CISCO5 (Конфигурация Cisco Catalyst 2900 – 3500XL), страница 3
Описание файла
Документ из архива "Конфигурация Cisco Catalyst 2900 – 3500XL", который расположен в категории "". Всё это находится в предмете "информатика" из , которые можно найти в файловом архиве . Не смотря на прямую связь этого архива с , его также можно найти и в других разделах. Архив можно найти в разделе "рефераты, доклады и презентации", в предмете "информатика, программирование" в общих файлах.
Онлайн просмотр документа "CISCO5"
Текст 3 страницы из документа "CISCO5"
CLI:
Включение flood фильтров:
| Команда | Назначение | |
| Шаг 1 | configure terminal | Вход в режим настройки. |
| Шаг 2 | interface interface | Вход в режим настройки порта. |
| Шаг 3 | port storm-control broadcast [threshold {rising rising-number falling falling-number}] | Введите верхний и нижний пороги фильтра широковещательных пакетов соответственно. Верхний порог должен быть больше нижнего(что не должно вызывать сомнений). |
| Шаг 4 | port storm-control trap | Посылать SNMP серверу сообщения о включении/выключении фильтра. |
| Шаг 5 | end | Выход из режима конфигурации. |
| Шаг 6 | show port storm-control [interface] | Проверка сделанных изменений. |
Выключение flood фильтров:
| Команда | Назначение | |
| Шаг 1 | configure terminal | Вход в режим настройки. |
| Шаг 2 | interface interface | Вход в режим настройки порта. |
| Шаг 3 | no port storm-control broadcast | Выключение фильтра широковещательных пакетов |
| Шаг 4 | end | Выход из режима конфигурации. |
| Шаг 5 | show port storm-control [interface] | Проверка сделанных изменений. |
Отключение неизвестных multicast/unicast пакетов
| Команда | Назначение | |
| Шаг 1 | configure terminal | Вход в режим конфигурации. |
| Шаг 2 | interface interface | Вход в режим настройки порта. |
| Шаг 3 | port block multicast | Блокировка multicast пакетов. |
| Шаг 4 | port block unicast | Блокировка unicast пакетов. |
| Шаг 5 | end | Выход из режима конфигурации. |
| Шаг 6 | show port block {multicast | unicast} interface | Проверка изменений для соответственно multicast и unicast пакетов(по-отдельности). |
Нормальный режим передачи пакетов
| Команда | Назначение | |
| Шаг 1 | configure terminal | Вход в режим конфигурации. |
| Шаг 2 | interface interface | Вход в режим настройки порта. |
| Шаг 3 | no port block multicast | Отключение блокировки multicast пакетов. |
| Шаг 4 | no port block unicast | Отключение блокировки unicast пакетов. |
| Шаг 5 | end | Выход из режима конфигурации. |
| Шаг 6 | show port block {multicast | unicast} interface | Проверка изменений для соответственно multicast и unicast пакетов(по-отдельности). |
2.8 Безопасность портов
В свитчах серии Catalyst 2900XL возможен вариант ограничения доступа к порту по mac адресам. Для вывода на экран диалога конфигурации безопасности порта, выберите из всплывающего меню порта пункт Port Security. Отобразится окно примерно следующего содержания:
Объяснение полей:
| Параметр | Допустимые значения |
| Status | Текущее состояние безопасности порта. Enable - включено, Disable - выключено. |
| Send trap | Определяет, будет ли свитч посылать сообщение SNMP серверу при нарушении установки допустимого количества mac адресов. |
| Shutdown Port | Определяет, будет ли свитч автоматически отключать порт при нарушении установки допустимого количества mac адресов. |
| Maximum Adress Count | Максимальное количество mac адресов(1-132), которые могут быть подключены к свитчу(учтите другой свитч или хаб могут иметь столько mac адресов, сколько рабочих станций или других сетевых коммутаторов подключено к ним). Для порта, подключЈнного к рабочей станции можно поставить значение 1, для обеспечения своего рода тунеля между свитчом и PC. Для хабов или свитчей можно ставить любое значение допустимых mac адресов в диапазоне 1-132. Значение N/A высвечивается при отключЈнном режиме безопасности, что означает сколько угодно mac адресов. |
CLI:
Включение безопасности для порта.
| Команда | Назначение | |
| Шаг 1 | configure terminal | Вход в режим конфигурации. |
| Шаг 2 | interface interface | Режим настройки порта. |
| Шаг 3 | port security max-mac-count 1 | Максимальное количество mac адресов для порта + включение безопасности. |
| Шаг 4 | port security action shutdown | При нарушении безопасности порт будет выключаться. |
| Шаг 5 | end | Выход из режима конфиурации. |
| Шаг 6 | show port security | Проверка изменений. |
Выключение безопасности для порта.
| Команда | Назначение | |
| Шаг 1 | configure terminal | Вход в режим конфигурации. |
| Шаг 2 | interface interface | Режим настройки порта. |
| Шаг 3 | no port security | Отключение безопасности для порта. |
| Шаг 4 | port security action shutdown | При нарушении безопасности порт будет выключаться. |
| Шаг 5 | end | Выход из режима конфиурации. |
| Шаг 6 | show port security | Проверка изменений. |
3 Виртуальные сети (VLAN)
Вообще термин VLAN означает виртуальная локальная сеть. Такая сеть отличается от физической LAN лишь тем, что организуется разделение пакетов в единой локальной сети так, как если бы это были бы разные подсети. Таким образом с помощью VLAn можно организовать деление локальной сети на отдельные участки. При этом существует возможность регулировать взаимодействие VLAN весьма широко.
3.1 Типы VLAN
Нет нужды говорить, что существует несколько типов организации VLAN в сети. Самый простой из них - статический. Вы назначаете каждому порту какой-либо номер VLAN и они будут "видеть" только те порты, что принадлежат тому же VLAN. При этом абсолютно исключается возможность взаимодействия с "чужим" портом. При этом сами коммутаторы соединяются между собой посредством особых каналов связи - trunk магистралей. По таким магистралям проходят данные всех VLAN. Но, к сожалению, trunk порт должен быть point-to-point(о двух концах) и может подключаться только к свитчам и роутерам, поддерживающим VLAN. Таким образом организация сетевого доменного сервера становится возможной только при использовании роутера :(. С другой стороны trunk магистрали поддерживаются всеми типами свитчей, которые умеют делать VLAN. Другое преимущество - использование особого протокола кисок, обеспечивающего централизованное управление всей системой VLAN. Например, вы можете на сервере VTP отключить или включить определЈнную VLAN. МультиVLAN очень интересный тип организации VLAN. Он состоит в определении для порта нескольких допустимых VLAN(например, для экономистов это могут быть VLAN Economics и Server для доступа к общим серверам и.т.д.). Здесь всЈ предельно просто, но, к сожалению, свитчи серии 1900 и младше не поддерживают такую возможность :(( Поэтому такой свитч может обслуживать только один VLAN на одно подключение к новому свитчу Catalyst 2900 XL или 3300. При этом если на основном свитче этот порт будет мульти, то и на старый свитч будут проходить пакеты от всех мульти VLAN описанных на таком порте.И наконец, способ для страдающих параноидальной безопасностью нетадминов, заключается в назначении каждой VLAN списка допустимых мак (или, вроде, IP адресов). Когда на порт приходит пакет, то посылается запрос VPMS серверу, есть такой мак или нет. Но при выборе типа VLAN, учтите что на одном свитче не может быть разных типов организации VLAN.
3.2 VTP
Перед тем, как создавать в сети VLAN, решите предварительно, будете ли вы использовать для управления VLAN протокол VTP. Используя VTP, вы можете, изменив конфигурацию VLAN на одном свитче, например, Catalyst 2900 series XL, автоматически изменить эту конфигурацию для всех свитчей, подключенных к данному. Без VTP вы не сможете посылать информацию о VLAN другим свитчам. VTP обеспечивает централизованное управление VLAN, и исключает возможность дублирования VLAN а также другие неправильные настройки. VTP позволяет оптимизировать трафик между VLAN и обеспечивает безопасность передачи данных.
VTP домен
Домен VTP (домен управления VLAN) - это свитч или группа соединенных свитчей, разделяющих VTP. Свитч может входить только в один VTP домен.
По умолчанию коммутаторы считают, что они не относятся к VTP домену, пока им не приходит сообщение по порту-каналу(trunk порт) или вы вручную не назначите им домен. По умолчанию режим VTP устанавливается как VTP сервер, но коммутатор не станет рассылать информацию другим свитчам, пока ему вручную не присвоен домен VTP.
Если свитч получает информацию о VTP через trunk порт, то он автоматически становится членом данного домена и наследует конфигурацию. Когда вы меняете настройки VLAN на сервере VTP, то они автоматически наследуются клиентами через trunk порты. Если же вы конфигурируете настройки VLAN на коммутаторе-клиенте, то они касаются только данного свитча.
3.3 Настройка VLAN при помощи Cisco CLI
