GB Objašnjenje konfiguracije porta mrežnog prekidača

 

Zašto pregovori o brzini luka ne uspijevaju (i što zapravo možete učiniti)

 

Evo što vam nitko ne govori kada počinjete: automatsko-pregovaranje na gigabitnim priključcima funkcionira drugačije nego na 10/100 sučeljima. Specifikacija IEEE 802.3ab zahtijeva da 1000BASE-T veze rade isključivo u full-duplex modu. Ne postoji opcija polu-dupleksa pri gigabitnim brzinama. Razdoblje.

Dakle, kada vidite da je priključak zapeo na 100 Mbps i pitate se što je pošlo po zlu, krivac je obično jedna od tri stvari:

Kabel. Cat5 možda tehnički podržava gigabit u kratkim stazama, ali sam gledao kako inženjeri gube sate na rješavanje problema prije nego što je netko konačno zamijenio Cat5e ili Cat6. Sva četiri para moraju biti ispravno prekinuta-a ne samo dva kao što biste mogli izvući s brzim Ethernet brzinama.

Prisilna postavka na jednom kraju. Ako je netko konfigurirao brzinu na 100 na uplink preklopniku dok je vaš priključak na auto, imat ćete loš dan. Automatska-pregovaračka strana vraća se na paralelno otkrivanje, a taj mehanizam ne razvrstava parametre na elegantan način na način na koji biste se nadali.

Loši SFP moduli. Osobito s optičkim uplinkovima. Ne rade svi primopredajnici dobro kod svih dobavljača-neki prekidači zaista budu izbirljivi oko toga što će prihvatiti u tim utorima.

 

Ulazak u konfiguraciju sučelja

 

Put do moda konfiguracije sučelja dovoljno je jednostavan na Cisco IOS-u. Počinjete upisivanjem enable na početnom odzivniku, a zatim ulazite u configure terminal kako biste došli do načina globalne konfiguracije. Odatle vas određivanje sučelja GigabitEthernet0/1 spušta u kontekst konfiguracije sučelja za taj određeni priključak.

Kad ste tamo, postavljanje brzine i duplexa je jednostavno. Naredba speed 1000 zaključava port na gigabitni rad, dok duplex full osigurava dvosmjerni istovremeni prijenos. Većina administratora ostavlja oba parametra na auto, što dobro funkcionira za pristupne portove koji se povezuju s krajnjim{3}}korisničkim radnim stanicama. Moderne mrežne kartice vode pregovore bez drame. Ali veze među-sklopkama zaslužuju više razmišljanja-neki mrežni timovi ih kodiraju kako bi eliminirali još jednu varijablu tijekom rješavanja problema s prekidom rada.

Vrijedi napomenuti: nakon što zaključate brzinu 1000, port odbija sve sporije. Prijenosno računalo s nestabilnim NIC-om neće se vratiti na 100 Mbps; jednostavno se uopće neće povezati. To je povremeno ponašanje koje želite. Često nije.

 

 

Dodjela VLAN-a: Pristupni portovi i spojna mjesta

 

Ovdje konfiguracija postaje zanimljiva-i gdje se greške najbrže gomilaju.

Pristupni port pripada točno jednom VLAN-u. Dolazni okviri stižu neoznačeni; prekidač ih pridružuje bilo kojem VLAN-u koji ste naveli. To postižete ulaskom u sučelje, izdavanjem pristupa switchport modu za definiranje vrste porta, zatim pristupom switchport vlan 10 (ili bilo koji VLAN broj koji se primjenjuje) za dodjelu.

Glavni portovi prenose promet za više VLAN-ova istovremeno. Svaki okvir dobiva 802.1Q zaglavlje koje identificira kojem VLAN-u pripada. Izuzetak je izvorni VLAN-njegovi okviri prolaze kroz deblo neoznačeni. Konfiguracija uključuje postavljanje trunk moda switchporta, zatim definiranje izvornog VLAN-a s izvornim vlan 99 switchport trunk-a, i na kraju ograničavanje koji VLAN-ovi prolaze vezom pomoću vlan dozvoljenog trunk switchporta iza kojeg slijedi vaš popis VLAN ID-ova odvojenih zarezima-.

Ta dopuštena specifikacija VLAN-a važnija je nego što ljudi shvaćaju. Dijelovi dopuštaju sve VLAN-ove prema zadanim postavkama-svaki od 1 do 4094. Rijetko je to ono što želite. Orezujte agresivno.

 

Izvorni VLAN neusklađenosti

Kada trunk Switch A koristi izvorni VLAN 1 dok Switch B koristi izvorni VLAN 99, neoznačeni okviri slijeću u različite VLAN-ove sa svake strane. Izračuni razapinjućeg stabla postaju zbunjeni. Uređaji gube vezu na načine koji se čine gotovo nasumično.

CDP to hvata i bilježi upozorenje, ali zapravo morate pogledati zapise. I CDP treba biti omogućen, što neke sigurnosne politike zabranjuju. Dakle, neusklađenost ostaje tu, uzrokujući povremene čudnosti, sve dok netko konačno ne pomisli usporediti konfiguracije.

 

Osnove sigurnosti luka

 

Sigurnost porta ograničava koje MAC adrese mogu slati promet kroz sučelje. Klasični scenarij: spriječiti nekoga da isključi dodijeljenu radnu površinu i umjesto toga poveže osobni uređaj.

Postavljanje počinje omogućavanjem značajke preko switchport port-sigurnosti na sučelju. Zatim definirate koliko MAC adresa bi port trebao tolerirati-switchport port-sigurnost maksimalno 2 dopušta dva uređaja. Sljedeći je odgovor na kršenje; port switchporta-gašenje zbog kršenja sigurnosti govori prekidaču da u potpunosti onemogući port kada se pojave neovlašteni MAC-ovi. Konačno, switchport port-security mac-address sticky upućuje prekidač da dinamički uči adrese i upisuje ih u konfiguraciju koja se izvodi.

Ljepljiva opcija je uistinu zgodna. Prekidač dinamički uči MAC adrese i zapisuje ih u radnu konfiguraciju. Nakon spremanja, te adrese preživljavaju ponovno pokretanje bez ručnog unosa.

Načini kršenja određuju što se događa kada se pojavi neovlašteni MAC:

Isključivanje stavlja priključak u grešku-onemogućeno stanje. Promet potpuno obustavljen. Netko ga mora ručno oporaviti ili vam je potrebna EEM skripta koja upravlja automatskim oporavkom.

Ograniči ispušta promet s oštećenog MAC-a, ali održava port operativnim. Poruka syslog-a bilježi događaj. Legitimni uređaj nastavlja s radom.

Protect radi kao restrict, ali ne generira dnevnik. Tihi neuspjeh. Nisam obožavatelj-nećete znati da se nešto dogodilo dok se netko ne požali.

Glavobolja koja se ponavlja: IP telefoni s osobnim računalima-lančano povezani iza njih. To su dvije MAC adrese kroz jedan port. Ako ste postavili maksimum na 1, port se isključuje u trenutku kada računalo pošalje okvir. Pri postavljanju ovih ograničenja uzmite u obzir glasovne VLAN scenarije.

 

 

Duplex Mismatches: Tihi ubojica performansi

 

Pogrešne konfiguracije punog-dupleksa naspram polu{1}}dupleksa ne prekidaju izravno povezivanje. Postupno ga degradiraju. Paketi se sudaraju kada ne bi trebali. Kasni brojači sudara rastu. Retransmisije se nakupljaju. Korisnici javljaju da je "mreža spora", ali ping radi dobro i ništa očito ne izgleda pokvareno.

Provjerite brojače sučelja pomoću naredbe show interface iza koje slijedi identifikator određenog porta. Potražite kasne sudare, pogreške pri unosu, CRC pogreške, runtove. Zdrav gigabitni priključak koji radi u punom-dupleksu prikazuje nule u ovim poljima. Bilo što drugo treba istražiti.

Tipični scenarij neusklađenosti: jedna strana tvrdo kodirana na full-duplex, druga strana ostavljena na auto. Automatska strana ne može pravilno odrediti dupleks način jer udaljeni kraj ne sudjeluje u pregovorima. Zadano je polu-dupleks kao sigurnosna zamjena. Sada imate jednu stranu koja odašilje i prima istovremeno, dok druga strana misli da treba pričekati tišinu prije slanja. Sudari se stalno događaju.

Popravak je jednostavan: podudaranje postavki na obje strane. Oba su automatski ili su oba eksplicitno konfigurirana na iste vrijednosti.

 

Broadcast Storm Control

 

Emitirana oluja će apsolutno sravniti mrežu. Jedan pogrešno konfigurirani uređaj ili sklopna petlja s onemogućenim razapinjućim stablom preplavljuje mrežu emitiranim prometom. Svaki prekidač to replicira. Svaki port ga prosljeđuje. Iskorištenost CPU-a raste u cijeloj infrastrukturi.

Kontrola oluje osigurava prigušivanje. Unutar načina konfiguracije sučelja, određujete razinu-kontrole emitiranja oluje nakon koje slijedi postotak-recimo 20.00-kako biste ograničili promet emitiranja na tom pragu. Slične naredbe postoje za multicast i unicast promet. Direktiva za isključivanje radnje kontrole oluje govori prekidaču da onemogući port kada se prekorače pragovi; alternativno, trap generira SNMP upozorenje dok port održava aktivnim.

Razina predstavlja postotak propusnosti porta. Kada emitirani promet prijeđe 20% gigabitne veze-to je 200 Mbps emitiranja-priključak poduzima akciju. Isključivanje je agresivno, ali učinkovito.

Ne konfiguriram kontrolu oluje na svakom pojedinom priključku. Dodaje operativnu složenost. Ali za slojeve pristupa u nepredvidivim okruženjima-proizvodni podovi, sveučilišne rezidencije, konferencijske sobe-dokazano je više nego jednom.

 

PortFast i BPDU Guard

 

Spanning tree traje 30 do 50 sekundi za prijelaz porta iz blokiranja u prosljeđivanje. Ta odgoda štiti od petlji u vezama prekidač-na-prekidač gdje su promjene topologije važne. Frustrirajuće je za-korisničke priključke na koje se netko samo želi priključiti i dobiti IP adresu.

PortFast zaobilazi stanja slušanja i učenja. Omogućite ga na sučelju sa spanning-tree portfast, a port počinje prosljeđivanje odmah nakon uspostavljanja veze.

Rizik: ako netko uključi neupravljani preklopnik u taj priključak, potencijalno ste stvorili petlju. PortFast ne onemogućuje razapinjuće stablo-priključak i dalje obrađuje BPDU-ove. Ali odmah prosljeđuje promet umjesto da čeka.

BPDU Guard dodaje zaštitu. Omogućavanje putem spanning-tree bpduguard enable na sučelju znači da svaki primljeni BPDU pokreće trenutno err{2}}disable. Ako BPDU stigne na ovaj priključak, nešto nije u redu-ondje ne bi trebao biti drugi prekidač. Dobit ćete upozorenje, ali mreža ostaje netaknuta.

Globalne zadane postavke automatski primjenjuju ove značajke na sve pristupne priključke. U načinu globalne konfiguracije, spanning-tree portfast default omogućuje PortFast univerzalno, dok spanning-tree portfast bpduguard default aktivira BPDU Guard na tim istim priključcima. Glavni priključci isključeni su iz ovih zadanih postavki. To je razumna osnova za slojeve poslovnog pristupa.

 

 

EtherChannel: Skupljanje veza

 

Kada jedna gigabitna veza ne pruža dovoljnu propusnost između preklopnika, EtherChannel povezuje više fizičkih priključaka u jedno logičko sučelje. Dva, četiri ili osam priključaka agregiranih zajedno, pojavljuju se kao jedna veza za izračune razapinjućeg stabla.

LACP upravlja pregovorima pomoću standarda 802.3ad. Vi odabirete fizička sučelja-koristeći raspon sučelja GigabitEthernet0/1 - 4 za konfiguriranje više portova istovremeno-zatim ih dodjeljujete grupi kanala s aktivnim načinom rada-grupe 1 kanala. Nakon izlaska iz konfiguracije raspona, konfigurirate samo logičko sučelje ulaskom u port-channel1 sučelja i primjenom željenih postavki, obično trunk načina switchporta za među-switch veze.

Udaljeni kraj treba odgovarajuću konfiguraciju. Aktivno-aktivno radi. Aktivno-pasivno radi. Pasivno-pasivno ne-obje strane čekaju zauvijek da druga započne.

Distribucija prometa preko veza članova koristi algoritam raspršivanja, koji se obično temelji na izvornoj-odredišnoj MAC ili IP adresi. Pojedinačni tokovi još uvijek prolaze kroz pojedinačne fizičke veze; prekidač ne dijeli TCP sesije na više staza. Prijenos velikih datoteka između dva poslužitelja koristi jednu vezu člana bez obzira na to koliko ste ih spojili.

 

Glasovna VLAN konfiguracija

 

IP telefoni dodaju složenost. Telefon treba postaviti na glasovni VLAN za QoS tretman, dok PC spojen kroz svoj prolazni port treba sletjeti na podatkovni VLAN. Oba uređaja dijele jedan fizički preklopni priključak.

Konfiguracija uključuje postavljanje priključka kao pristupnog priključka s pristupom u načinu switchporta, dodjeljivanje podatkovnog VLAN-a putem switchport access vlan 10, a zatim zasebno određivanje glasovnog VLAN-a korištenjem switchport voice vlan 50. Telefon prima svoju dodjelu VLAN-a putem CDP-a ili LLDP-MED-a i u skladu s tim označava svoj promet. Računalo šalje neoznačene okvire koji slijeću u podatkovni VLAN. Sve radi preko jednog kabela.

To znači dvije MAC adrese na jednom portu. Sigurnosne postavke porta moraju se prilagoditi i jednom i drugom, ili ćete potrošiti vrijeme na oporavak greškom-onemogućenih sučelja svaki put kada objekti pomaknu stol.

 

Auto-MDIX

 

Ukriženi kabeli naspram ravnih-prijeko važnih. Spojite sklopku na sklopku ravnim-kabelom na starijoj opremi i veza se ne bi pojavila-trebao vam je crossover.

Moderna gigabitna Ethernet sučelja s auto-MDIX otkrivaju potrebno ožičenje i interno kompenziraju. Značajkom se upravlja putem mdix auto u načinu konfiguracije sučelja i omogućena je prema zadanim postavkama na većini trenutnog Cisco hardvera. Neka naslijeđena oprema i određena oprema koja nije-Cisco nemaju značajku. Ako se veza odbija uspostaviti, a isključili ste mogućnost oštećenja kabela, pokušajte zamijeniti skretnicom prije nego što pretpostavite kvar priključka.

 

Korisne naredbe za provjeru

 

Naredbe koje stalno izvodim:

Naredba prikaži status sučelja pruža brzi pregled-povezano u odnosu na nepovezano, dodjelu VLAN-a, brzinu, dupleks preko svih priključaka u jednom prikazu.

Pokretanje pokaznih sučelja praćeno specifičnim identifikatorom porta isporučuje detaljne brojače: ulazno/izlazne pakete, pogreške, padove u redu čekanja, posljednje vrijeme čišćenja.

Naredba show mac address-table interface iza koje slijedi port otkriva koje su MAC adrese naučene na tom sučelju.

Za stanje razapinjućeg stabla, prikaži sučelje razapinjućeg-stabla prikazuje STP ulogu porta i cijenu staze.

Naredba show interfaces trunk ispisuje sve aktivne spojne kanale s njihovim dozvoljenim i aktivnim VLAN-ovima.

Sigurnosni status porta dolazi iz sigurnosnog sučelja -pokaži port, koje izvještava o broju kršenja i trenutno naučenim adresama.

Možete usmjeriti izlaz kroz uključivanje za filtriranje. Pokretanje statusne naredbe s cijevi za uključivanje povezanih prikazuje samo portove s aktivnim vezama. Štedi listanje stranicama onemogućenih sučelja.

 

Oporavak Err-onemogućenih portova

 

Priključak prikazuje grešku-onemogućeno. Prije nego što ga odbacite, shvatite zašto. Naredba show interfaces status otkriva trenutno stanje, dok show errdisable recovery prikazuje koji su mehanizmi oporavka konfigurirani i njihove tajmere.

Uobičajeni okidači uključuju kršenje sigurnosti porta, aktivaciju BPDU Guarda, pretjerano lupanje veze i kvarove UDLD-a koji otkrivaju probleme s jednosmjernim vlaknom.

Automatski oporavak moguće je konfigurirati u načinu globalne konfiguracije. Naredba errdisable recovery cause all omogućuje automatski oporavak za sve vrste okidača, dok errdisable interval oporavka 300 postavlja mjerač vremena ponovnog pokušaja na 300 sekundi.

Bez konfiguracije automatskog oporavka potrebna je ručna intervencija. Unesite kontekst konfiguracije sučelja, izdajte isključivanje da administrativno onemogućite priključak, a zatim bez isključivanja da biste ga ponovno pokrenuli.

Slijepo ponovno -omogućavanje bez istraživanja jamči da ćete to uskoro ponoviti. Ako se aktivira BPDU Guard, netko je uključio prekidač. Ako je zaštita porta aktivirana, pojavio se neovlašteni uređaj. Potrebno je riješiti temeljni uzrok.

 

Završna zapažanja

 

Konfiguracija GB priključka nije konceptualno složena, ali detalji se gomilaju. Propuštena dodjela VLAN-a, netočna postavka priključka, sigurnosno ograničenje priključka koje ne uzima u obzir IP telefon-mali propusti kaskadiraju se u značajne prekide.

Dokumentirajte svoje konfiguracije. Jasno označite fizičke priključke. Izradite predloške za uobičajene scenarije i dosljedno ih primjenjivajte.

Testirajte promjene tijekom perioda održavanja kad god je to moguće. To je očit savjet. To je također savjet koji sam ignorirao u 15:00 jednog slučajnog utorka, s potpuno predvidljivim rezultatima.