Switchport protected что это
Cisco Switch
Материал из Xgu.ru
 |
| Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
На этой странице описываются различные настройки коммутаторов Cisco.
Содержание
[править] Настройка VLAN
Настройка native VLAN:
Указать какие VLAN разрешены в транке:
Добавить VLAN в список разрешенных:
Разрешить в транке все VLAN кроме указанных:
[править] Protected port (PVLAN edge)
Функция protected port работает только на локальном коммутаторе. Между protected-портами на канальном уровне не передается трафик (multicast, broadcast или unicast).
[править] Private VLAN
[править] Проверка настроек
Статус интерфейсов, включая VLAN которым они принадлежат:
[править] Настройка STP
[править] Link-State Tracking
[править] Flex Links и MAC Address-Table Move Update
[править] Настройки по умолчанию
По умолчанию на коммутаторе такие настройки функций Flex Links и MAC Address-Table Move Update:
[править] Принципы работы
[править] Настройка Flex Links
[править] Балансировка VLAN между Flex Links
[править] MAC Address-Table Move Update
[править] MLS (Multilayer Switching)
[править] SVI-интерфейсы
Для того чтобы коммутатор мог маршрутизировать трафик между VLAN, нужно:
SVI-интерфейс находится в состоянии up, если выполняются такие 3 условия:
Создание SVI и состояние интерфейса:
[править] SVI autostate
По умолчанию SVI-интерфейс переходит в состояние «down», если все интерфейсы этого VLAN’а переходят в состояние «down».
Порт можно исключить из проверки доступности SVI-интерфейса. Для этого используется команда switchport autostate exclude. После включения команда применяется ко всем VLAN, которые включены на интерфейсе.
Эта возможность может пригодиться для случаев, когда к порту коммутатора подключен анализатор трафика или IDS.
[править] Интерфейсы 3го уровня
Перевести порт коммутатора в режим работы Layer 3:
[править] Power over Ethernet (PoE)
[править] Настройка QoS
Доверять значениям CoS, проставленным в кадрах, которые получены через порт:
Доверять значениям CoS, если подключенное устройство Cisco IP-телефон:
Установить значение CoS для трафика полученного от хоста:
[править] Cisco AutoQoS
Для работы AutoQos с IP-телефонами Cisco должен быть включен CDP (версия 2 или выше).
При включении AutoQoS на первом интерфейсе, глобально включается QoS (mls qos).
[править] Управление ресурсами коммутатора с помощью Switching Database Manager (SDM)
[править] Полезные команды
[править] switchport host
Команда switchport host:
[править] switchport block
Запретить передавать на порт unknown unicast пакеты:
Запретить передавать на порт unknown multicast пакеты:
[править] mac address-table
Изменить время хранения адресов в таблице коммутации (по умолчанию 300 секунд):
Создать статическую запись:
Команда mac address-table static drop позволяет настроить фильтрацию по unicast MAC-адресу. После указания MAC-адреса, коммутатор будет отбрасывать трафик, в котором адрес указан в отправителе или получателе.
Коммутация. Port security
Получить достижение
Пройдите тест, чтобы получить достижение.
Уже получили 206 пользователей
Основные моменты работы коммутатора
Мы уже изучили как работает коммутатор здесь, поэтому предлагаю повторить только основные моменты и переходить к практике.
Защита портов (port security)
Port security – функция коммутатора, которая позволяет жестко обозначить MAC-адрес/-адреса, которым разрешено проходить через этот порт.
Виды “запоминания MAC-адресов”
Виды реагирования на нарушение (violation mode)
Общая информация
Packet Tracer version: 6.2.0
Рабочий файл: скачать
Тип: Теория и практика
Версия файла: 2.0
Уже получили: 206 пользователей
Получить достижение
Код активации можно получить выполнив практическое задание
Уже получили 143 пользователей
Начальные данные
В данной практической работе будет использоваться схема сети, которая представлена на рисунке ниже.
Схема сети для практической работы
Выполнение
Ваш основной инструмент при выполнении практического задания – ПК0.
Разобрать строение таблицы коммутации.
Зайдем на коммутатор SW1. Адрес: 10.23.10.101, пароль: cisco123.
Первый столбец пока нас не очень интересует, т.к. с VLAN-ами мы еще не познакомились. Второй столбец озаглавлен “Mac Address”, и под ним список MAC-адресов. Третий столбец говорит о том, как был добавлен MAC-адрес – динамически или статически (если его кто-то самостоятельно добавил в таблицу). Четвертый столбец “Порты” говорит нам, с какого порта был узнан MAC-адрес.
Таблица коммутации очень полезный инструмент, с помощью нее можно определить на каком порту находится то или иное устройство (чаще всего ноутбук или компьютер). Если вы видите много MAC-адресов на одном порту, то это может означать только одно – за этим портом находится еще один коммутатор (чаще всего так, но есть исключения).
Рисунок 3.1 Вывод команды ipconfig /all
Научиться выключать порты коммутатора.
В начале разберем название порта Fa0/5. Fa – FastEthernet (вы должны уже знать какая максимальная пропускная способность на этом порту, а если нет, читать тут), 0/5 – 0 говорит о том, что этот порт принадлежит коммутатору (можно сказать и по-другому – припаян к основной плате), если это число отлично от нуля, то порт принадлежит модулю (платы-расширения, покупаются отдельно и вставляются для увеличения кол-ва портов), число 5 это порядковый номер порта. Теперь выключаем порт.
Чтобы включить порт, надо в режиме настройки этого порта выполнить команду no shutdown (частица no отменяет последующую команду, мы еще не раз ее встретим).
Изучить как выключение порта влияет на таблицу коммутации.
Посмотрим на таблицу коммутации после выключения порта.
Как мы видим, MAC-адресов стало гораздо меньше, что было предсказуемо.
Изучить функцию Port Security.
Давайте включим порт Fa0/5 и зайдем на коммутатор SW_2. Адрес: 10.23.10.102, пароль: cisco123.На портах коммутатора SW_2 Fa0/12 и Fa0/20 находятся ПК2 и ПК3, мы будем использовать их для наших экспериментов.
Начнем с простой настройки Port Security на порту Fa0/12. По умолчанию, если мы не задали ни одного параметра, а просто включили Port Security, то выставляются настройки: максимум адресов на порту – 1, MAC-адрес – первый попавшийся, в случае нарушения – выключить порт. Ниже представлена настройка и просмотр состояния.
Теперь настроим порт Fa0/20 на определенный MAC-адрес и выставим другую политику в случае нарушения, например restrict.
Мы специально настроили в port-security фиктивный MAC-адрес, что бы посмотреть как поведет себя политика.Отличие режимов Restrict от Protect, только в логирование нарушений, Protect отбрасывает фреймы и нигде это не фиксирует. Просматривая статистику, мы можем видеть, что счетчик нарушений растет, и что последний MAC-адрес, появившийся на этом порту, отличается от того, который мы указали.
Чтобы получить достижение оставьте порт Fa0/20 в режиме Restrict и ничего не меняйте 🙂
Разберем последний пример с портом Fa0/1, на этот раз в случае нарушения порт выключится (не промахнитесь, если будете настраивать на порту Fa0/2, то отпилите сук на котором сидите).
Мы настроили на порту максимум 3 адреса, если политика нарушается, порт выключается. Так как на порту Fa0/1 больше чем три адреса, порт выключился из соображений безопасности. Вывод команды sh port interf fa0/1 показывает статус порта как Secure-shutdown или “безопасно-выключен”, а в самом конце мы можем видеть из-за какого MAC-адреса это произошло. Теперь разберемся как реанимировать такой порт.
Добавить описание к интерфейсу.
Чтобы получить достижение настройте описание так же.
Общая информация
Packet Tracer version: 6.2.0
Рабочий файл: скачать
Тип: Самостоятельная работа
Версия файла: 2.0
Уже получили: 206 пользователей
Configuring Protected Port
This module contains the following topics:
Information About Protected Ports
Protected Ports
Some applications require that no traffic be forwarded at Layer 2 between ports on the same switch so that one neighbor does not see the traffic generated by another neighbor. In such an environment, the use of protected ports ensures that there is no exchange of unicast, broadcast, or multicast traffic between these ports on the switch.
Protected ports have these features:
Because a switch stack represents a single logical switch, Layer 2 traffic is not forwarded between any protected ports in the switch stack, whether they are on the same or different switches in the stack.
Default Protected Port Configuration
The default is to have no protected ports defined.
Protected Ports Guidelines
You can configure protected ports on a physical interface (for example, Gigabit Ethernet port 1) or an EtherChannel group (for example, port-channel 5). When you enable protected ports for a port channel, it is enabled for all ports in the port-channel group.
How to Configure Protected Ports
Configuring a Protected Port
Protected ports are not pre-defined. This is the task to configure one.
1. configure terminal
2. interface interface-id
3. switchport protected
5. show interfaces interface-id switchport
6. copy running-config startup-config
DETAILED STEPS
