Značenie portov
Rozhranie na switchi – interfaces , sú hlavne fyzické porty a VLAN y (presnejšie virtuálny interface pre VLAN – Switch Virtual Interface – SVI). Popri tom však existuje celý rad ďalších, napr. EtherChannel (port-channel), sériová linka (serial), konzola (console), asynchrónne linka (TTY), sieťový terminál (VTY) – telnet.
Fyzické porty switcha sa označujú (adresujú) typom , dnes hlavne FastEthernet (stačí f), GigabitEthernet (stačí g) a TenGigabitEthernet (stačí t), a číslom portu . Číslo portu je reťazec, ktorý má tvar podľa typu switcha. Najčastejšie je {slot}/{port}alebo {stack}/{slot}/{port}. Bežné (nemodulárne) switche sú brané, ako by boli v slote 0, takže príklad adresovania (napríklad pre switch C2690) je f0/1a je ním označený FastEthernet (100Mbit / s) port číslo 1. Stohovateľné switche (podporujú stack), ako je potrebné Catalyst 3750, adresujeme napríkladg1/0/1, Čo označuje GigabitEthernet (1Gbit / s) port, ktorý je na prvom switchi vo stacku (alebo samostatnom), v slote 0, port číslo 1.
Konfigurácia portov
Výber portu
Keď chceme konfigurovať nejaký interface / port, tak sa z privilegovaného módu prepneme do konfigurácie daného portu. Pre zjednodušenie môžeme konfigurovať aj viac portov naraz, vtedy sa využíva, v IOSu bežná notácie, pomlčka pre určenie rozsahu (iba v rámci stacku / slotu, za pomlčku zadávame číslo) a čiarka pre vymenovanie portov (za čiarku zadávame celé označenie portu).
SWITCH (config) # interface f0 / 5 // prepneme sa na kofiguráciu porta 5
SWITCH (config) # interface range f0 / 1-5, G0 / 1 // vyberieme porty 1 až 5 (fast) a 1 (gigabit)
SWITCH ( config-if) # // interface configuration mode
Stav portu, vypínanie
Interface môže byť v niekoľkých stavoch, navyše sa môžeme pozerať na stav portu globálne (vtedy sa používajú hlavné označenie stavov disabled, notconnect, connected) alebo sa pozeráme zvlášť na fyzický / administračné stav (administrative status) a operačné stav (operational / line status) portu (vtedy sa používa hlavne up, down). Interne sa udržuje stav portu oddelene a len pre niektoré výstupy sa prevádza (napríklad show interfaces status). Administračný stav je ten, ktorý môžeme riadiť príkazmi (pomocou shutdown), operačný stav sa nastavuje automaticky podľa stavu linky. Ak však nastavíme administračný stav na down, tak sa aj operačný stav prepne na down. Existujú aj rôzne špeciálne stavy ako chyby alebo testovanie. Určitý pohľad na najbežnejšie stavy je:
- vypnutý – disabled (down, down) – nejde cez neho žiadna komunikácia
- vypnutý chybou – error-disabled (down, down) – nejde cez neho žiadna komunikácia, informuje o chybe
- zapnutý nespojený – notconnect (up, down) – fyzicky nepripojený, po zapojení komunikuje
- zapnutý spojený – connected (up, up) – funkčné a komunikujúce
Pre prepínanie stavu medzi vypnutým a zapnutým slúžia príkazy
SWITCH (config-if) # shutdown // vypnutie portu
SWITCH (config-if) # no shutdown // zapnutie portu
Ak je port v error-disabled stave, kam sa môže dostať napríklad vďaka chybe v spanning tree alebo port security , treba ho najprv vypnúť a až potom zapnúť. Uvádza sa, že v predvolenom stave sú interface vypnuté (shutdown), ale nie je to pravda úplne vždy. Odporúčam nepoužívané porty vypínať (najlepšie globálne pri úvodnej konfigurácii) a pri konfigurácii portu ho vždy zapnúť.
Základné vlastnosti portu
Pre port môžeme nastavovať všeobecné vlastnosti ako je duplex, rýchlosť, opis, MDIX a ďalšie. Defaultné nastavenie pre duplex, speed a MDIX je auto, čo je v súčasnosti vo väčšine prípadov vyhovujúce. Vkladanie popisu k jednotlivým portom je určite dobrý zvyk a je dobré ho vždy používať.
SWITCH (config-if) # duplex full
SWITCH (config-if) # speed 100
SWITCH (config-if) # description 3.14
SWITCH (config-if) # MDIX auto
Nastavenie defaultných hodnôt pre interface
Zresetovanie nastavenia portu do východiskových (továrenských) hodnôt môžeme vykonať jedným príkazom.
SWITCH (config) # default interface f0 / 1
Zobrazenie informácií o INTERFACE
O Interface môžeme zistiť veľký rad informácií. Niektoré príkazy, ktoré môžeme použiť, sú nasledujúce.
SWITCH # show interfaces
SWITCH # show interfaces status
SWITCH # show interfaces summary
SWITCH # show interfaces switchport
typy interface
Hlavné Interface na switchi sú:
- fyzické porty – switch porty a Routed porty
- VLANy – Switch Virtual Interface
- port channel – EtherChannel interface
switch Port
Switch Port je Layer 2 (2. vrstva OSI modelu) interface asociovaný s fyzickým portom. Porty switcha sú defaultne switch porty a sú zaradené do jednej alebo viacerých VLAN. Parametre, ktoré sa týkajú charakteristík prepínanie, sa konfigurujú príkazomswitchportv konfiguračnom móde interfacu. Switch port môže pracovať v jednom z nasledujúcich módov :
- access – typicky pre koncových zariadení (PC, server, tlačiareň), prijíma netagované pakety (bez určenia VLANy) a zaraďuje je tej VLAN y, ktorú má nastavenú
- trunk – iný switch či aktívny prvok, komunikácia je tagovanie a prenáša sa vybrané VLAN y
- dynamic – rokuje o stave portu (access alebo trunk) pomocou protokolu DTP
- tunnel – využíva IEEE 802.1q Tunneling pre prenos informácie o VLAN cez sieť ISP
Nastavenie portu do príslušného módu sa vykonáva nasledujúcim príkazom:
SWITCH (config-if) # switchport mode access
SWITCH (config-if) # switchport mode trunk
SWITCH (config-if) # switchport mode dynamic
SWITCH (config-if) # switchport mode dot1q-tunnel
Ak máme routovanie port , tak ich môžeme previesť na switch port pomocou príkazu:
SWITCH (config-if) # switchport
Access mode
Toto je defaultný mód switch portu. Ak je port v prístupovom móde , mali by sme ho zaradiť do správnej VLAN y. Môže byť členom len jednej VLANy, v predvolenom stave sú všetky porty vo VLAN 1.
SWITCH (config-if) # switchport access vlan 100
Mimo manuálneho zaradenie portu do VLANy môžeme tiež využiť protokol IEEE 802.1x (spolu s RADIUS serverom) alebo dynamické zaradenie pomocou VLAN Membership Policy Server (VMPS).
Pokiaľ na access port dorazí tagovaný paket (s označenou VLAN pomocou ISL alebo 802.1q), tak je zahodený.
Štandardná hodnota MTU (Maximum Transmission Unit) pre Ethernet je 1518 B , (1500B veľkosť paketu + 18B hlavička a zakončenie rámca). Keď sa použije IEEE 802.1q, tak môže prísť rámec o 4B väčšie, teda 1522B, keď sa použije ISL, tak o 30B väčší, čo je 1548B. Ak port nie je nastavený ako trunk a príde takto veľký rámec, tak sa zahodí a hlási sa ako Giant (Jumbo frame). V počítadlách pre interface sa giant pakety zobrazujú.
SWITCH # show system MTU
SWITCH (config-if) # system MTU jumbo 9000
Trunk mode
Trunk mode slúži primárne k tomu, aby sme viac switchov prepojili medzi sebou a komunikácia zostala v správnej VLAN ť. Dnes sa tiež často používa pre pripojenie niektorých serverov, ktoré potrebujú komunikovať do viacerých VLAN. Ak by sme switche prepojili access portom, tak by sa prenášala iba komunikácie vo VLAN ť, v ktorej by bol nastavený daný port a na druhom switchi by bol paket vo VLAN ť tohto portu.
Ak je port v trunk móde , je bodov pre konfiguráciu viac. U vyšších modelov switchov (všeobecne L3 switchov a vyššie) volíme metódu, ktorou sa k paketom doplňuje informácie o zaradení do VLAN y. K dispozícii máme
- IEEE 802.1q – štandardizovaná metóda, ktorú podporujú všetky switche. Funguje na princípe tzv. Tagovanie, do hlavičky paketu pridá 4B informáciu (2B – 0x8100 = je to 802.1q / 802.1p, 2B – priorita + číslo VLANy) a prepočíta CRC. Používa sa tiež pre QoS.
- Cisco ISL – Cisco proprietárnu metóda, ktorú podporujú iba vyššie rady switchov. Vezme celý pôvodný paket a zabalí ho (encapsulate) ako obsah nového paketu. Pridáva teda 30B k obsahu.
SWITCH (config-if) # switchport trunk Encapsulation dot1q
Následne môžeme určiť, ktoré VLAN y chceme, aby sa prenášali v danom trunku . Defaultne sa prenáša všetky, ale kvôli bezpečnosti a prevádzky môžeme chcieť niektoré VLANy obmedziť. Zadaním čísla VLAN y (alebo čísel oddelených čiarkou či rozsah s pomlčkou) vykonáme nastavenie a predchádzajúce hodnoty sa vymažú. Môžeme využiť tiež pomocná kľúčové slová pre modifikáciu zoznamu add, remove, all, none, except.
SWITCH (config-if) # switchport trunk allowed vlan 100,200
SWITCH (config-if) # switchport trunk allowed vlan add 300
Súvisiacim údajom je nastavenie natívny VLAN y , tá slúži na prenos paketov, ktoré neboli dané do tejto VLAN y. Inak povedané, ak do portu, ktorý je nakonfigurovaný ako trunk, pripojíme normálny stanicu (ktorá nepodporuje trunk), tak bude komunikovať v tejto VLAN. Štandardne je to VLAN 1. Dôležité je, aby na oboch stranách trunku bola nastavená rovnaká natívne VLAN a.
SWITCH (config-if) # switchport trunk native vlan 1
Viac informácií o konfigurácii VLAN sa nachádza v článku – konfigurácia VLAN, VTP .
dot1q-tunnel mode
IEEE 802.1q Tunneling umožňuje prenášať rámce, ktoré sú tagovanie našimi číslami VLAN, cez sieť service providera. Vykonáva sa dvojité tagovanie , kedy sa pakety, ktoré prichádza na tunnel port a sú už otegovány našej VLAN, doplní o druhý tag s číslom VLANy, ktorou sa prenáša v rámci siete service providera.
Routed Port
Routed Port je fyzický port, ktorý funguje ako Layer 3 (3. vrstva OSI) interface, rovnako ako na routeru, a komunikácia prebieha pomocou routovanie. Routovanie port nie je zaradený do žiadnej VLANy a môžeme mu priradiť L3 adresu (teda IP adresu). Tiež nepodporuje žiadne L2 protokoly, ako je DTP a STP. Routovanie porty sú podporované len na L3 switchoch (tie podporujú routovanie).
SWITCH (config-if) # no switchport
SWITCH (config-if) # ip address 192.168.100.2 255.255.255.0
port security
Port security je jednoduchá a zaujímavá metóda zabezpečenia prístupu do siete. Na portu, kde je nastavená, kontroluje, či pakety prichádza z povolenej MAC adresy . Ak teda používateľ pripojí do zásuvky iné zariadenie, nebude môcť komunikovať.
Pre nastavenie Port security musí byť port vo statickom móde (trunk, access, ale nie dynamic). Zapnutie port security pre daný port:
SWITCH (config-if) # switchport port-security
Môžeme nastaviť koľko MAC adries pre port (alebo určitú VLAN) je povolené (napríklad ak je do portu pripojený switch). Defaultná hodnota 1.
SWITCH (config-if) # switchport port-security maximum 1
Ak nezadáme žiadne povolenej MAC adresy, tak sa používajú adresy dynamicky (dočasne sa ukladajú pre aktuálnu komunikáciu až do maxima). Alebo môžeme MAC adresy zadať ručne ako statické adresy. U dynamických adries môžeme nastaviť, aby sa tieto adresy ukladali do bežiaci konfigurácie (vytvorí sa statický záznam, ale ak neuložíme konfiguráciu, tak sa po reštarte zmažú).
SWITCH (config-if) # switchport port-security mac-address 0018.deda.2990 // pevná adresa
SWITCH (config-if) # switchport port-security mac-address 0000.02000.0004 vlan 3 // adresa na trunku vo VLAN 3
SWITCH (config-if) # switchport port-security mac-address sticky // ukladať dynamické adresy
SWITCH (config-if) #switchport port-security mac-address 001e.138c.7430 vlan voice // adresa vo Voice VLAN
Ďalej volíme, čo sa deje pri porušení pravidiel , teda ak príde komunikácie z MAC adresy, ktorá nie je povolená (a dosiahlo sa maxima). Default je shutdown. Možnosti sú:
- protect – nepovolená komunikácie je Zahazování, povolenej MAC adresy stále komunikujú
- restrict – pošle informatívny SNMP trap
- shutdown – port sa zablokuje, prepne do stavu Error-disabled (pripomínam, že pre opätovné zapnutie je potrebné ho najskôr vypnúť)
SWITCH (config-if) # switchport port-security violation shutdown
Pozn .: K porušeniu pravidiel dôjde aj v prípade, keď je MAC adresa zadaná pre určitý port a táto adresa sa objaví na inom porte tohto switcha.
Ak sa port prepne do Error-disabled stavu, tak je treba zásah administrátora, aby ho opäť zapol. Je však možné nastaviť aj automatické znovuzapnutie portu po určitej dobe:
SWITCH (config) # errdisable recovery cause psecure-violation
SWITCH (config) # errdisable recovery interval 60 // čas v sekundách, 60 - 86400
Ak chceme, aby sa MAC adresy pre port po určitej dobe automaticky zmazali , môžeme použiť kľúčové slovo agingv rade variantov. Napríklad ak chceme, aby dynamické adresy mali platnosť 10 minút:
SWITCH (config-if) # switchport port-security aging time 10
V predvolenom stave po zapnutí Port security , je povolená jedna MAC adresa, ktorá sa používa dynamicky, teda prvé zariadenie, ktoré začne komunikovať. Ak sa pokúsi komunikovať ďalšie zariadenia, dôjde k zablokovaniu portu.
Hlavné príkazy pre zobrazenie informácií o Port security sú
SWITCH # show port-security // info pre všetky interface
SWITCH # show port-security address // tabuľka MAC adries a súvisiace info
SWITCH # show port-security interface f0 / 1 // detailné info pre určitý interface
protected port
Medzi porty, ktoré sú nastavené ako Protected, sa neposiela žiadna komunikácia na Layer 2 (broadcast, multicast, unicast), iba komunikácie na Layer 3 (teda s IP adresou a pomocou routovanie).
SWITCH (config-if) # switchport protected
Viac informácií o Protected Port sa nachádza v článku – Private VLAN a Protected Port .
Spanning Tree Protocol
Protokol STP – Spanning Tree Protocol slúži na zabránenie vzniku slučiek v sieti, napríklad pri redundantné topológie alebo pri chybnom prepojení switchov. Jedná sa o štandardizovaný protokol IEEE 802.1D, ku ktorému existuje rad vylepšených verzií. Funguje na princípe nájdenie najkratšej cesty v ohodnotený grafe a nepotrebné porty zablokuje. Základná verzia STP beží na switchi defaultne a nie je potrebná žiadna konfigurácia.
Ak je k danému portu switcha pripojené zariadenie ako server či pracovnej stanice a teda na tomto porte nemôže vzniknúť slučka, tak môžeme tento port nastaviť do módu portfast, ktorý zabráni úvodnému blokovanie portu a port sa výrazne rýchlejšie zapne.
SWITCH (config-if) # spanning-tree portfast
Viac informácií o STP sa nachádza v článku – Spanning Tree Protocol .
Nastavenie IP adresy a brány
Niektorým interfacům môžeme nastaviť IP adresu , hlavne sa jedná o VLANy (SVI). Táto adresa slúži primárne na komunikáciu so switchom , ale aj pre ďalšie služby, ako je routovanie alebo DHCP server . Zjednodušene môžeme povedať, že nastavujeme adresu switchu. Ak nepoužívame VLANy, tak ju musíme nastaviť na VLAN 1 . V opačnom prípade je vhodné mať špeciálny VLAN pre správu a tu nastaviť IP adresu.
Adresu môžeme nastaviť napevno alebo ju nechať priraďovať DHCP serverom . Ak nastavujeme adresu napevno, musíme ju zadať spolu s maskou siete, v ktorej je táto adresa platná (to je z dôvodu ďalších služieb).
SWITCH (config) # interface vlan 1
SWITCH (config-if) # ip address 192.168.190.2 255.255.255.0
V niektorých prípadoch potrebujeme nastaviť adresu brány (gateway address). Ak budeme sa switchom komunikovať iba z lokálneho subnetu, tak to nie je potrebné. V opačnom prípade musíme adresu nastaviť, aby switch vedel kam posielať odpovede. Brána sa nastavuje pre celý switch.
SWITCH (config) # ip default-gateway 192.168.190.1
UniDirectional Link Detection – UDLD
Jedná sa o L2 protokol, ktorý umožňuje fyzickú konfiguráciu / prepojenia primárne optického kábla (fiber-optic), ale aj krútené dvojlinky (twisted-pair). Monitoruje, či nevzniklo len jednosmerné (unidirectional) spojenie (Tx a Rx). Teda u optiky, či nie je prerušený jeden z dvojice káblov a tiež, že sú páry správne zapojené na oboch stranách. U metalického kábla kontroluje, že nie je prerušené jedno vlákno. Ak detekuje jednosmerné spojenie, tak sa port prepne do error-disabled stavu. Rovnakú konfiguráciu je potrebné vykonať na oboch stranách.
Pre všetky optické porty môžeme zapnúť globálne.
SWITCH (config) # udld enable
Alebo môžeme zapnúť pre vybrané interface, to funguje aj pre metaliku
SWITCH (config-if) # udld enable
Zobrazenie informácií o UDLD a reset vypnutých interface vykonáme nasledovne.
SWITCH # show udld
SWITCH # udld reset // resetuje interface, ktoré boli vypnuté pomocou UDLD
Na záver – ukladanie konfigurácie
Dôležité upozornenie. Na záver konfigurácie treba vykonané zmeny uložiť do startup konfigurácie, aby sme o ne pri reštarte neprišli.
SWITCH # copy running-config startup-config // uložiť
Destination filename [startup-config]? // dotaz na meno, stlačte ENTER
Building configuration ...
[OK]
Alebo môžeme použiť kratšie príkaz.
SWITCH # write
Building configuration ...
[OK]
Príklady nastavenia
Nastavenie portu pre užívateľov
SWITCH> enable // prepnutie do privilegovaného módu
SWITCH # configure terminal // prepnutie do konfigurácie
SWITCH (config) # interface f0 / 1 // konfigurácia daného portu switcha
SWITCH (config-if) # shutdown // odporúčané najprv vypnúť port, mal už byť vypnutý
SWITCH (config-if) # switchport mode access // port do prístupového módu
SWITCH (config-if) # switchport access vlan 100 // zaradiť do patričnej VLANy
SWITCH (config-if) # description 3.14 // popis portu
SWITCH ( config-if) # spanning-tree portfast // do zásuvky je zapojený počítač, rýchly nábeh
SWITCH (config-if) # no shutdown // zapnutia portu
SWITCH (config-if) # exit // o úroveň späť
SWITCH (config) # exit // o úroveň späť
SWITCH # copy running-config startup-config // uložiť
Destination filename [startup-config]? // dotaz na meno, stlačte ENTER
Building configuration ...
[OK]
Nastavenie portu pre prepojenie medzi switchu – trunk
SWITCH> enable // prepnutie do privilegovaného módu
SWITCH # configure terminal // prepnutie do konfigurácie
SWITCH (config) # interface g1 / 0/25 // konfigurácie daného portu switcha
SWITCH (config-if) # shutdown // odporúčané najprv vypnúť port, mal už byť vypnutý
SWITCH (config-if) # switchport trunk Encapsulation dot1q // nastavenie metódy doplňovanie informácií o VLAN, norma 802.1q, nastavuje sa len na vyšších modeloch switchov
SWITCH (config-if) # switchport trunk allowed vlan 2-200 / / ktoré VLANy sa prenáša
SWITCH (config-if) #switchport trunk native vlan 1 // rámca bez VLANy sa prenáša cez trunk v Native VLAN
SWITCH (config-if) # switchport mode trunk // port do TRUNK módu
SWITCH (config-if) # switchport nonegotiate // nevyjednáva sa trunk protokolom DTP
SWITCH (config-if) # description 3.14 // popis portu
SWITCH (config-if) # no shutdown // zapnutia portu
SWITCH (config-if) # end // skočí rovno do privilegovaného módu
SWITCH # write // uloženie konfigurácie
Rovnakú konfiguráciu je potrebné vykonať na druhej strane, teda na druhom switchi a portu, ktorým sú prepojené.
Nastavenie Port Security
SWITCH> enable // prepnutie do privilegovaného módu
SWITCH # configure terminal // prepnutie do konfigurácie
SWITCH (config) # interface f0 / 5 // konfigurácie daného portu switcha
SWITCH (config-if) # switchport port-security // zapneme port security
SWITCH (config-if) # switchport port-security maximum 1 // počet MAC adries , 1 je default
SWITCH (config-if) # switchport port-security violation shutdown // pri porušení zablokovať port , default
SWITCH (config-if) # switchport port-security mac-address sticky // napevno uložiť dynamickú MAC adresu
SWITCH (config-if) # ^ Z // CTRL + Z skočí rovno do privilegovaného módu
SWITCH # write // uloženie konfigurácie