополнительных настроек пользователю доступны только запросы например время или информация о версии коммутатора 23
- Для того чтобы попасть в режим администратора привилегированный существует несколько способов вход с использованием в качестве имени пользователя admin ввод команды enable из непривилегированного пользовательского интерфейса при этом необходимо будет ввести пароль администратора если установлен при работе в режиме администратора приглашение командной строки коммутатора будет выглядеть как switch коммутатор также поддерживает комбинацию клавиш ctrl z что позволяет простым способом выйти в режим администратора из любого режима конфигурации за исключением пользовательского 23
- При работе с привилегиями администратора пользователь может давать команды на вывод конфигурационной информации состоянии соединения и статистической информации обо всех портах также пользователь может перейти в режим глобального конфигурирования и изменить любую часть конфигурациии коммутатора поэтому определение пароля для доступа к привилегированному режиму является обязательным для предотвращения неавторизованного 23
- Режим администратора 23
- Режим настройки 23
- Режим пользователя 23
- Является запросом для режима пользователя когда команда выхода запускается под режимом администратора она будет также возвращена в режим пользователя 23
- Доступа и злонамеренного изменения конфигурации коммутатора 24
- Tab в процессе ввода команды tab может быть использован для ее завершения если нет ошибок 28
- Основные настройки 31
- Основные настройки коммутатора 31
- Управление telnet 32
- Использование telnet для удаленного доступа к коммутатору 33
- Команды конфигурирования telnet 33
- Настройка telnet сервера 33
- Настройка ip адресов коммутатора 37
- Настройка snmp 38
- Модернизация коммутатора 47
- В bootrom режиме запустите setconfig чтобы установить ip адрес и маску коммутатора для режима bootrom ip адрес и маску сервера а также выберите tftp или ftp обновления предположим что адрес коммутатора 192 68 а адрес компьютера 192 68 6 и выберите tftp обновление конфигурации это будет выглядеть так 48
- Как показано на рисунке используется консольный кабель для подключения пк к порту управления на коммутаторе пк должен иметь программное обеспечение ftp tftp сервера а также файл image необходимый для обновления 48
- Нажмите ctrl b во время загрузки коммутатора для переключения в режим bootrom монитора результат операции показан ниже 48
- Процедура обновления перечислена ниже 48
- Шаг 1 48
- Шаг 2 48
- Шаг 3 48
- Включить ftp tftp сервер на пк для tftp запустите программу сервера tftp для ftp запустите программу ftp сервер прежде чем начать загрузку файла обновления на коммутатор проверьте соединение между сервером и коммутатором с помощью пинга с сервера если пинг успешен запустите команду load в bootrom режиме если это не удается устранените неполадоки ниже показана конфигурация для обновления файла образа системы 49
- Выполнить замену nos img в режиме bootrom показанные далее команды конфигурации позволяют сохранить образ файла системы 49
- Выполняем загрузку файла boot rom на коммутатор основные действия такие же как и в шаге 4 49
- Далее выполняем запись boot rom в режиме bootrom этот шаг позволяет сохранить обновленный файл 49
- Шаг 4 49
- Шаг 5 49
- Шаг 6 49
- Шаг 7 49
- Config run command 50
- Dir command 50
- Ftp file transfer protocol tftp trivial file transfer protocol являются протоколами передачи файлов они оба принадлежат к четвертому уровню уровню приложений в tcp ip стеке протоколов используемому для передачи файлов между компьютерами узлами и коммутаторами оба они передают файлы в клиент серверной модели разница между ними описана ниже 50
- Ftp основан на протоколе tcp для обеспечения надежной связи и транспортировки потока данных тем не менее он не предусматривает процедуру авторизации для доступа к файлам и использует простой механизм аутентификации передает имя пользователя и пароль для аутентификации в виде простого текста при использовании ftp для передачи файлов должны быть установлены два соединения между клиентом и сервером управляющее соединение и соединение передачи данных далее должен быть послан запрос на передачу от ftp клиента на 50
- Введение в ftp tftp 50
- Команда dir используется для вывода списка существующих файлов в flash 50
- Обновление ftp tftp 50
- Остальные команды в bootrom режиме 50
- После удачного обновления выполните команду run или reboot в режиме bootrom для возврата в интерфейс настройки cli 50
- Шаг 8 50
- Далее описана процедура настройки коммутатора 55
- Зайдите на коммутатор с любого ftp клиента с именем пользователя switch и паролем superuser используйте команду get nos img 12_25_nos img для загрузки файла nos img с коммутатора на компьютер 55
- Запустите программное обеспечение ftp сервера на компьютере и установите имя пользователя switch и пароль superuser поместите файл 12_30_nos img в соответствующий каталог ftp сервера на компьютере 55
- Настройка компьютера 55
- Сценарий 2 использование коммутатора в качестве ftp сервера коммутатор работает как сервер и подключается одним из своих портов к компьютеру который является клиентом требуется передать файл nos img с коммутатора на компьютер и сохранить его как 12_25_nos img 55
- Сценарий 3 использование коммутатора в качестве tftp сервера коммутатор работает как tftp сервер и соединяется одним из своих портов с компьютером который является tftp клиентом требуется передать файл nos img с коммутатора на компьютер 55
- Зайдите на коммутатор с любого tftp клиента используйте команду tftp для загрузки nos img файла с коммутатора на компьютер 56
- Запустите ftp сервер на компьютере и установите имя пользователя switch и пароль superuser 56
- Настройка ftp 56
- Настройка коммутатора 56
- Настройка компьютера 56
- Сценарий 4 коммутатор выступает как ftp клиент для просмотра списка файлов на ftp сервере условия синхронизации коммутатор соединен с компьютером через ethernet порт компьютер является ftp сервером с ip адресом 10 коммутатор выступает как ftp клиент с ip адресом интерфейса vlan1 10 56
- Если коммутатор обновляет файл прошивки или файл начальной конфигурации через ftp он не должен перезапускаться пока не появится сообщение close ftp client или 226 transfer complete указывающие на успешное обновление в противном случае коммутатор может быть поврежден и его запуск будет невозможен если обновление через ftp не удается попробуйте еще раз или используйте режим bootrom для обновления 57
- Перед началом процесса загрузки скачивания системных файлов с помощью протокола ftp необходимо проверить наличие соединения между клиентом и сервером это можно осуществить с помощью команды ping если эхо тестирование неудачно следует устранить неполадки с соединением 57
- Перед началом процесса загрузки скачивания системных файлов с помощью протокола tftp необходимо проверить наличие соединения между клиентом и сервером это можно 57
- Поиск неисправностей ftp 57
- Поиск неисправностей tftp 57
- Следующее сообщение отображается при успешной отправке файлов если оно не появилось пожалуйста проверьте подключение к сети и повторите команду copy еще раз 57
- Следующее сообщение отображается при успешном получении файлов если оно не появилось пожалуйста проверьте подключение к сети и повторите команду copy еще раз 57
- Устранение неисправностей ftp tftp 57
- Если коммутатор обновляет файл прошивки или файл начальной конфигурации через tftp он не должен перезапускаться пока не появится сообщение close tftp client или 226 transfer complete указывающие на успешное обновление в противном случае коммутатор может быть поврежден и его запуск будет невозможен если обновление через tftp не удается попробуйте еще раз или используйте режим bootrom для обновления 58
- Осуществить с помощью команды ping если эхо тестирование неудачно следует устранить неполадки с соединением 58
- Следующее сообщение отображается при успешной отправке файлов если оно не появилось пожалуйста проверьте подключение к сети и повторите команду copy еще раз 58
- Следующее сообщение отображается при успешном получении файлов если оно не появилось пожалуйста проверьте подключение к сети и повторите команду copy еще раз 58
- Введение в управление кластерами сети 59
- Настройка кластера 59
- Список команд для конфигурирования кластера управления сети 59
- Snmp server enable включение функции snmp сервера в главном коммутаторе и коммутаторах членах примечание необходимо убедиться что функция snmp сервера 63
- Активна в коммутаторах членах когда главный коммутатор посещает их через snmp главный коммутатор посещает коммутатор 63
- Имеется четыре коммутатора sw1 sw4 среди них sw1 является главным коммутатором а другие коммутаторами членами и sw2 и sw4 напрямую подключены с главным sw3 подключается к коммутатору через sw2 63
- Команда пояснение 63
- Настройка главного коммутатора 63
- Настройка коммутатора члена 63
- Настройки sw1 63
- Настройки sw2 sw4 63
- Примеры администрирования кластера 63
- Процедура настройки 63
- Режим глобального конфигурирования 63
- Сценарий 63
- Член через настройки коммандной строки commander 63
- Поиск проблем в администрировании кластерами 64
- Введение 65
- Конфигурирование портов 65
- Список команд для конфигурирования портов 65
- 10 1 10 1000mbps full зеркалированный порт 68
- 9 1 9 100mbps full зеркалированный порт источника 68
- Switch1 1 7 лимит входящей полосы 50 m 68
- Switch2 1 8 зеркалированный порт источника 68
- Switch3 1 12 100mbps full 68
- Vlan не сконфигурированы на коммутаторе по умолчанию используется vlan1 68
- Коммутатор порт свойства 68
- Конфигурация приведена ниже 68
- Назначения 68
- Примеры конфигурации порта 68
- Два соединенных оптических интерфейса не поднимаются если один интерфейс настроен 69
- Здесь приводится несколько ситуаций часто встречающихся при конфигурации порта и предлагаются их решения 69
- На автоопределение а на втором жестко установлены скорость и дуплекс это определяется стандартом ieee 802 69
- Не рекомендуется следующая конфигурация включение контроля трафика и 69
- Одновременно установление лимита для многопользовательских пакетов на том же порту 69
- Установка одновременно контроля за широковещательными многопользовательскими и персональными пакетами с неизвестным назначением и ограничения полосы на порту если такие комбинации установлены пропускная способность порта может оказаться меньше ожидаемой 69
- Устранение неисправностей на порту 69
- Введение в функцию изоляции портов 70
- Конфигурация функции изоляции портов 70
- Список команд для конфигурации изоляции портов 70
- Типовые примеры функции изоляции портов 71
- Введение в функцию распознавания петли 72
- Конфигурация функции распознавания петли на порту 72
- Порту 72
- Список команд для конфигурирования функции распознавания петли на 72
- Примеры функции распознавания петли на порту 74
- Решение проблем с функцией распознавания петли на порту 75
- Функция распознавания петли на порту выключена по умолчанию и должна быть включена при необходимости 75
- Конфигурация функции uldp 76
- Общая информация о uldp 76
- Однонаправленный линк это распространенная проблема в сети особенно для оптических соединений под однонаправленным соединением понимается ситуация когда один порт соединения может принимать сообщения от другого порта а тот не может получать их от первого если физический уровень соединения есть и работает нормально проблема связи между устройствами не может быть обнаружена как показано на рисунке проблема оптического соединения не может быть обнаружена посредством механизмов физического уровня таких как автоматическое согласование параметров 76
- Такой вид проблем часто возникает в ситуации когда или интерфейс или gbic giga bitrate interface converter конвертер интерфейса со скоростью 1gb имеют программные проблемы в этом случае оборудование становится недоступным или работает неправильно 76
- Список команд для конфигурирования uldp 77
- В сетевой топологии на рисунке порты g1 1 и g1 2 на коммутаторе а а так же порты g1 3 и g1 04 на коммутаторе b оптические и соединение имеет перекрестный тип физический уровень включен и работает нормально но соединение на уровне данных неработоспособно uldp может определить и заблокировать такой тип ошибки на соединении конечным результатом будет то что порты g1 1 и g1 2 на коммутаторе а а так же порты g1 3 и g1 04 на коммутаторе b будут заблокированы функцией uldp порты смогут работать не будут заблокированы только если соединение будет корректным 81
- Последовательность конфигурации коммутатора b 81
- Последовательность конфигурации коммутатора а 81
- Типовые примеры функции uldp 81
- Устранение неполадок функции uldp 82
- Настройка функции lldp 84
- Общие сведения о функции lldp 84
- Список команд для конфигурирования lldp 85
- Коммутатор а последовательность команд конфигурации 89
- Коммутатор в последовательность команд конфигурации 89
- На схеме сетевой топологии приведенной выше порт 1 3 на коммутаторе в подключен к порту 2 4 коммутатора а порт 1 коммутатора в сконфигурирован в режиме приема пакетов опция tlv на порту 4 коммутатора а сконфигурирована как portdes и syscap 89
- Типовой пример функции lldp 89
- Устранение неисправностей функции lldp 89
- Функция lldp по умолчанию выключена после ее включения в режиме глобального конфигурирования пользователи могут включить режим отладки debug lldp для проверки отладочной информации используя команду show функции lldp можно вывести информацию о конфигурировании в глобальном режиме конфигурирования либо в режиме настройки интерфейсов 89
- Настройка port channel 90
- Общие сведения о port channel 90
- Общие сведения о lacp 91
- Настройка port channel 92
- Вариант 1 настройка port channel для протокола lacp 95
- Имеется два коммутатора s1 и s2 порты 1 2 3 4 на коммутаторе s1 порты доступа и добавлены в группу1 в активном режиме порты 6 8 9 10 на коммутаторе s2 тоже порты доступа и добавлены в группу 2 в пассивном режиме все порты соединены кабелями 95
- Примеры использования port channel 95
- Этапы конфигурации показаны ниже 95
- Вариант 2 конфигурация port channel в режиме on 96
- Как показано на рисунке порты 1 2 3 4 коммутатора s1 порты доступа и будут добавлены в группу1 с режимом on порты 6 8 9 10 коммутатора s2 тоже порты доступа и будут добавлены в группу2 с режимом on 96
- Коммутатор сообщит что агрегирование прошло успешно порты 1 2 3 4 коммутатора s1 входят в группу port channel1 а порты 6 8 9 10 коммутатора s2 входят в группу port channel2 96
- Результат конфигурации 96
- Этапы конфигурации показаны ниже 96
- Bandwigth ip ip forward и т д 97
- Если во время конфигурации объединения портов возникли проблемы в первую очередь проверьте следующее 97
- Некоторые команды не могут быть использованы на портах в port channel такие как arp 97
- Порты 1 2 3 4 на коммутаторе s1 добавлены по порядку в группу портов 1 в режиме on коммутатору на удаленном конце не требуется обмен пакетами lacp для завершения объединения агрегация завершается сразу когда выполняется команда добавления порта 2 в группу 1 порты 1 и 2 объединяются в port channel 1 когда порт 3 вступает в группу 1 port channel 1 из портов 1 и 2 разбирается и пересобирается с портом 3 опять в port channel 1 когда порт 4 вступает в группу 1 port channel 1 из портов 1 2 и 3 разбирается и пересобирается с портом 4 опять в port channel 1 надо отметить что каждый раз когда новый порт вступает в группу объединения портов группа разбирается и собирается заново теперь все 4 порта на обоих коммутаторах объединены в режиме on 97
- Режиме полного дуплекса имеют одинаковую скорость и настройки vlan если обнаружены несоответствия исправьте это 97
- Результат конфигурации 97
- Убедитесь что все порты в группе имеют одинаковые настройки например они все в 97
- Устранение неисправностей port channel 97
- Конфигурирование mtu 98
- Общие сведения об mtu 98
- Efm oam ethernet in the first mile operation administration and maintenance использование администрирование и управление ethernet на первой миле имеется в виду от клиента работает на канальном уровне сетевой модели osi реализуя дополнительные функции через подуровень оам как показано на рисунке ниже 99
- Конфигурация efm oam 99
- Общие сведения о efm oam 99
- Первоначально технология ethernet разрабатывалась для локальных сетей но длина каналов и размеры сетей стремительно увеличивались и теперь эта технология применяется так же и на metro и на глобальных сетях из за отсутствия эффективного механизма управления что влияло на работу тенологии ethernet в метро и глобальных сетях стало жизненно необходимым применение oam на ethernet 99
- Существует четыре стандарта протоколов для ethernet oam 802 ah efm oam 802 ag cfm e lmi и y 731 efm oam и cfm определены международным комитетом по стандартам ieee efm oam работает на канальном уровне для корректного обнаружения и управления каналом данных использование efm oam позволяет повысить управляемость и упростить обслуживание ethernet уровня для повышения устойчивости работы сети cfm используется для мониторинга общей сетевой связности и локализации проблем на сетевом уровне по сравнению с cfm стандарт y 731 принятый международным телекоммуникационным союзом itu более мощный стандарт e lmi принятый mef применяется только к uni так как вышеуказанные протоколы могут использоваться для различных сетевых топологий и управления между ними существуют дополнительные соглашения 99
- Конфигурирование efm оам 102
- Примеры efm oam 104
- Устранение неисправностей efm oam 105
- Безопасность портов 106
- Введение 106
- Настройка безопасности портов 106
- Приметы настройки port security 107
- Если возникают проблемы с настройкой безопасности проверьте не являются ли они следствием следущих причин 108
- Проверьте включен ли port security убедитесь в настройке максимального количества mac адресов 108
- Процесс настройки 108
- Устранение неисправностей port security 108
- Введение 109
- Настройка ddm 109
- Список команд конфигурации ddm 111
- Примеры применения ddm 113
- Устранние неисправностей ddm 117
- Lldp med 118
- Введение в lldp med 118
- Конфигурация lldp med 118
- Show lldp показывает настройки глобального lldp и lldp med 120
- Switch a 120
- Switch b 120
- Настройка switch a 120
- Показывает настройки lldp и lldp med на соседних устройствах 120
- Показывает настройки lldp и lldp med на текущем порте 120
- Пример настройки lldp med 120
- Режим администратора 120
- Топология базовой конфигурации lldp med 120
- Verify the configuration 121
- Настройка switch b 121
- Просмотр глобального статуса и статуса интерфейса на switcha 121
- Ethernet 2 коммутатора a и ethernet 1 коммутатора b являются портами устройства 122
- Если возникают проблемы при настройке lldp med пожалуйста проверьте является ли эта проблема следствием следующих причин 122
- Пояснение 122
- Сетевого соединения они не пересылают пакеты с информацией med tlv хотя ethernet 2 коммутатора a настроен для посылки информации med tlv он не будет посылать информацию med что приведет к отсутствию в соответствующей удаленной таблице информации med на ethernet 2 коммутатора a 122
- Удаленной таблице будет информация об ethernet 1 коммутатора a 122
- Устранение неисправностей lldp med 122
- Устройство lldp med может посылать пакеты lldp с med tlv поэтому в соответствующей 122
- Введение в bpdu tunnel 124
- Настройка bpdu tunnel 124
- Mac адреса туннеля 125
- No bpdu tunnel dmac 125
- Включение отключение глобального 125
- Команда описание 125
- Конфигурация bpdu tunnel 125
- Настройка глобального mac адреса туннеля 125
- Настройка порта для поддержки туннеля 125
- Применение bpdu туннеля 125
- Режим глобального конфигурирования 125
- Режим конфигурирования порта 125
- Пример bpdu tunnel 126
- Настройка bpdu tunnel на коммутаторах pe1 и pe2 127
- Настройка ре 1 127
- После отключения функций stp gvrp uldp lacp and dot1x на порте можно настроить функцию bpdu tunnel 127
- Устранение неисправностей bpdu tunnel 127
- Laser printer 128
- Pc pc pc 128
- Server server server 128
- Switch switch switch 128
- Настройка виртуальных локальных сетей vlan 128
- Switch 134
- Trunk port site a and site b switch port 11 134
- Vlan100 134
- Vlan100 site a and site b switch port 5 7 134
- Vlan2 site a and site b switch port 2 4 134
- Vlan200 134
- Vlan200 site a and site b switch port 8 10 134
- В соответствии с требованиями приложений и безопасности существующую локальную сеть необходимо разделить на три vlan три vlan имеют идентификаторы vlan2 vlan100 и vlan200 эти три vlan охватывают два различных физических места размещения площадки a и b 134
- На каждой площадке имеется коммутатор требования к связи между площадками удовлетворяются если коммутаторы могут выполнять обмен трафиком vlan 134
- Объект конфигурации описание конфигурации 134
- Рабочая 134
- Рабочая станция 134
- Станция 134
- Сценарий 134
- Типичная топология применения vlanа 134
- Типичное применение vlanа 134
- Транковый канал 134
- В данном примере порты 1 и 12 свободны и могут быть использованы для управляющих портов или других целей 135
- Коммутатор a 135
- Коммутатор b 135
- Транковые порты с обеих сторон подключены к транковому каналу для передачи между узлами трафика vlanа остальные устройства подключены к другим портам vlanов 135
- Шаги конфигурации описаны ниже 135
- Коммутатор a 137
- Коммутатор b 137
- Конфигурирование туннеля dot1q 137
- Меток 137
- Общие сведения о туннелях dot1q 137
- Туннель dot1q также называемый qinq 802 q in 802 q является расширением протокола 802 q основная идея заключается в упаковке метки клиентского vlanа cvlan tag в метку vlanа сервис провайдера spvlan tag пакет с двумя метками vlanа передается через магистральную сеть интернет провайдера таким образом обеспечивая простой туннель второго уровня для пользователя это просто и легко для управления применимо только на статических конфигурациях и специально адаптировано для небольших офисных или метро сетей использующих коммутаторы третьего уровня как магистральное оборудование 137
- Шаги конфигурации описаны ниже 137
- Включение туннеля dot1q на транковом порту делает метку пакета данных непредсказуемой что не подходит приложениям поэтому не рекомендуется использовать туннель dot1q на транковом порту 140
- Использование туннеля совместно с pvlan не поддерживается 140
- Использование туннеля совместно с stp mstp не поддерживается 140
- Процедура конфигурации описана ниже 140
- Устранение неисправностей туннеля dot1q 140
- Конфигурирование selective qinq 141
- Ethernet1 1 и ethernet1 2 коммутатора в предоставляет сетевой доступ для пользоваелей pc принадлежащих vlan 100 vlan 200 и пользователей с ip телефонами принадлежащих vlan 201 vlan 300 соответственно ethernet 1 9 соединена с сетью общего пользования 142
- Ethernet1 1 коммутатора a предоставляет доступ к сети общего пользования для пользователей pc и ethernet1 2 коммутатора a предоставляет доступ к сети общего пользования для пользователей с ip телефоном пользователи pc принадлежат к vlan 100 vlan 200 и пользователи с телефонами ip принадлежат к vlan 201 vlan 300 ethernet 1 9 коммутатора а соединена с сетью общего пользования 142
- Включен selective qinq на портах ethernet1 1 и ethernet1 2 на коммутаторах а и в соответственно пакеты vlan 100 vlan 200 отмечены тегом vlan 1000 как выходящий тег vlan на ethernet1 1 и пакеты vlan 201 vlan 300 отмечены тегом vlan 2000 как выходящий тег vlan на ethernet1 2 142
- Конфигурирование 142
- Применение selective qinq 142
- Сеть общего пользования разрешает пересылать пакеты в vlan 1000 и vlan 2000 142
- Создание vlan 1000 and vlan 2000 on switcha 142
- Типичное применение selective qinq 142
- Насройка ethernet1 1 как гибридного порта и настройка удаления тега vlan при пересылке пакетов в vlan 1000 143
- Настройка ethernet 1 2 как гибридного порта и настройка удаления тега vlan при пересылке пакетов в vlan 2000 143
- Настройка порта ethernet 1 9 как гибридного порта и настройка сохранения тега vlan при пересылке пакетов в vlan 1000 и vlan 2000 143
- Настройка правил отображения для selective qinq на ehernet1 1 для помещения тега vlan 1000 как выходящего тега vlan в пакеты с тегами vlan 100 vlan 200 143
- Настройка правил отображения для selective qinq на ehernet1 2 для помещения тега vlan 2000 как выходящего тега vlan в пакеты с тегами vlan 201 vlan 300 143
- Настройки на switch b аналогичны настройкам на switch a конфигурация следующая 143
- После проведения конфигурации пакеты vlan 100 vlan 200 от ethernet1 1 автоматически отмечаются тегом с vlan 1000 как выходящим тегом vlan и пакеты vlan 201 vlan 300 от ethernet1 2 автоматически отмечаются тегом с vlan 2000 как выходящим тегом vlan на switcha 143
- Устранение неисправностей selective qinq 143
- Функции selective qinq и dot1q tunnel не могут быть одновременно настроены на порте 143
- Настройка трансляции vlanов 144
- Show vlan translation просмотр сконфигурированных соответствий 145
- Trunk port порты 1 и 10 узлов pe1 и pe2 145
- Vlan translation порт 1 узлов pe1 и pe2 145
- Команда описание 145
- Объект конфигурации описание конфигурации 145
- Пограничные узлы pe1 и pe2 интернет провайдера поддерживают vlan данных 20 между ce1 и ce2 из клиентской сети через vlan 3 порт 1 pe1 подключен к ce1 порт 10 подключен к публичной сети порт 1 pe2 подключен к ce2 порт 10 подключен к публичной сети 145
- Режим администратора 145
- Сценарий 145
- Типовое применение трансляции vlаnов 145
- Трансляции vlanов 145
- Конфигурация multi to one vlan трансляции 146
- Show vlan translation n to 1 показывает связанные настройки трансляции multi to one vlan 147
- Команда описание 147
- Пользователи а в и с принаддлежат vlan 1 2 и 3 соответственно на входящем сетевом уровне траффик данных пользователей а в и с будет переведен в vlan100 на ethernet1 1 со стороны switch 1 обратно траффик данных пользователей а в и с будет переведен в vlan 1 2 и 3 на ethernet1 1 со стороны switch 1от сетевого уровня соответственно таким же образом реализуется аналогичнвй перевод трансляции multi to one между пользователями d e и f на ethernet1 1 и switch 2 147
- Просмотр настроек multi to one vlan передачи 147
- Режим администратора 147
- Сценарий 147
- Типичное применение трансляции multi to one vlan 147
- Конфигурирование динамических vlan 148
- Mac based vlan общая конфигурация коммутаторов а b c 151
- На коммутаторах со сконфигурированным динамическим vlanом когда к ним подключено несколько устройств например два компьютера бывает что первая попытка соединения между ними не получается решение в данном случае такое надо дать возможность обоим устройствам успешно послать какие либо пакеты в сеть например icmp командой ping это позволит коммутатору запомнить их mac адреса и тогда они смогут свободно связываться через динамический vlan 151
- Объект конфигурации описание конфигурации 151
- Пример конфигурации 151
- Устранение неисправностей динамического vlanа 151
- Конфигурирование gvrp 152
- Коммутатор c 156
- Счетчик garp установленный на транковых портах на обоих концах магистральной линии должен быть одинаковым в противном случае gvrp не сможет работать нормально рекомендуется избегать одновременной работы протоколов gvrp и rstp на узле если требуется включить протокол gvrp необходимо сначала выключить функцию rstp на портах 156
- Устранение неисправностей gvrp 156
- Для таблицы mac адресов определены две операции 157
- Настройка таблицы mac адресов 157
- Общие сведения о таблице mac адресов 157
- Отправка или фильтрация пакета данных в соответствии с таблицей мас адресов 157
- Получение мас адреса 157
- Получение таблицы мас адресов 157
- Таблица мас адресов может быть построена статически или динамически статическим конфигурированием настраивается соответствие между мас адресами и портами динамическое обучение это процесс когда коммутатор изучает связи между мас адресами и портами и регулярно обновляет таблицу мас адресов в этой секции мы остановимся на процессе динамического построения таблицы мас адресов 157
- Таблица мас адресов это таблица соответствий мас адресов устройств назначения портам коммутатора mac адреса делятся на статические и динамические статические мас адреса вручную сконфигурированы пользователем имеют наивысший приоритет и действуют постоянно они не могут быть замещены динамическим мас адресами динамические адреса запоминаются коммутатором при передаче пакетов данных и они действуют ограниченное время когда коммутатор получает фрейм данных для пересылки он сохраняет мас адрес источника фрейма и соответствующий ему порт назначения когда таблица мас адресов опрашивается на предмет мас адреса приемника при нахождении нужного адреса пакет данных отправляется на соответствующий порт в противном случае коммутатор пересылает пакет на свой широковещательный домен если динамический мас адрес не встречается в пакетах для пересылки длительное время запись о нем удаляется из таблицы мас адресов коммутатора 157
- Конфигурирование таблицы мас адресов 160
- Примеры типичной конфигурации 161
- Дополнительные функции таблицы мас адресов 162
- Устранение неисправностей с таблицей мас адресов 162
- Конфигурация уведомлений о mac адресах 165
- Ip адрес станции сетевого управления nms 1 ip адрес агента 1 nms получит trap сообщение от агента примечание nms может установить проверку подлинности в строку характер ловушки 167
- Пример mac уведомления 167
- Процедура конфигурации 167
- Убедитесь что сообщение ловушки отправляется успешно командой show и отладкой команды snmp 167
- Устранение неисправностей mac уведомлений 167
- Настройка протокола mstp 168
- Общие сведения о mstp 168
- Конфигурирование mstp 170
- 00 01 00 00 02 00 00 03 00 00 04 177
- Address 177
- Bridge mac 177
- Bridge priority 32768 32768 32768 32768 177
- Cоединения между коммутаторами показаны на рисунке выше все коммутаторы работают в mstp режиме по умолчанию их приоритеты мостов приоритеты портов и стоимость маршрутов для портов стоят по умолчанию равны параметры по умолчанию для коммутаторов показана ниже 177
- Port 1 128 128 128 177
- Port 2 128 128 128 177
- Port 3 128 128 177
- Port priority 177
- Имя моста switch1 switch2 switch3 switch4 177
- Пример применения mstp 177
- Switch2 179
- Switch3 179
- Детальная конфигурация приведена ниже 179
- Настроить приоритет коммутатора для экземпляра связующего дерева 3 на switch3 как 0 179
- Настроить приоритет коммутатора для экземпляра связующего дерева 4 на switch4 как 0 179
- Switch4 180
- После настройки описанной выше switch1 будет корневым коммутатором экземпляра связующего дерева 0 всей сети в регионе mstp к которому относятся switch2 switch3 и switch4 switch 2 является корневым коммутатором региона для экземпляра связующего дерева 0 switch3 является корневым коммутатором региона для экземпляра связующего дерева 3 и switch4 является корневым коммутатором региона для экземпляра связующего дерева 4 трафик vlan 20 и 30 передается через топологию экземпляра связующего дерева 3 трафик vlan 40 и 50 передается через топологию экземпляра связующего дерева 4 трафик с остальных vlan передается через топологию экземпляра связующего дерева 0 порт 1 на switch2 является управляющим портом для экземпляров связующих деревьев 3 и 4 180
- Протокол mstp путем вычислений генерирует 3 топологии экземпляров связующих деревьев 0 3 и 4 порты обозначенные x имеют состояние discarding блокированы на остальных портах передача разрешена 180
- 2 bridge_hello_time 1 секунда 182
- Bridge_max_age 182
- В противном случае протокол mstp может работать неправильно 182
- Для того чтобы протокол mstp на порте смог работать mstp должен быть включен в режиме глобального конфигурирования 182
- Если пользователи изменили параметры mstp они должны удостовериться в том что изменены и топологии настройки глобального режима конфигурирования выполняются для коммутаторов остальные настройки выполняются для отдельных экземпляров связующего дерева 182
- Так как параметры mstp взаимосвязаны они должны соответствовать следующим требованиям 182
- Устранение неисправностей mstp 182
- Cos класс сервиса классификационная информация передаваемая фреймами 802 q на втором уровне занимает три бита поля tag в заголовке фрейма и называется уровнем пользовательского приоритета в диапазоне от 0 до 7 183
- Ip precedence приоритет ip классификационная информация передающаяся в заголовке пакета третьего уровня занимающая 3 бита и могущая принимать значения от 0 до 7 183
- Qos quality of service качество сервиса набор возможностей которые позволяют создавать разделенные полосы для передаваемых по сети данных тем самым обеспечивая лучший сервис для выбранного сетевого трафика qos гарантия качества последовательной и предсказуемой передачи данных для обеспечения требований программ qos не создает дополнительной полосы передачи но обеспечивает более эффективное управление полосой в соответствии с требованиями приложений и политикой управления сетью 183
- Qos качество сервиса обеспечение гарантированного качества сервиса для последовательной и предсказуемой передачи данных и выполнения требований программ 183
- Tos тип сервиса однобайтовое поле передаваемое в заголовке пакета ipv4 на третьем уровне для объявления типа сервиса ip пакета значением поля tos может быть приоритет ip ip precedence или значение dscp 183
- Домен qos домен qos поддерживает устройства с qos для формирования сетевой топологии которая обеспечит качество сервиса такая топология называется доменом qos 183
- Настройка qos 183
- Общие сведения о qos 183
- Термины qos 183
- Базируясь на различных методах qos определяет приоритет для каждого входящего пакета классификационная информация содержится в заголовках ip пакетов третьего уровня и в заголовках фреймов 802 q второго уровня qos обеспечивает одинаковый сервис для пакетов одинакового приоритета в то время как для пакетов с различающимися приоритетами предлагаются различающиеся операции маршрутизатор или коммутатор поддерживающие сервис qos могут обеспечивать различную полосу передачи в соответствии с классификацией пакетов помечать пакеты в соответствии с сконфигурированными политиками а также сбрасывать некоторые низкоприоритетные пакеты в случае перегрузки полосы передачи 185
- Базовая модель qos 185
- Базовая модель qos состоит из 4 частей классификация применение политик пометка и планирование где классификация применение политик и пометки последовательные действия на входе а работа с очередями и планирование действия qos на выходе 185
- Загрузки не может удовлетворить требования необходимой полосы и низких задержек 185
- Классификация классифицирует трафик в соответствии с классификационной информацией пакетов и генерирует значение внутреннего приоритета основанное на классификационной инфрмации для различных типов пакетов классификация обеспечивается различным образом схема ниже показывает это 185
- Конфигурация qos является гибкой более простой или сложной в зависимости от топологии сети и устройств и глубины анализа входящего исходящего трафика 185
- Www qtech ru 186
- Замечание 1 значение cos рассчитывается исходя из свойств пакета и никак не связано со значением внутреннего приоритета полученным для потока 186
- Замечание 2 если одновременно сконфигурированы проверка dscp и cos то приоритет dscp важнее cos 186
- Замечание 1 внутренний приоритет будет скрыт после установки установка внутреннего приоритета на трафик с определенным цветом покрывает установку внутреннего приоритета на трафик не связанный с цветом 188
- Замечание 2 сброс внутреннего приоритета пакетов осуществляется в соответствии с картой преобразования внутренний приоритет внутренний приоритет intp to intp при 188
- Классификации потока внутренний приоритет берется от источника или устанавливается действиями не связанными с цветом 188
- В соответствии с ним планируется распределение пакетов по очередям с различным приоритетом и пакеты посылаются в соответствии с весовым приоритетом очереди и приоритетом сброса следующая схема описывает операции планирования 189
- Конфигурирование qos 189
- Конфигурирование карты классов 189
- Конфигурирование карты политик 189
- Устанавливает классификационные правила в соответствии с acl cos vlan id приоритетом ipv4 dscp и ipv6 fl для классификации потока данных различные классы потоков данных обрабатываются по разным политикам 189
- Пример qos 194
- Как показано на рисунке внутри области отмеченной пунктиром находится qos домен switch1 классифицирует различный трафик и назначает различные приоритеты ip для примера 195
- Лист доступа с именем 1 настроен для выборки сегмента 192 68 функция qos включена глобально создана карта классов с именем с1 лист acl 1 включен в карту классов создана другая карта политик с именем p1 карта p1 ссылается на карту с1 установлены соответствующие политики для ограничения полосы и дополнительных расширений эта карта политик применена на порту ethernet 1 2 после того как вышеуказанные настройки сделаны полоса для пакетов из сегмента 192 68 проходящих через порт ethernet 1 2 установлена в 10 мб с с дополнительным расширением в 4 мб все пакеты превышающие данные установки в данном сегменте будут сброшены 195
- Пример 3 195
- Результат конфигурации 195
- В настояшее время не рекомендуется одновременно использовать карты политик на vlan 196
- Доверительные режимы exp dscp и cos могут быть сконфигурированы одновременно 196
- Доверительный режим cos и exp может использоваться с другими доверительными 196
- Доверительный режим dscp может использоваться с другими доверительными режимами 196
- Если сконфигурирован динамический vlan mac vlan голосовой vlan vlan подсети ip vlan 196
- И на его порту 196
- Или картой политик эта конфигурация применяется для пакетов ipv4 и ipv6 196
- Карта политики может быть привязана только ко вхдящему направлению выходящее 196
- Конфигурация qos на switch1 196
- Конфигурация qos на switch2 196
- Направление не поддерживается 196
- Протокола тогда значение cos для пакета равно значению cos для динамического vlan 196
- Режимами или картой политик 196
- Установим приоритет cos для пакетов из сегмента 192 68 равным 5 на порту ethernet1 1 установим внутренний приоритет равным 40 и по умолчанию трансляцию внутреннего приоритета в dcsp как 40 40 соответствующий ip приоритет равным 5 порт подключенный к switch2 транковый на switch2 порт ethernet 1 1 подключенный к switch1 настроен как доверительный dscp таким образом внутри области qos пакеты с различными приоритетами будут распределяться в различные очереди и получат различную полосу передачи 196
- Устранение неисправностей qos 196
- Этапы конфигурации описаны ниже 196
- Конфигурирование перенаправления потоков 197
- Общие сведения о перенаправлении потоков 197
- Перенаправление потоков 197
- Примеры перенаправления потоков 198
- Устранение неисправностей перенаправления потоков 198
- Конфигурирование гибкого qinq 199
- Настройка гибкого qinq 199
- Общие сведения о гибком qinq 199
- Пример применения гибкого qinq 201
- Если поток данных dslam1 идет через порт1 коммутатора конфигурация следующая 202
- Если поток данных dslam2 идет через порт1 коммутатора конфигурация следующая 202
- Конфигурация следующая 202
- Функцию qinq пакеты будут формироваться с разными внешними метками в соответствии с vlan id пользователя пакет с меткой 1001 будет паковаться во внешнюю метку 1001 непосредственно эта метка уникальна на данной сети получит метку широковещательная сеть vlan1001 и классифицирована на устройстве bras центр хранения конфигурации пакеты с метками 2001 или 3001 будут паковаться с внешней меткой 2001 или 3001 и классифицируются на устройстве sr в соответствии с правилами потоков второй пользователь может использовать различные метки vlanов на dslam2 замечание применяемые метки vlanов для второго пользователя могут быть такими же как для первого пользователя и пакеты с этими метками так же пакуются во внешнюю метку на рисунке выше внешняя метка для второго пользователя отличается от метки первого пользователя в соответствии с расположением dslam и расположением пользователя 202
- Если правила гибкого qinq не могут быть привязаны к порту проверьте нет ли проблем вызванных следующими причинами 203
- Листы доступа 203
- Политик 203
- Проверьте поддерживается ли гибкий qinq сконфигурированными картами классов и 203
- Проверьте что коммутатор имеет достаточно памяти tcam для передачи связей 203
- Убедитесь что листы доступа включают разрешающие правила в карте классов имеющих 203
- Устранение неисправностей гибкого qinq 203
- Интерфейс 3 го уровня 204
- Конфигурирование функций 3 го уровня 204
- Настройка протокола ip 205
- Настроить статический arp 211
- Введение в функцию предотвращения arp сканирования 213
- Настройка функции предотвращения arp 213
- Последовательность задач конфигурации предотвращения arp 213
- Сканирования 213
- Типовые примеры предотвращения arp сканирования 216
- Поиск неисправностей предотвращения arp сканирования 217
- Предотвращение arp сканирования по умолчанию выключено после включения предотвращения arp сканирования пользователь может включить отладку debug anti arpscan для просмотра отладочной информации 217
- Конфигурация защиты от подмены arp 218
- Обзор 218
- Конфигурация предотвращения подмены arp 219
- Пример предотвращения подмены arp nd 220
- В дальнейшем хост а пересылает принятые пакеты хосту c меняя адрес источника и адрес назначения так как arp список своевременно обновляется еще одной задачей для хоста а является непрерывная отправка arp ответов и обновление arp списка коммутатора 221
- Если окружающая среда меняется это позволяет запретить arp обновления как только arp будет изучено оно не может быть обновлено новым arp ответом данные будут защищены от прослушивания 221
- Поэтому очень важно защитить arp список настроить запрещение arp обучения в стабильной среде и затем изменить все динамические arp записи на статические выученные arp не будут обновляться и будут защищены 221
- В частности если злоумышленник прибегая к arp мошенничеству выдает себя за шлюз вся сеть выйдет из строя 222
- Введение в arp guard 222
- Мы используем фильтрующие элементы коммутатора для защиты arp записей важных сетевых устройств от подражания другими устройствами основной теорией этого 222
- Настройка arp guard 222
- Существует серьезная уязвимость в модели arp протокола которая заключается в том что любое сетевое устройство может отправить arp сообщение чтобы объявить о связке ip и mac адресов это делает возможным arp мошенничество злоумышленники могут послать arp запрос или arp ответ чтобы информировать о неверной связке между ip адресом и mac адресом которая приведет в проблемам связи есть две формы arp мошенничества 1 pc4 отправляет arp сообщение чтобы сообщить что ip адрес pc2 привязан к mac адресу pc4 это приведет к тому что все ip пакеты адресуемые pc2 будут отправлены к pc4 таким образом pc4 сможет просматривать все пакеты адресованные pc2 2 pc4 отправляет arp сообщение чтобы сообщить что ip адрес pc2 привязан к несуществующему mac адресу это приведет к тому что pc2 не будет получать адресованные ему пакеты 222
- Список задач конфигурации arp guard 223
- Введение в самообращенный arp 224
- Конфигурация самообращенного arp gratuitous arp 224
- Список задач конфигурации самообращенного arp 224
- Для топологии сети показанной на рисунке интерфейс коммутатора vlan10 имеет ip адрес 192 68 5 54 и маску сети 255 55 55 три компьютера pc3 pc4 pc5 подключены к этому интерфейсу интерфейс vlan1 имеет ip адрес 192 68 4 54 и маску сети 255 55 55 два компьютера pc1 и pc2 подключены к этому интерфейсу самообращенный arp включается следующий конфигурацией 225
- Команда описание 225
- Оба интерфейса используют самообращенный arp 225
- Отобразить конфигурацию 225
- Отобразить конфигурацию самообращенного arp 225
- Пример конфигурации самообращенного arp 225
- Режим администратора и режим конфигурации 225
- Самообращенного arp 225
- Самообращенный arp настроит только для одного интерфейса 225
- Если самообращенный arp включен глобально он может быть выключен только глобально если самообращенный arp включен на интерфейсе он может быть выключен только на интерфейсе 226
- Поиск неисправностей самообращенного arp 226
- Самообращенный arp выключен по умолчанию когда самообращенный arp включен отладочную информацию можно получить используя команду debug arp send 226
- Введение dhcp 227
- Конфигурация dhcp 227
- Dhcp server configuration 228
- Конфигурация dhcp ретранслятора 232
- Примеры конфигурации dhcp 234
- Dns сервер 10 6 02 dns сервер 10 6 02 235
- Wins сервер 10 6 09 www сервер 10 6 09 235
- В расположении a машине с mac адресом 00 03 22 23 dc ab назначен фиксированный ip адрес 10 6 10 и имя хоста management 235
- Время аренды 3 дня время аренды 1 день 235
- Тип узла wins h узел 235
- Шлюз по умолчанию 10 6 00 235
- Если dhcp bootp клиент хочет получить адрес в сети 10 6 24 шлюз пересылающий широковещательные пакеты клиента должен принадлежать сети 10 6 24 чтобы клиент получил адрес из пула 10 6 24 должна быть обеспечена связность между клиентским шлюзом и коммутатором 236
- Как показано на рисунке маршрутизирующий коммутатор настроен в качестве dhcp ретранслятора адрес dhcp сервера 10 0 шаги конфигурации следующие 236
- Руководство по использованию когда dhcp bootp клиент подключается к vlan1 порту коммутатора клиент может получить адрес только из сети 10 6 24 вместо 10 6 24 это потому что широковещательный пакет от клиента будет запрашивать ip адрес в том же сегменте vlan интерфейса а ip адрес vlan интерфейса 10 6 24 поэтому адрес назначаемый клиенту будет принадлежать сети 10 6 24 236
- Сценарий 2 236
- Заметка рекомендуется использовать комбинацию команд 237
- Как показано на рисунке клиент получает адрес через dhcp ретранслятор коммутатор является устройством второго уровня доступа с включенным dhcp ретранслятором и опцией 82 ethernet1 2 является портом доступа включенным в vlan3 ethernet1 3 является транковым портом соединненым с dhcp сервером адрес которого 192 68 0 99 на коммутаторе создаются vlan 1 и интерфейс vlan 1 настраивается ip адрес 192 68 0 0 адрес dhcp ретранслятора настраивается 192 68 0 99 и vlan3 настраивается как sub vlan vlan1 237
- Команда 237
- Конфигурация 237
- Может быть настроена только на портах 3 го уровня и не может быть настроена на портах 2 го уровня 237
- Сценарий 3 237
- Поиск неисправностей dhcp 238
- Введение dhcpv6 239
- Конфигурация dhcpv6 239
- Конфигурация dhcpv6 сервера 240
- Конфигурация dhcpv6 ретранслятора 242
- Конфигурация сервера делегации префиксов dhcpv6 243
- Конфигурация клиента делегации префиксов dhcpv6 245
- Примеры конфигурации dhcpv6 246
- Конфигурация коммутатора 3 247
- Dhcpv6 клиенты и серверы находятся не в одной физической сети проверьте имеет ли маршрутизатор отвечающий за пересылку dhcpv6 пакетов функцию dhcpv6 ретранслятора если на промежуточном маршрутизаторе нет функции 248
- Если dhcpv6 клиент не может получить ipv6 адрес и другие сетевые параметры после проверки кабелей и клиентского оборудования следует выполнить следующее 248
- Поиск несиправностей dhcpv6 248
- Проверьте запущен ли dhcpv6 сервер запустите его если он не запущен если 248
- Введение в опцию 82 dhcp 250
- Конфигурация опции 82 dhcp 250
- Список задач конфигурации опции 82 dhcp 252
- Примеры применения опции 82 dhcp 256
- Коммутатор 1 или коммутатор 2 и таким образом сможет выделять разное адресное пространство двум подсетям чтобы упростить управление сетью 257
- Конфигурация комутатора 3 mac адрес 00 1f ce 02 33 01 257
- 29 поиск неисправностей опции 82 dhcp 258
- Введение в опции 60 и 43 dhcp 259
- Настройка опций 60 и 43 на dhcp 259
- Опции 60 и 43 dhcp 259
- Пример настройки опций 60 и 43 dhcpv6 260
- Введение в опции 37 38 dhcpv6 261
- Опции 37 38 dhcpv6 261
- Устранение неисправностей 60 и 43 опций dhcp 261
- Список задач конфигурации опции 37 38 dhcpv6 262
- Примеры опицй 37 38 dhcpv6 266
- Aсогласно схеме mac aa mac bb и mac cc обычные пользователи подключенные к недоверенным интерфейсам 1 2 1 3 и ¼ соответственно они получают ip адреса 2010 2 2010 3 и 2010 4 по dhcpv6 dhcpv6 сервер подключен к доверенному интерфейсу 1 1 настроено три политики выделения адресов классов class1 соответствует опции 38 class2 соответствует опции 37 а class3 опциям 37 и 38 в пуле адресов eastdormpool запросам соответствующим классам class1 class2 и class3 будут назначены адреса из диапазонов 2001 da8 100 1 2 2001 da8 100 1 30 2001 da8 100 1 31 2001 da8 100 1 60 и 2001 da8 100 1 61 2001 da8 100 1 100 соответственно на коммутаторе a включена функция dhcpv6 snooping и настроены опции 37 и 38 267
- Конфигурация коммутатора a 267
- На уровне доступа используется коммутатор 1 для подключения пользователей общежития на первом уровне аггрегации коммутатор 2 настроен как dhcpv6 ретранслятор на втором уровне аггрегации коммутатор 3 настроен как dhcpv6 сервер и 268
- При развертывании ipv6 сети для выделения ipv6 адресов может быть использована функция сервера dhcpv6 на маршрутизирующем устройстве если специальный сервер используется для равномерного распределения и управления ipv6 адресами dhcpv6 сервер поддерживает оба режима с отслеживание состояния stateful и без него stateless 268
- Пример 1 268
- Пример опций 37 38 на dhcpv6 ретрансляторе 268
- Топология сети 268
- Конфигурация коммутатора 2 269
- Соединен с магистральной сетью на компьютерах должна быть установлена ос windows vista в которой есть dhcpv6 клиент 269
- Поиск неисправностей опций 37 38 dhcpv6 270
- Введение в dhcp snooping 271
- Конфигурация dhcp snooping 271
- Последовательность задач конфигурации dhcp snooping 272
- Switch 278
- Как показано на рисунке устройство mac aa обычный пользователь подключенный к недоверенному порту 1 1 коммутатора получает ip настройки через dhcp ip адрес клиента 1 dhcp сервер и шлюз подключены к доверенным портам коммутатора 1 11 и 1 12 соответственно злоумышленник mac bb подключенный к недоверенному порту 1 1 коммутатора пытается подделать dhcp сервер посылая пакеты dhcpack функция dhcp snooping на коммутаторе эффективно обнаружит и блокирует такой тип сетевой атаки 278
- Последовательность настройки 278
- Типовое применение dhcp snooping 278
- Поиск неисправностей dhcp snooping 279
- Введение в опцию 82 dhcp 280
- Конфигурация опции 82 dhcp 280
- Список задач конфигурации опции 82 dhcp 281
- Ip dhcp snooping trust 283
- No ip dhcp snooping trust 283
- В данной схеме комутатор второго уровня передает сообщение запроса от dhcp клиента к серверу через включенный dhcp snooping он так же передаст сообщение ответа от сервера к клиенту для завершения процедуры dhcp протокола после включения 82 опции dhcp snooping коммутатор добавляет информацию о порте доступа в сообщение запроса от клиента с опцией 82 283
- Команда описание 283
- Конфигурация комутатора 3 mac адрес 00 1f ce 02 33 01 283
- Настроить доверенные порты 283
- Отменяет настройку 283
- Примеры применения опции 82 dhcp 283
- Режим порта 283
- Сделать порт доверенным команда no 283
- Поиск неисправностей опции 82 dhcp 285
- Введение в энергосбережение eee 286
- Настройка энергосбережения eee 286
- Список настроек энергосбережения eee 286
- Типичные примеры энергосбережения eee 286
- Multicast ipv4 287
- Общая информация о протоколе многоадресной маршрутизации ipv4 287
- Протокол многоадресной маршрутизации 287
- Команда описание 295
- Осталось применить правило к ip адресу указанного источника mac адресу сети vlan источника или конкретному порту следует отметить что с учетом вышеприведенных ситуаций глобально эти правила можно использовать только при включении отслеживания igmp пакетов если же отслеживание выключено то в рамках протокола igmp можно использовать только правило для ip адреса источника ниже приводятся команды настройки 295
- Режим настроек порта 295
- Режим общих настроек 295
- Теперь следует задать правило управления пунктом назначения оно похоже на правило управления источником но использует номера acl 6000 7999 295
- Отслеживание igmp пакетов 298
- Команда описан 299
- Настроить отслеживание igmp пакетов 299
- Режим общих настроек 299
- Аутентификация при отслеживании igmp пакетов 304
- Включить аутентификацию при отслеживании igmp пакетов 305
- Команда описание 305
- Настроить аутентификацию при отслеживании igmp пакетов 305
- Режим конфигурирования порта 305
- Режим общих настроек 305
- Команда описание 306
- Настроить radius 306
- Режим общих настроек 306
- Multicast ipv6 308
- Отслеживание mld пакетов 308
- Протокол многоадресной маршрутизации 308
- Включить функцию отслеживания mld пакетов 309
- Команда описание 309
- Настроить отслеживание mld пакетов 309
- Режим общих настроек 309
- Введение в сеть vlan для многоадресной рассылки 314
- Сеть vlan для многоадресной рассылки multicast 314
- Список задач по настройке сети vlan для многоадресной рассылки 314
- Команда описание 315
- Настроить отслеживание igmp пакетов 315
- Настроить отслеживание mld пакетов 315
- Режим 315
- Примеры сети vlan для многоадресной рассылки 316
- Введение в автоматически определяемые списки acl 318
- Настройка автоматически определяемых списков acl 318
- Настройка автоматически определяемых списков acl 319
- Пример автоматически определяемого списка acl 322
- Введение в протокол 802 x 323
- Настройка протокола 802 x 323
- Список задач по настройке 802 x 338
- Ethernet1 0 3 vlan10 vlan2 342
- Ethernet1 0 6 342
- Интернет 342
- Как показано на рисунке ниже коммутатор получает доступ в сеть с помощью аутентификации 802 x используя в качестве сервера аутентификации сервер radius ethernet1 0 2 порт через который пользователь получает доступ к коммутатору принадлежит сети vlan100 сервер аутентификации находится в сети vlan2 сервер обновления находящийся в сети vlan10 используется пользователями для загрузки и обновления по клиентской системы ethernet1 6 порт через который коммутатор получает доступ в сеть vlan5 342
- Коммутатор ethernet1 0 2 vlan100 342
- Поль зоват ель 342
- Примеры использования 802 x 342
- Примеры использования guest vlan 342
- Примечание на всех рисунках в данном разделе e2 означает ethernet 1 0 2 e3 ethernet 1 0 3 а e6 ethernet 1 0 6 342
- Сервер обновления сервер аутентификации 342
- Устранение неисправностей протокола 802 x 347
- Введение в протокол mrpp 348
- Настройка протокола mrpp 348
- Список задач по настройке mrpp 351
- Типичный сценарий применения протокола mrpp 354
- Устранение неисправностей при работе протокола mrpp 357
- Введение в ulpp 358
- Настройка протокола ulpp 358
- Список задач по настройке протокола ulpp 360
- Типичные примеры применения протокола ulpp 364
- Устранение неисправностей при работе протокола ulpp 367
- Введение в протокол ulsm 368
- Настройка протокола ulsm 368
- Список задач по настройке протокола ulsm 369
- Типичный пример применения протокола ulsm 370
- Устранение неисправностей при работе протокола ulsm 372
- Введение в протокол sntp 373
- Настройка протокола sntp 373
- Типичные примеры настройки протокола sntp 374
- Введение в протокол ntp 375
- Настройка функций протокола ntp 375
- Список задач по настройке функции ntp 375
- Типичные примеры применения функции ntp 379
- Устранение неполадок при работе функции ntp 380
- Введение в летнее время 381
- Настройка летнего времени 381
- Последовательность задач по настройке летнего времени 381
- Примеры перехода на летнее время 382
- Устранение неполадок при настройке летнего времени 382
Похожие устройства
- Qtech QSW-2800-10T-DC Руководство пользователя
- Qtech QSW-2800-10T-DC Руководствоо администратора
- Qtech QSW-2800-26T-AC Методика тестирования
- Qtech QSW-2800-26T-AC Руководство по эксплуатации
- Qtech QSW-2800-26T-AC Руководство пользователя
- Qtech QSW-2800-26T-AC Руководствоо администратора
- Qtech QSW-2800-28T-AC Методика тестирования
- Qtech QSW-2800-28T-AC Руководство по эксплуатации
- Qtech QSW-2800-28T-AC Руководство пользователя
- Qtech QSW-2800-28T-AC Руководствоо администратора
- Qtech QSW-2800-28T-AC-RPS Методика тестирования
- Qtech QSW-2800-28T-AC-RPS Руководство по эксплуатации
- Qtech QSW-2800-28T-AC-RPS Руководство пользователя
- Qtech QSW-2800-28T-AC-RPS Руководствоо администратора
- Qtech QSW-2800-28T-DC Методика тестирования
- Qtech QSW-2800-28T-DC Руководство по эксплуатации
- Qtech QSW-2800-28T-DC Руководство пользователя
- Qtech QSW-2800-28T-DC Руководствоо администратора
- Qtech QSW-2850-28T-AC Руководство пользователя
- Qtech QSW-2850-28T-AC-RPS Руководство пользователя