Span cisco: SPAN/RSPAN — Настройка — Советы по работе с Cisco

Содержание

SPAN/RSPAN — Настройка — Советы по работе с Cisco

 

В прошлой статье, я рассказывал о теоретических основах таких технологий Cisco как SPAN и RSPAN.

Сегодня же мы будем знакомиться с этими технологиями на практике.

Что нам понадобится?

Коммутатор Cisco, хост с каким-нибудь сниффером, например wireshark, чтоб мы могли посмотреть трафик, который присылается на destination port.

Настройку буду осуществлять на Cisco Catalyst 2960.

Вся настройка проходит в режиме глобальной конфигурации (conf t).

Начнем с малого, а именно с простой настройки SPAN.

Допустим, нужно получать траифк с порта f0/34 (source) на порт f0/33 (destination). Попробуем настроить 🙂

ASW(config)#monitor session 1 source interface f0/34

ASW(config)#monitor session 1 destination interface f0/33

Вот собственно и все. Самый просто вариант настройки, когда нам необходимо с какого-то порта снять и прослушать трафик.

Помните, когда вы примените настройку для destination port у вас пропадет доступ к коммутатору (так как порт будет работать только для приема зеркалированного трафика), поэтому делать это лучше непосредственно возле коммутатора, на отдельном хосте. Например, ноутбук.

Давайте попробуем запустить wireshark и посмотреть, есть ли что-то с порта source. В моем случае, на f0/34 порте «висит» ПК, с IP адресом 10.0.5.12.

Wireshark видит данные с этим IP, значит все работает как надо.

Помним, что по умолчанию, зеркалируется трафик как входящий так и исходящий на source port.

Для того, чтобы ограничить трафик, например только входящим, нужно сделать следующее:

ASW(config)#monitor session 1 source interface f0/34 rx

RX как раз и отвечает за то, что зеркалироваться будет трафик только входящий на данный интерфейс.

Если нам нужен только исходящий трафик, нужно сделать так:

ASW(config)#monitor session 1 source interface f0/34 tx

В нашем примере, зеркалируется трафик только с одного порта, но нам ничего не мешает сделать зеркалирование с двух и более, для этого просто добавляем команды с соответствующими интерфейсами:

ASW(config)#monitor session 1 source interface f0/34

ASW(config)#monitor session 1 source interface f0/35

ASW(config)#monitor session 1 destination interface f0/33

Теперь трафик с двух интерфейсов f0/34 и f0/35 будет копироваться на destination port.

Теперь давайте представим, что нужно зеркалировать транковый порт (в теоретической части мы с вами определились, что это делать можно). И хотим чтоб Layer 2  протоколы ходили, такие как CDP,DTP и другие.

Допустим транковый порт у нас g0/1. Настройка будет выглядеть следующим образом:

ASW(config)#monitor session 1 source interface g0/1 encapsulation replicate

ASW(config)#monitor session 1 destination interface f0/33

Если взглянуть на настройку, то можно увидеть только одно отличие, это присутствие нового параметра encapsulation replicate, который определяет как раз то, что мы будем видеть в трафике фреймы такие как CDP, DTP, и так далее.

Помним о том, что если настроно так как выше, и g0/1 является транком, то данные будут зеркалироваться со всех VLAN этого транка.

Для того, чтобы «вычеркнуть» не нужные нам VLAN воспользуем фильтрацией.

ASW(config)#monitor session 1 source interface g0/1 encapsulation replicate

ASW(config)#monitor session 1 filter vlan 1-5, 111

ASW(config)#monitor session 1 destination interface f0/33

Здесь мы видим дополнительную команду monitor session с параметром filter vlan. Что же он значит?

Filter vlan означает то, что указанные далее номера vlan, не будут включаться в зеркалирование трафика. Можно задавать диапазон vlan (1-5 означает 1,2,3,4,5), а можно просто через запятую перечислять номера VLAN.

Если нам необходимо использовать источник не порт а VLAN, например 5, необходимо сделать так:

ASW(config)#monitor session 1 source vlan 5

так же, через запятую можно перечислить список vlan.

С SPAN пожалуй все. Теперь разберемся с RSPAN.

Поставим себе задачу.

Есть коммутаторы, ASW1 и ASW2 и ASW. Нам необходимо на порт коммутатора f0/1 ASW, передать трафик с ASW1 Vlan 10 только входящий трафик, 20 — только исходящий и 30 оба типа трафика. И с коммутатора ASW2 необходимо зазеркалировать трафик VLAN 15, оба типа трафика.

Напомню, что для RSPAN, существует такое понятие как VLAN RSPAN (это было описано в теоретических основах SPAN/RSPAN).

Перейдем к настройке.

1. Разбираемся с ASW1.

Создаем VLAN для RSPAN

ASW1(config)#vlan 100

ASW1(config-vlan)#remote-span (указываем что vlan используется для RSPAN)

ASW1(config)#exit

Создаем сессию для мониторинга:

ASW1(config)#monitor session 1 source vlan 10 rx

ASW1(config)#monitor session 1 source vlan 20 tx

ASW1(config)#monitor session 1 source 30

ASW1(config)#monitor session 1 destination remote vlan 100

2. Разбираемся с ASW2.

Так же для начала создаем RSPAN VLAN.

ASW2(config)#vlan 100

ASW2(config-vlan)#remote-span

ASW2(config)#exit

Создаем сессию мониторинга (необязательно номер сессий должен совпадать с другими коммутаторами)

ASW2(config)#monitor session 1 source vlan 15

ASW2(config)#monitor session 1 destination remote vlan 100

3. Теперь собственно нужно настроить ASW, порт f0/1, на котором находится наш хост с wireshark (ну или для каких-то других целей, voip record, etc).

Так же необходимо создать RSPAN VLAN.

ASW(config)#vlan 100

ASW(config-vlan)#remote-span

ASW(config)#exit

Укажем source vlan (наш rspan vlan)

ASW(config)#monitor session 1 source remote vlan 100

И укажем, порт, куда «сливать» весь трафик.

ASW(config)#monitor session 1 destination interface f0/1

Вот собственно и все, наша задача выполнена.

Хочу напомнить, что нужно опасаться перегрузки интерфейса, как в нашем случае, на 100 мегабитный интерфейс может придти трафика больше чем он сможет обработать, нужно это иметь ввиду и не забывать об этом.

Последняя команда на последок, которая облегчит жизнь администратору

ASW#sh monitor session ?

<1-66>  SPAN session number

all     Show all SPAN sessions

local   Show only Local SPAN sessions

range   Show a range of SPAN sessions in the box

remote  Show only Remote SPAN sessions

ASW#

С помощью нее, можно быстро найти ошибку, которую допустили при конфигурировании, в общем рекомендую 🙂

На этом с SPAN/RSPAN пока все!

See you Later!

 

Просмотров: 10 467

SPAN — Switch Port Analyzer. RSPAN — Remote Switch Port Analyzer. Теоретические основы.

 

В многих сетевых коммутаторах есть возможность зеркалировать трафик, скажем с одного порта, на другой, или например с VLAN указанного, на порт, где находится анализатор трафика, либо какое-то ПО.
В Cisco эта технология называется SPAN — Switch Port Analyzer и RSPAN — Remote Switch Port Analyzer. Также читаем о настройке SPAN/RSPAN.

Для чего эта технология может использоваться?
Ну в первую очередь, например для того, чтоб просмотреть трафик на каком-то порту, для анализа того, что передается в сети (вдруг мы что-то забыли настроить и там рассылается то, что не нужно, ну и т.п.).
Так же может понадобиться например для записи VOIP. Берем VLAN Voice переправляем весь трафик на определенный интерфейс, ну а там ПО, записывает все разговоры.
Еще одной из причин использовать зеракалирование трафика, например для систем IPS/IDS.

Судя по примерам, достаточно приятная и полезная функция, не так ли?
Теперь более подробно поговорим об этой технологии.

Различают две технологии SPAN это сам по себе SPAN, который работает в пределах одного коммутатора, и RSPAN, который может зеркалировать и передавать трафик между коммутаторов. (Когда у нас в сети несколько коммутаторов в цепочке, нам не нужно идти к этому коммутатору, подключаться к нему, настраивать порт мониторинга и сливать трафик. Вместо этого мы настраиваем RSPAN и передаем трафик на порт удаленного коммутатора, в общем куда нам хочется 🙂 ).

Давайте рассмотрим графически топологию SPAN и RSPAN.

1. SPAN

2. RSPAN

Думаю что комментарии к этим топологиям излишни. Я уже описал все выше.

Базовые знания о SPAN и RSPAN.

Опишу тот минимум, который необходим для понимания технологии SPAN. Понимание этого позволит избежать вопросов по конфигурированию (которое будет рассмотрено немного ниже).

Для того чтоб «заставить» SPAN работать, необходимо сделать две вещи.

  1. Создать список источников, то есть откуда мы будем брать трафик для анализа или других целей. Здесь можно указывать порты (как минимум 1), или VLAN (минимум 1, можно больше).
  2. Указать куда доставлять данные с списков источников, описанных в первом пункте. То есть куда будет зеркалироваться трафик (например, порт f0/24).

Хочется отметить, что источниками трафика могут быть layer 2 порты: access port, trunk port, etherchannel; layer 3 (routed port) и так далее. Если Source указан как VLAN , то будет зеркалироваться трафик всех портов, которые включены в данный VLAN и в настоящее время активны. Можно включать или удалять из VLAN порты, и это сразу будет влиять на SPAN/RSPAN.

Что касается RSPAN, тут немного все по другому.
Source описывается так же, либо порт/порты, либо VLAN/Vlan’ы. А вот то, куда отправлять этот трафик, по другому.
Делается это на основе специального RSPAN VLAN, а не отдельный порт, как это делается в SPAN. (конкретные примеры рассмотрим ниже, когда будем настраивать все непосредственно на коммутаторах).
Порт, который сконфигурирован для приема зеркалированного трафика, не может входить в VLAN, который настроен как Source (источник трафика).

Перед тем как перейти к практике, давайте поговорим об ограничениях и некоторых условиях, связанных с SPAN/RSPAN.

Порт приемника зеркалированного трафика имеют ряд ограничений, такие как:

  • При настройке порта назначения (Destination SPAN ) его конфигурация будет перезаписана. При удалении SPAN с порта, конфигурация восстанавливается.
  • При настройке Destination SPAN порта, который находится в Etherchannel, он будет удален из него. Если порт был routed (L3), то будет переписаны настройки этого порта.
  • Destination port SPAN не поддерживает : port security, 802.1x аутентификацию, private VLAN.
  • Destination Port SPAN не поддерживает Layer 2 протоколы, такие как: CDP, Spanning Tree, VTP,DTP и другие.

Это то, что касалось ограничений, теперь давайте поговорим о условиях.

  • Источником Source SPAN/RSPAN может быть один или более портов коммутатора, или VLAN, но что-то одно, т.е. или VLAN или порт/порты.
  • Возможно до 64 SPAN Destination портов, которые могут сконфигурированы на коммутаторе.
  • Layer 2 и Layer 3 порты могут быть сконфигурированы как Source port SPAN так и Destination port SPAN.
  • Не забываем о перегрузке интерфейса, которая может произойти в случае когда суммарный трафик на source port превышает возможности порта destination.
  • В пределах одной сессии SPAN, нельзя доставить трафик до dest port SPAN из source port на локальном коммутаторе и с source RSPAN на другом коммутаторе. Это ограничение связано с тем, что нельзя смешивать порты и VLAN в SPAN технологиях (а RSPAN работает по так называемому RSPAN VLAN, это было описано выше).
  • Dest Port не может быть Source Port и наоборот.
  • Только одна сессия SPAN/RSPAN может доставлять трафик на единственный порт destination.
  • При настройке порта как destination, он перестает работать как обычный Layer 2 порт, т.е. он предназначен только для принятия зеркалированного трафика.
  • Как было отмечено выше, trunk порты так же могут использоваться как Source Port, таким образом все VLAN, которые есть в этом транке мониторятся (по умолчанию). Но можно указать конкретные VLAN которые необходимо учитывать, с помощью команды filter vlan.
  • Если мы используем VLAN как Source SPAN, то тут есть одно ограничение. Если трафик «пришел» с другого VLAN’а, то такой трафик в SPAN не попадет.

SPAN и RSPAN поддерживает два вида трафика: исходящий и входящий. По умолчанию в SPAN/RSPAN попадают оба типа. Но можно сконфигурировать устройство так, что будет мониториться только входящий, или только исходящий трафик.

По умолчанию Layer 2 фреймы, такие как CDP, spanning tree, BPDU, VTP,DTP и PagP игнорируются и не передаются на Destination Port, но можно настроить устройство так, чтоб эти фреймы передавались. Для этого необходимо использовать команду encapsulation replicate.

В этой статье мы освоили теоретическую часть. В следующей статьей будем заниматься практикой SPAN/RSPAN.

Просмотров: 4 228

Cisco. Span и Rspan

Владимир Демянович25.09.2014

Порой требуется мониторить трафик, проходящий через порт/ы коммутатора, в IOS (Операционная система CISCO) есть возможность зеркалировать трафик определенного порта или группы портов на другой порт для дальнейшего анализа трафика. Настроить мониторинг трафика очень просто, понадобится настроить Switched Port Analyzer (SPAN) на коммутаторе cisco и запустить снифер на том порту, куда дублируются пакеты.

SPAN

Для того, чтоб зеркалировать трафик с одного порта свитча на другой порт того же свитча:

Switch(config)# configure terminal — переходим в режим конфигурации
Switch(config)# monitor session 1 source interface G0/4 — указываем порт-источник
Switch(config)# monitor session 1 destination interface G0/20 — указываем порт на который дублируем
Switch(config)# end

Remote SPAN (RSPAN)

если надо зеркалировать трафик с порта одного свитча, на порт другого свитча.

Создаем VLAN :
Switch(config)# configure terminal
Switch(config)# vlan 901 — создали vlan
Switch(config-vlan)# remote span — указали что он создан для rspan
Switch(config-vlan)# end
На свитче с которого будем дублировать трафик:
Switch(config)# configure terminal
Switch(config)# monitor session 1 source interface gigabitethernet0/18
Switch(config)# monitor session 1 destination remote vlan 901 — отправляем в vlan
Switch(config)# end

На свитче где мы будем запускать снифер:
Switch(config)# monitor session 1 source remote vlan 901 — получаем из vlan’а
Switch(config)# monitor session 1 destination interface gigabitethernet0/12 — отправляем на порт
Switch(config)# end

Естественно свитчи должны быть связаны транковым портом.

Конечно можно прослушивать не только отдельные порты, но и группы, vlan’ы. Фильтровать по исходящему, входящему трафику и тд.  и тп. за более детальным описанием обращайтесь к  официальной документации

Понравилось? =) Поделись с друзьями:

Принцип работы протокола MSTP / Хабр

Сегодня поговорим об MSTP. Перед тем, как разбираться с MSTP, надо ознакомиться с протоколами STP и RSTP. MSTP является модификацией RSTP, а значит и STP. Если RSTP это тот же STP, только с более оптимизированной отправкой BPDU и в целом работы STP, то почему надо придумывать MSTP, который работает на основе RSTP? Основная фишка MSTP — это умение работать с VLAN-ми. Некоторые читатели могут сказать — «Подождите, а разве на Cisco pvst+ и rpvst+ не умеют работать с вланами?» RPVST+ и PVST+ просто запускает автономные инстанции RSTP или STP в пределе одного влана. Но тут возникают проблемы:
  • RPVST+ и PVST+ есть только на оборудовании Cisco, а на Cisco нет классического STP и RSTP. Что нам делать, если в топологии участвуют другие вендоры?
  • Каждая инстанция STP и RSTP отправляют каждые две секунды BPDU. Если на транк порте пропускаются 100 вланов, то, значит, будет 100 сообщений в 2 секунды отправляться. Что не слишком хорошо.
  • На Cisco есть ограничение в количестве инстанций STP или RSTP на одном коммутаторе в зависимости от модели. То есть добавив 128 вланов на каком-то коммутаторе, мы сталкнемся с таким ограничением. Ссылка тут

Все эти проблемы успешно решает мультивендорный протокол MSTP. Постараемся разобраться с его работой. Схема построения топологии без петель в RSTP заключается в постороении графа без пересечений вне зависимости от логической топологий, не учитывая где и как настроены вланы. В MSTP мы получаем возможность объединить определенные вланы в группу и для каждой группы построить отдельную топологию. Например, взглянем на такую топологию:

PC выполняют роль сегментов сети. PC1, PC3 — это сегмент сети, где используются вланы с 10 по 50, а PC2, PC4 -вланы с 50 по 100.

На самих коммутаторах Sw1-4 созданы вланы с 10 по 100. Если мы будем использовать протокол RSTP, то, чтобы сегментам PC1 и PC2 добраться до сегментов PC3 и PC4 соответственно, необходимо использовать один общий путь, выбрав его из двух возможных: Sw1-Sw2-Sw4 или Sw1-Sw3-Sw4. К сожалению, построить схему с распределением нагрузки не получится и один из этих путей будет заблокирован и пустовать. При помощи PVST+ и RPVST+, это получится сделать, но там свои проблемы, указанные выше. MSTP приходит нам на помощь в данном вопросе, создавая RSTP инстанции для группы вланов 10-50 и 50-100. Можно настроить, что Root коммутатором для вланов 10-50 будет Sw3, а для 50-100 — Sw2. Путь Sw1-Sw3-Sw4 будут использовать вланы 10-50, путь Sw1-Sw2-Sw4 — вланы 50-100. Идея заключается в создании инстанций, которые будут объединять в себе вланы и строить дерево RSTP отдельно для каждой инстанции. Таким образом, объединив вланы 10-50 и 51-100 в разные инстанции, протокол MSTP позволит построить независимые деревья для каждой инстанции.
Конфигурация будет выглядеть так:

spanning-tree mst configuration
name Note
instance 1 vlan 10-50
instance 2 vlan 51-100
Она будет идентична на всех 4-ех коммутаторах. Коммутаторы с идентичной конфигурацией данных параметров создают один регион. По поводу регионов будем говорить более подробно ниже, пока рассмотрим топологию в пределах одного региона. Для каждой инстанции выбирается собственный Root Bridge. На Sw3 введем команду spanning-tree mst 1 root primary для того, чтоб Sw3 был Root Bridge для вланов 10-50, а на Sw2 spanning-tree mst 2 root primary для вланов 51-100. Обобщая, каждая инстанция — multiple spanning-tree instances (MSTI)
— объединяет в себе вланы. А каждый регион объединяет в себе коммутаторы, которые имеют одинаковые MSTI. Если говорить строго, то в регионе у коммутатора должны быть одинаковые следующие параметры:
  • region name — название региона. Задается командой name.
  • revision level — параметр изменения конфигурации.
  • MSTI.

В каждом регионе есть инстанция MSTI 0 (instance 0), которая создана по умолчанию и в нее входят все вланы, которые не были включены в остальные инстанции. Instance 0 называется IST:
Internal Spanning Tree (IST) — специальная копия связующего дерева, которая, по умолчанию, существует в каждом MST-регионе. IST присвоен номер 0 (Instance 0). Она может отправлять и получать кадры BPDU и служит для управления топологией внутри региона. Все VLAN, настроенные на коммутаторах данного MST-региона, по умолчанию, привязаны к IST.
Root Bridge для IST называтся Regional Root Bridge. Именно посредством IST передаются кадры BPDU, через которые стоится дерево для каждой инстанции. Рассмотрим как выглядит BDPU в данном регионе:

До начала поля MST Extension, BPDU MSTP очень трудно отделить от BPDU RSTP и, грубо говоря, IST это есть классический RSTP. MSTP лишь добавляет данные о MSTI. В BPDU хранится информация о Root Bridge для Instance 0-2. Таким образом, для всех вланов и инстанций отправляется только один BPDU, который содержит всю необходимую информацию. Это огромная экономия по сравнению с PVST+ и RPVST+. Посмотрим вывод команды show spanning-tree mst на коммутаторе Sw2:

Для instance 0 есть специальное поле — Regional Root. Regional Root мы выбрали Sw3 при помощи команды spanning-tree mst 0 root primary. Regional Root — это корневой коммутатор для MSTI 0 в пределах одного региона. Для MSTI1 Root также Sw3, а для MSTI2 — Sw2. В плане блокирования портов и сходимости MSTP повторяет принципы RSTP на основе которого и работает, поэтому, думаю, работа MSTP в пределах одного региона довольно понятна. Рассмотрим топологию с двумя регионами:

Про Region A было сказано выше, теперь попытаемся разобраться как взаимодействую между собой регионы. В region B у коммутаторов следующая конфигурация:

spanning-tree mst configuration
name RegionB
instance 1 vlan 10-30
instance 2 vlan 31-60
При этом Sw9 — spanning-tree mst 1 root primary — корневой коммутатор для Vlan 10-30, а Sw10 — spanning-tree mst 2 root primary — корневой коммутатор для Vlan 31-60.

Построение дерева STP в Region B аналогично Region A и было описано выше. Только скажем, так как мы не задавали Root Bridge для MSTI 0 в Region B, то он будет выбран по наименьшему MAC-адресу среди Sw9-12. Наименьший MAC-адрес у Sw9. Вывод команды с Sw10:

Для MSTI 0 Regional Root 5000.0009.0000 (Sw9). Ниже будет обговорено почему именно Sw9 и почему приоритет или мак-адрес тут не причем. Сейчас нас интересует больше вопрос, что будет происходит на границе. Чтоб дерево STP строилось корректно между регионами, посредством MST0 (IST) создается общее дерево для всех регионов. Такое дерево называется CIST. Давайте введем понятие также CST. Итак, сначала вспомним IST:

  • Internal Spanning Tree (IST) – специальная копия связующего дерева, которая по умолчанию существует в каждом MST-регионе. IST присвоен номер 0 (Instance 0). IST может отправлять и получать кадры BPDU и служит для управления топологией внутри региона. По умолчанию все VLAN одного региона привязаны к IST.
    Если в регионе создано несколько MSTI, то не ассоциированные с ними VLAN остаются привязанными к IST. В наших регионах A и B строится независимое дерево STP для вланов, которые не попали в инстанции 1 и 2. Root Bridge в IST называется Regional Root.
  • Common Spanning Tree (CST) — дерево, соендиняющее между собой регионы и все коммутаторы STP, RSTP, PVST+, RPVST+ ( не MST коммутаторы) .
  • Common and Internal Spanning Tree (CIST) — единое связующее дерево, объединяющее CST и IST каждого MST-региона.

Для понимая границ каждого дерева советую следующую статью.

IST — это дерево в пределах одного региона, CIST — это дерево между регионами, CST — это дерево, объеденившее в себе и деревья внутри региона, и дерево для соединения регионов.

Так как мы ввели команду spanning-tree mst 0 root primary на Sw3, то CIST Root Bridge для обоих регионов будет Sw3. Если во всей топологии всего один регион, то Regional Root Bridge и CIST Root Bridge совпадают.

Если регионов много, то выбирается лучший Regional Root среди всех регионов. Также в выборах на роль CIST Root Bridge могут использоваться коммутаторы, которые используют протоколы отличные от MSTP. Если попытаться построить общую картину, то объяснить взаимодействие регионов можно так: Каждый регион представляется объединение некоторого количества коммутаторов и представляется другим коммутаторам как один большой виртуальный коммутатор. То есть, если рассмотреть нашу топологию глазами региона B, то для него получится такая картина:

Аналогично будет и для региона А, регион В будет представляться одним коммутатором. В каждом регионе, у каждого коммутатора есть Root Port, подключающий его к Regional Root. Также у каждого региона выбирается один Root Port для MSTI 0, который ведет к общему СIST Root Bridge. Такими портами могут быть порты Gi1/1 на Sw9 и Sw10, так как они соединяют регионы. В нашей топологии, Sw9 обладает лучшим Bridge ID, то Root Port выбирается на нем, а на Sw10 порт Gi1/1 блокируется.

На Sw9 для MSTI 0 порт Gi1/1 он является Root Port, но, например, для MSTI 1 и 2, есть Root Port для Instance Root Bridge и порт, который ведет к CIST Root Bridge, получает новую роль — Master. От отдного региона к другому может быть только один работающий

Как работают BPDUGuard и BPDUFilter

Кому-то в голову пришло, что spanning-tree можно использовать не только для построения кольцевых топологий, но и для обнаружения потенциальных петель на пользовательских портах. Возможно, тогда это казалось нормальным. Да и сейчас обладателям коммутаторов cisco и juniper настраивать spanning-tree придется в любом случае. Зато другие производители подсуетились и решили слать в пользовательские порты Loopback Detection (LBD) фреймы, но сейчас не об этом.

Условно коммутаторы можно поделить на три типа:
1. Ничего, кроме spanning-tree нет и spanning-tree на порту отключить нельзя. Это cisco.
2. Ничего, кроме spanning-tree нет, можно отключить spanning-tree глобально или на порту. Это juniper networks.
3. Можно использовать spanning-tree, можно LBD, можно отключить spanning-tree глобально или на порту. Это eltex, dlink, qtech (dcn). Про хуавей не помню, не настраивал stp на них.

Коммутаторы с отключенным глобально или на порту spanning-tree могут принимать BPDU-фреймы и передавать их дальше как обычный мультикастовый трафик с адресом назначения 01:80:C2:00:00:00. Это обязательно произойдет при передаче «нестандартных» BPDU от Cisco PVST на адрес 01:00:0C:CC:CC:CD. Был случай как-то, когда я не мог настроить MSTP между коммутаторами cisco и juniper. Оказалось, что коммутатор cisco получал через порт juniper’а помимо BPDU от MSTP еще и BPDU от Cisco PVST, которые juniper принимал на порту, где stp был отключен. Таким образом, на коммутаторах недостаточно отключить spanning-tree глобально или на порту, необходимо еще и фильтровать BPDU на адреса 01:80:C2:00:00:00 и 01:00:0C:CC:CC:CD.
На всех коммутаторах есть такой функционал «bpdufilter», но реализация у всех разная.

cisco bpdufilter и bpduguard


Bdpufilter фильтрует в обе стороны, т. е. коммутатор отбрасывает все входящие BPDU и не отправляет BPDU в порт. Логично фильтр повесить на порты, которые никак не участвуют в кольцевой топологии, с которых никогда не придет BPDU, например, на порт подключения сервера, на порт подключения маршрутизатора, на стык с провайдером. Особо странный провайдер включает на порту клиента bpduguard и отключит порт при получении bpdu от вашего коммутатора. Поэтому на операторских стыках необходимо вешать фильтр всегда.
interface GigabitEthernet1/0/1
description Server
switchport access vlan 100
switchport mode access
spanning-tree portfast edge
spanning-tree bpdufilter enable

interface GigabitEthernet1/0/2
description Router
switchport trunk encapsulation dot1q
switchport mode trunk
spanning-tree portfast edge trunk
spanning-tree bpdufilter enable

interface GigabitEthernet1/0/3
description Internet
switchport access vlan 5000
switchport mode access
spanning-tree portfast edge
spanning-tree bpdufilter enable

Чтобы при изменении топологии данные порты не проходили все возможные фазы blocking, listening, learning, а переходили сразу в forwarding, необходимо включать portfast. Да, этой дури бы не было, если можно было бы просто отключить spanning-tree на порту. Необходимо учесть, что включенный spanning-tree portfast на транковом порту работать не будет. Тут нужен spanning-tree portfast trunk или spanning-tree portfast edge trunk как в этом примере.
Очень часто видел вот такую вот конструкцию:
interface GigabitEthernet1/0/4
spanning-tree bpdufilter enable
spanning-tree bpduguard enable
В этом примере bpduguard — лишняя команда, так как она работать не будет по причине отработавшего ранее фильтра. Но так только в cisco.
Вот самый распространенный пример, когда используется bpduguard.
interface GigabitEthernet1/0/5
description User
switchport access vlan 200
switchport mode access
spanning-tree portfast edge
spanning-tree bpduguard enable
Для автоматического включения порта необходимо настроить errdisable.
errdisable recovery cause bpduguard
errdisable recovery interval 120
Нужен ли spanning-tree на порту пользователя? Нет не нужен. Но в данном примере протокол spanning-tree циской используется для того чтобы послать BPDU в порт и при получении его по какой-то причине обратно отключить порт. В случае, когда на пользовательской стороне BPDU фильтруются или потерялись, bpduguard не отработает. Увы, никакой другой альтернативы циска не предлагает, поэтому возможна такая ерундистика, когда колец нет в принципе и на всех транках настроен portfast и bpdufilter, а в сторону пользователей — bpduguard. Нормальное такое применение протокола… Круче только ситуация, когда из-за невозможности глобального отключения stp приходится настроить mstp, включить везде bpdufilter и portfast.

juniper bpdufilter и bpduguard


Я не знаю, фильтруют ли производители своими bpdufilter’ами цисковский 01:00:0C:CC:CC:CD или нет. В общем случае, рекомендуется написать фильтр с указанием двух мак-адресов и повесить по входу, например, такой:
firewall {
family inet {
filter bpdufilter {
term discard-bpdu {
from {
destination-mac-address {
01:80:c2:00:00:00/48;
01:00:0c:cc:cc:cd/48;
}
}
then {
discard;
count BPDU_FILTER;
}
}
term allow-other {
then accept;
}

}
}
}

Согласно документации, на мелких коммутаторах, кроме ex9200, можно глобально включить фильтр для портов, где spanning-tree отключен. В примере ниже для всех интерфейсов отключен spanning-tree и включена фильтрация bpdu.
ex2200> show configuration protocols mstp                
configuration-name abc;
revision-level 1;
bridge-priority 28k;
interface all {
disable;
}
msti 1 {
bridge-priority 28k;
vlan 1-4094;
}

{master:0}
ex2200> show configuration ethernet-switching-options bpdu-block
interface xstp-disabled {
drop;
}
{master:0}

Настроить bpduguard на ex2200 можно прописав пользовательские порты диапазоном, в настройках используемого протокола stp указать для созданного диапазона портов тип edge и там же включить функционал bpdu-block-on-edge. Ниже аналог цисковского конфига.
ex2200# show | compare 
[edit interfaces]
+ interface-range Users {
+ member-range ge-0/0/20 to ge-0/0/30;
+ unit 0 {
+ family ethernet-switching {
+ port-mode access;
+ vlan {
+ members 200;
+ }
+ }
+ }
+ }
[edit protocols mstp]
+ interface Users {
+ edge;
+ }
[edit protocols mstp]
+ bpdu-block-on-edge;
[edit ethernet-switching-options bpdu-block]
+ disable-timeout 120;
На juniper’е настройка spanning-tree получилась более гуманной. Там, где необходимости настраивать stp, его можно вовсе отключить, но не забыть зафильтровать возможные bpdu.

eltex bpdufilter и bpduguard


Тут все просто. Можно выключить spanning-tree глобально и все bpdu зафильтровать. Не уверен насчет цисковских только.
mes2124p(config)#no spanning-tree
mes2124p(config)#spanning-tree bpdu
filtering Specify that when spanning tree is disabled on an
interface, BPDU packets would be filtered.
flooding Specify that when spanning tree is disabled on an
interface, untagged BPDU packets would be flooded
unconditionally (Without applying VLAN rules), to all
ports with spanning tree disabled. Tagged BPDU packets
would be filtered.
mes2124p(config)#spanning-tree bpdu filtering
mes2124p(config)#exit
mes2124p#sh spanning-tree

*********************************** Process 0 ***********************************

Spanning tree disabled (BPDU filtering) mode MSTP
Default port cost method: long
Loopback guard: Disabled

Вот, собственно, что и послужило поводом к статье. Конструкция ниже заблокировала порт, так как bpduguard отрабатывает раньше, чем фильтр. Да и сам фильтр фильтрует только входящие bpdu.
mes2124p#sh run int gi1/0/23
interface gigabitethernet 1/0/23
switchport mode trunk
spanning-tree bpdu filtering
spanning-tree bpduguard enable

Cisco — что это такое, как пользоваться, что за программа и много ли значит для ИТ?

Cisco («Циско» или «Циска») — это широко известный бренд ИТ-корпорации Cisco Systems из США (в 1984-м году название образовано от сокращения Сан-Франциско), под которым во всём мире выпускаются сетевые маршрутизаторы, коммутаторы, беспроводные устройства, системы видеонаблюдения.

Много ли значит Cisco для мира информационных технологий? Да, это общепризнанный король сетевого оборудования.

Деятельность компании постоянно расширяется и охватывает всё больше новых областей ИТ-отрасли. Cisco предлагает системы безопасности, телефонию на базе Интернета, облачные системы и многие другие решения для совместной работы и корпоративных сетей. Участвует в развитии Интернета вещей (IoT), проводит образовательные программы и предлагает одну из самых востребованных многоуровневых и тщательных систем сертификации инженеров коммуникационных технологий.

Что такое «программа Cisco»?

Под «программой Cisco» обычно понимают образовательную программу, либо протоколы аутентификации.

Первое — это образовательная программа Сетевой Академии Cisco (Network Professional Program, CNPP) для подготовки к профессиональной сертификации в Ассоциации (Certified Network Associate, CCNA), которая помогает построить карьеру в коммутационном звене ИТ-отрасли.

Второе, о чём многие компьютерные пользователи часто спрашивают, это программа Cisco Module — она обнаруживается в операционной системе под протоколами EAP-FAST module, LEAP module или PEAP module. Остановимся на таких «модулях» подробнее ниже.

Cisco Module — что это?

У Cisco есть три программы, которые устанавливаются в ОС при использовании фирменного оборудования. Для их правильного использования требуется образование инженера сетевых технологий или хотя бы общее понимание их работы. Если говорить простыми словами, то программы Cisco Module созданы для защищённой аутентификации пользователя при использовании устройств компании «Циско».

  1. Cisco EAP-Fast module

    Модуль Extensible Authentication Protocol Flexible Authentication via Secure Tunneling — защищённый протокол с возможностями расширения для аутентификации при помощи безопасного туннелирования.

  2. Cisco LEAP module

    Lightweight Extensible Authentication Protocol — облегчённый протокол аутентификации с возможностью расширения.

  3. Cisco PEAP module

    Protected Extensible Authentication Protocol — защищённый протокол аутентификации с возможностью расширения.

Модули отличаются способом авторизации пользователя, но имеют общую цель — защитить систему от сетевых атак при подключении к глобальной сети.

Обычная авторизация требует ввести логин и пароль. Аутентификация — ещё и контрольную сумму файла, либо цифровую подпись, либо ввод биометрических данных (со сканера отпечатков пальцев или сенсора сетчатки глаз). Похожая схема используется в сервисах электронных кошельков, например.

В Cisco высокие требования к аутентификации инженеров, которые обслуживают оборудование компании.

Что такое Cisco Packet Tracer?

Это программное обеспечение для симуляции построения сетей на оборудовании Cisco. Является частью образовательной программы Сетевой Академии Cisco и доступно студентам бесплатно. Позволяет создавать копии сложных коммутационных систем, но всех возможностей оборудования не передаёт.

Если вам необходимо узнать, как настроить Cisco Packet Tracer, то воспользуйтесь свежими выпусками профессиональной литературы от компании или запишитесь на курсы «Циско».

Как запустить Cisco и начать пользоваться?

Обычно под запуском Cisco понимают подключение маршрутизатора и его настройку, либо установку симулятора Packet Tracer. Во всех остальных случаях запустить Cisco — это значит начать пользоваться сетевым оборудованием компании. Вам потребуются базовые знания инженера коммутационных сетей и основы работы с устройствами «Циско». Для этого воспользуйтесь учебными методичками или профессиональной литературой.

Как удалить Cisco?

Под удалением Cisco пользователи понимают деинсталляцию модулей аутентификации EAP-FAST, LEAP и PEAP в Windows. Внимание! Делать это можно только на тех системах, в которых полностью отсутствует оборудование Cisco, иначе его работа будет нарушена, а восстановить модули будет сложно.

  • Зайдите в «Пуск» и выберите «Панель управления» (в старых Windows) или «Параметры» (Windows 10).
  • Выберите «Удаление программы» (в старых Windows) или «Программы и компоненты» (Windows 10).
  • Найдите Cisco EAP-FAST module и удалите его.
  • Затем удалите два оставшихся LEAP и PEAP модуля, если они были установлены и есть в списке.
  • Если процесс удаления зависает, то отмените процедуру и обновите драйвер на сетевую карту.
  • Повторите процедуру удаления.

 

Компания ZEL-Услуги

Если вы не хотите разбираться в тонкостях работы оборудования Cisco, то обратитесь в компанию ИТ-аутсорсинга для дальнейшей экспертной поддержки и консультации по этой теме и любым другим техническим вопросам.

Пример конфигурации анализатора коммутируемых портов (SPAN)

Catalyst

Введение

В этом документе описываются недавно реализованные функции анализатора коммутируемых портов (SPAN). Функция SPAN, которую иногда называют зеркалированием портов или мониторингом портов, выбирает сетевой трафик для анализа с помощью сетевого анализатора. Анализатором сети может быть устройство Cisco SwitchProbe или другой зонд удаленного мониторинга (RMON). Ранее SPAN был относительно базовой функцией коммутаторов серии Cisco Catalyst.Однако в последних выпусках Catalyst OS (CatOS) были внесены большие улучшения и множество новых возможностей, которые теперь доступны пользователю. Этот документ не предназначен для использования в качестве альтернативного руководства по настройке функции SPAN. Этот документ отвечает на наиболее распространенные вопросы о SPAN, например:

  • Что такое SPAN и как его настроить?

  • Какие различные функции доступны (особенно несколько одновременных сеансов SPAN) и какой уровень программного обеспечения необходим для их запуска?

  • Влияет ли SPAN на производительность коммутатора?

Предварительные требования

Коммутаторы Catalyst

, поддерживающие SPAN, RSPAN и ERSPAN

Коммутаторы Catalyst Поддержка SPAN Поддержка RSPAN Поддержка ERSPAN
Catalyst Express серии 500/520 Есть Нет Нет
Catalyst 6500/6000 серии Есть Есть Да Supervisor 2T с PFC4, Supervisor 720 с PFC3B или PFC3BXL под управлением программного обеспечения Cisco IOS версии 12.2 (18) SXE или новее. Supervisor 720 с PFC3A с аппаратной версией 3.2 или более поздней версии и под управлением программного обеспечения Cisco IOS версии 12.2 (18) SXE или более поздней версии
Catalyst серии 5500/5000 Есть Нет Нет
Catalyst серии 4900 Есть Есть Нет
Catalyst серии 4500/4000 (включая 4912G) Есть Есть Нет
Catalyst 3750 Metro серии Есть Есть Нет
Catalyst 3750 / 3750E / 3750X серии Есть Есть Нет
Catalyst серии 3560 / 3560E / 3650X Есть Есть Нет
Catalyst серии 3550 Есть Есть Нет
Catalyst серии 3500 XL Есть Нет Нет
Catalyst 2970 серии Есть Есть Нет
Catalyst 2960 серии Есть Есть Нет
Catalyst 2955 серии Есть Есть Нет
Catalyst 2950 серии Есть Есть Нет
Catalyst 2940 серии Есть Нет Нет
Катализатор 2948G-L3 Нет Нет Нет
Catalyst 2948G-L2, 2948G-GE-TX, 2980G-A Есть Есть Нет
Catalyst 2900XL серии Есть Нет Нет
Catalyst серии 1900 Есть Нет Нет

Требования

Для этого документа нет особых требований.

Используемые компоненты

В этой информации в этом документе CatOS 5.5 используется в качестве справочной информации для коммутаторов Catalyst серий 4500/4000, 5500/5000 и 6500/6000. На коммутаторах серии Catalyst 2900XL / 3500XL используется программное обеспечение Cisco IOS ® версии 12.0 (5) XU. Несмотря на то, что этот документ обновлен, чтобы отразить изменения в SPAN, см. Примечания к выпуску документации вашей платформы коммутатора, чтобы узнать о последних разработках, касающихся функции SPAN.

Информация в этом документе была создана на устройствах в определенной лабораторной среде.Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть активна, убедитесь, что вы понимаете потенциальное влияние любой команды.

Справочная информация

Краткое описание SPAN

Что такое SPAN и зачем он нужен? Функция SPAN была введена на коммутаторах из-за фундаментального отличия коммутаторов от концентраторов. Когда концентратор получает пакет на один порт, он отправляет копию этого пакета на все порты, кроме того, на котором концентратор получил пакет.После загрузки коммутатор начинает формировать таблицу пересылки уровня 2 на основе MAC-адреса источника различных пакетов, которые получает коммутатор. После создания этой таблицы пересылки коммутатор направляет трафик, предназначенный для MAC-адреса, непосредственно на соответствующий порт.

Например, если вы хотите перехватить трафик Ethernet, который отправляется хостом A на хост B, и оба они подключены к концентратору, просто присоедините сниффер к этому концентратору. Все остальные порты видят трафик между хостами A и B:

На коммутаторе после изучения MAC-адреса хоста B одноадресный трафик от A к B пересылается только на порт B.Следовательно сниффер не видит этот трафик:

В этой конфигурации сниффер перехватывает только трафик, который лавинно передается на все порты, например:

Одноадресная лавинная рассылка происходит, когда коммутатор не имеет MAC-адрес назначения в его таблице адресуемой памяти (CAM). Коммутатор не знает, куда направить трафик. Коммутатор рассылает пакеты по всем портам целевой VLAN.

Необходима дополнительная функция, которая искусственно копирует одноадресные пакеты, которые хост A отправляет на порт сниффера:

На этой схеме сниффер подключен к порту, который настроен на получение копии каждого пакета, отправляемого хостом A.Этот порт называется SPAN-портом. В других разделах этого документа описывается, как очень точно настроить эту функцию, чтобы делать больше, чем просто контролировать порт.

Терминология SPAN

  • Входящий трафик — трафик, входящий в коммутатор.

  • Исходящий трафик — трафик, покидающий коммутатор.

  • Порт источника (SPAN) — порт, который отслеживается с помощью функции SPAN.

  • Source (SPAN) VLAN — VLAN, трафик которой отслеживается с использованием функции SPAN.

  • Порт назначения (SPAN) — порт, который контролирует исходные порты, обычно к которому подключен сетевой анализатор.

  • Порт отражателя — порт, который копирует пакеты в RSPAN VLAN.

  • Порт монитора — порт монитора также является портом назначения SPAN в терминологии Catalyst 2900XL / 3500XL / 2950.

  • Local SPAN — Функция SPAN является локальной, если все отслеживаемые порты расположены на том же коммутаторе, что и порт назначения. Эта функция отличается от Remote SPAN (RSPAN), который также определяется этим списком.

  • Remote SPAN (RSPAN) — Некоторые исходные порты не расположены на том же коммутаторе, что и порт назначения. RSPAN — это расширенная функция, которая требует специальной VLAN для передачи трафика, который отслеживается SPAN между коммутаторами.RSPAN поддерживается не всеми коммутаторами. Проверьте соответствующие примечания к выпуску или руководство по настройке, чтобы узнать, можно ли использовать RSPAN на развертываемом коммутаторе.

  • SPAN на основе портов (PSPAN) — пользователь указывает один или несколько исходных портов на коммутаторе и один порт назначения.

  • SPAN на основе VLAN (VSPAN) —На конкретном коммутаторе пользователь может выбрать мониторинг всех портов, принадлежащих определенной VLAN, с помощью одной команды.

  • ESPAN —Это означает расширенную версию SPAN. Этот термин использовался несколько раз во время развития SPAN для обозначения дополнительных функций. Поэтому термин не очень понятен. В этом документе этот термин не используется.

  • Административный источник — список исходных портов или VLAN, которые были настроены для отслеживания.

  • Рабочий источник — список портов, которые эффективно отслеживаются.Этот список портов может отличаться от административного источника. Например, порт, который находится в режиме выключения, может отображаться в административном источнике, но не отслеживается эффективно.

Характеристики порта источника

Исходный порт, также называемый отслеживаемым портом, представляет собой коммутируемый или маршрутизируемый порт, который вы отслеживаете для анализа сетевого трафика. В одном локальном сеансе SPAN или исходном сеансе RSPAN вы можете отслеживать трафик порта источника, например полученный (Rx), переданный (Tx) или двунаправленный (оба).Коммутатор поддерживает любое количество исходных портов (до максимального количества доступных портов на коммутаторе) и любое количество исходных VLAN.

Исходный порт имеет следующие характеристики:

  • Это может быть любой тип порта, например EtherChannel, Fast Ethernet, Gigabit Ethernet и т. Д.

  • Его можно отслеживать в нескольких сеансах SPAN.

  • Это не может быть порт назначения.

  • Для каждого порта источника можно настроить направление (входящий, выходной или оба) для отслеживания.Для источников EtherChannel контролируемое направление применяется ко всем физическим портам в группе.

  • Исходные порты могут находиться в одной или разных VLAN.

  • Для источников SPAN VLAN все активные порты в исходной VLAN включены как исходные порты.

Фильтрация VLAN

Когда вы отслеживаете магистральный порт как порт-источник, по умолчанию отслеживаются все VLAN, активные на магистрали. Вы можете использовать фильтрацию VLAN, чтобы ограничить мониторинг SPAN-трафика на исходных портах магистрали определенными VLAN.

  • Фильтрация VLAN применяется только к магистральным портам или к голосовым портам VLAN.

  • Фильтрация VLAN применяется только к сеансам на основе портов и не разрешена в сеансах с источниками VLAN.

  • Если указан список фильтров VLAN, только те VLAN в списке отслеживаются на магистральных портах или портах доступа голосовой VLAN.

  • На трафик

    SPAN, поступающий из других типов портов, фильтрация VLAN не влияет, что означает, что все VLAN разрешены на других портах.

  • Фильтрация VLAN влияет только на трафик, пересылаемый на порт назначения SPAN, и не влияет на коммутацию обычного трафика.

  • Вы не можете смешивать исходные VLAN и фильтровать VLAN в рамках сеанса. Вы можете иметь исходные VLAN или фильтровать VLAN, но не то и другое одновременно.

Характеристики исходной VLAN

VSPAN — это мониторинг сетевого трафика в одной или нескольких VLAN. Интерфейс источника SPAN или RSPAN в VSPAN является идентификатором VLAN, и трафик отслеживается на всех портах для этой VLAN.

VSPAN имеет следующие характеристики:

  • Все активные порты в исходной VLAN включены как исходные порты и могут контролироваться в одном или обоих направлениях.

  • На заданном порте на порт назначения отправляется только трафик из контролируемой VLAN.

  • Если порт назначения принадлежит исходной VLAN, он исключается из списка источников и не отслеживается.

  • Если порты добавляются в исходные VLAN или удаляются из них, трафик исходной VLAN, полученный этими портами, добавляется или удаляется из источников, которые отслеживаются.

  • Нельзя использовать фильтрующие VLAN в одном сеансе с источниками VLAN.

  • Вы можете контролировать только сети Ethernet VLAN.

Характеристики порта назначения

Каждый локальный сеанс SPAN или сеанс назначения RSPAN должен иметь порт назначения (также называемый портом мониторинга), который получает копию трафика от исходных портов и VLAN.

Порт назначения имеет следующие характеристики:

  • Порт назначения должен находиться на том же коммутаторе, что и порт источника (для локального сеанса SPAN).

  • Порт назначения может быть любым физическим портом Ethernet.

  • Порт назначения может участвовать только в одном сеансе SPAN одновременно. Порт назначения в одном сеансе SPAN не может быть портом назначения для второго сеанса SPAN.

  • Порт назначения не может быть портом источника.

  • Порт назначения не может быть группой EtherChannel.

    Примечание : из программного обеспечения Cisco IOS версии 12.2 (33) SXH и более поздних версий, интерфейс PortChannel может быть портом назначения. Целевые каналы EtherChannel не поддерживают протоколы EtherChannel протокола управления агрегированием портов (PAgP) или протокола управления агрегированием каналов (LACP); поддерживается только режим включения, при этом вся поддержка протокола EtherChannel отключена.

    Примечание : Дополнительные сведения см. В разделах Местные назначения SPAN, RSPAN и ERSPAN.

  • Порт назначения может быть физическим портом, который назначен группе EtherChannel, даже если группа EtherChannel была указана как источник SPAN.Порт удаляется из группы, пока он настроен как порт назначения SPAN.

  • Порт не передает никакого трафика, кроме трафика, необходимого для сеанса SPAN, если не включено обучение. Если обучение включено, порт также передает трафик, направленный на узлы, которые были изучены на порту назначения.

    Примечание : Дополнительные сведения см. В разделах Местные назначения SPAN, RSPAN и ERSPAN.

  • Состояние порта назначения повышено / понижено по конструкции.Интерфейс показывает порт в этом состоянии, чтобы было очевидно, что порт в настоящее время не может использоваться в качестве производственного порта.

  • Если для устройства сетевой безопасности включена переадресация входящего трафика. Порт назначения пересылает трафик на уровень 2.

  • Порт назначения не участвует в связующем дереве, пока сеанс SPAN активен.

  • Когда это порт назначения, он не участвует ни в одном из протоколов уровня 2 (STP, VTP, CDP, DTP, PagP).

  • Порт назначения, который принадлежит исходной VLAN любого сеанса SPAN, исключается из исходного списка и не отслеживается.

  • Порт назначения получает копии отправленного и полученного трафика для всех отслеживаемых исходных портов. Если порт назначения переподписан, он может стать перегруженным. Эта перегрузка может повлиять на пересылку трафика на одном или нескольких исходных портах.

Характеристики порта отражателя

Порт отражателя — это механизм, который копирует пакеты в RSPAN VLAN.Порт отражателя пересылает только трафик из исходного сеанса RSPAN, с которым он связан. Любое устройство, подключенное к порту, установленному в качестве порта отражателя, теряет возможность подключения до тех пор, пока исходный сеанс RSPAN не будет отключен.

Порт рефлектора имеет следующие характеристики:

  • Это порт, настроенный на возвратную петлю.

  • Это не может быть группа EtherChannel, она не является транковой и не может выполнять фильтрацию протокола.

  • Это может быть физический порт, который назначен группе EtherChannel, даже если группа EtherChannel указана как источник SPAN.Порт удаляется из группы, пока он настроен как порт отражателя.

  • Порт, используемый в качестве порта отражателя, не может быть портом источника или назначения SPAN, а также порт не может быть портом отражателя для более чем одного сеанса одновременно.

  • Он невидим для всех VLAN.

  • Собственная VLAN для кольцевого трафика на порте отражателя — это RSPAN VLAN.

  • Порт рефлектора возвращает немаркированный трафик обратно к коммутатору.Затем трафик помещается в RSPAN VLAN и направляется на все магистральные порты, которые передают RSPAN VLAN.

  • Связующее дерево автоматически отключается на порте отражателя.

  • Порт отражателя принимает копии отправленного и полученного трафика для всех отслеживаемых исходных портов.

SPAN на Catalyst Express 500/520

Catalyst Express 500 или Catalyst Express 520 поддерживает только функцию SPAN. Порты Catalyst Express 500/520 можно настроить для SPAN только с помощью Cisco Network Assistant (CNA).Выполните следующие шаги, чтобы настроить SPAN:

  1. Загрузите и установите CNA на ПК.

    Вы можете загрузить CNA со страницы загрузки программного обеспечения (только для зарегистрированных клиентов).

  2. Выполните действия, указанные в Руководстве по началу работы для коммутаторов Catalyst Express 500 12.2 (25) FY, чтобы настроить параметры коммутатора для Catalyst Express 500. См. Руководство по началу работы для коммутаторов Catalyst Express 520 для получения дополнительной информации о Catalyst Express 520
  3. Используйте CNA для входа в коммутатор и щелкните Smartport .

  4. Щелкните любой интерфейс, к которому вы планируете подключить ПК, чтобы захватить следы анализатора.
  5. Нажмите Изменить .

    Появится небольшое всплывающее окно.

  6. Выберите роль Диагностика для порта.
  7. Выберите исходный порт и выберите VLAN, мониторинг которой вы планируете.

    Если выбрать «Нет», порт принимает только трафик. Входящая VLAN позволяет ПК, подключенному к порту диагностики, отправлять пакеты в сеть, которая использует эту VLAN.

  8. Нажмите OK , чтобы закрыть всплывающее окно.
  9. Нажмите OK , а затем Примените настройки.
  10. Вы можете использовать любое программное обеспечение Sniffer для отслеживания трафика после настройки диагностического порта.

SPAN на коммутаторах Catalyst 2900XL / 3500XL

Доступные функции и ограничения

Функция мониторинга портов на Catalyst 2900XL / 3500XL не очень обширна.Таким образом, эту особенность относительно легко понять.

Вы можете создать сколько угодно локальных сеансов PSPAN. Например, вы можете создавать сеансы PSPAN на порту конфигурации, который вы выбрали в качестве порта назначения SPAN. В этом случае выполните команду port monitor interface , чтобы вывести список исходных портов, которые вы хотите отслеживать. Порт монитора — это порт назначения SPAN в терминологии Catalyst 2900XL / 3500XL.

  • Основное ограничение заключается в том, что все порты, относящиеся к определенному сеансу (будь то источник или пункт назначения), должны принадлежать одной и той же VLAN.

  • Если вы настроили интерфейс VLAN с IP-адресом, то команда port monitor отслеживает трафик, предназначенный только для этого IP-адреса. Он также отслеживает широковещательный трафик, получаемый интерфейсом VLAN. Однако он не захватывает трафик, который течет в самой VLAN. Если вы не укажете какой-либо интерфейс в команде port monitor , будут отслеживаться все остальные порты, которые принадлежат той же VLAN, что и интерфейс.

Этот список содержит некоторые ограничения.См. Справочное руководство по командам (Catalyst 2900XL / 3500XL) для получения дополнительной информации.

Примечание : Порты ATM — единственные порты, которые не могут быть портами мониторинга. Однако вы можете контролировать порты ATM. Ограничения в этом списке применяются к портам, которые имеют возможность мониторинга портов.

  • Порт монитора не может быть в группе портов Fast EtherChannel или Gigabit EtherChannel.

  • Порт монитора не может быть включен для защиты порта.

  • Порт монитора не может быть портом для нескольких VLAN.

  • Порт монитора должен быть членом той же VLAN, что и порт, который отслеживается. Изменения членства в VLAN запрещены для контролируемых портов и портов.

  • Порт монитора не может быть портом динамического доступа или магистральным портом. Однако порт статического доступа может контролировать сеть VLAN в магистрали, мульти-VLAN или порт динамического доступа. Отслеживаемая VLAN связана с портом статического доступа.

  • Мониторинг порта не работает, если и порт монитора, и порт, который отслеживается, являются защищенными портами.

Будьте осторожны, чтобы порт в состоянии монитора не запускал протокол связующего дерева (STP), в то время как порт по-прежнему принадлежит к VLAN портов, которые он зеркалирует. Монитор порта может быть частью петли, если, например, вы подключаете его к концентратору или мосту, а петлю — к другой части сети. В этом случае вы можете попасть в катастрофическое состояние петли моста, потому что STP больше не защищает вас. Посмотрите, почему сеанс SPAN создает мостовую петлю? раздел этого документа для примера того, как это условие может произойти.

Пример конфигурации

В этом примере создаются два одновременных сеанса SPAN.

  • Port Fast Ethernet 0/1 (Fa0 / 1) отслеживает трафик, который порты Fa0 / 2 и Fa0 / 5 отправляют и принимают. Порт Fa0 / 1 также отслеживает трафик к интерфейсу управления VLAN 1 и от него.

  • Порт Fa0 / 4 контролирует порты Fa0 / 3 и Fa0 / 6.

Порты Fa0 / 3, Fa0 / 4 и Fa0 / 6 все настроены в VLAN 2. Остальные порты и интерфейс управления настроены в VLAN 1 по умолчанию.

Схема сети

Пример конфигурации на Catalyst 2900XL / 3500XL
2900XL / 3500XL SPAN Пример конфигурации
 ! --- Выходной сигнал подавлен. 
!
интерфейс FastEthernet0 / 1
монитор порта FastEthernet0 / 2
порт монитор FastEthernet0 / 5
монитор порта VLAN1
!
интерфейс FastEthernet0 / 2
!
интерфейс FastEthernet0 / 3
switchport access vlan 2
!
интерфейс FastEthernet0 / 4
монитор порта FastEthernet0 / 3
порт монитор FastEthernet0 / 6
switchport access vlan 2
!
интерфейс FastEthernet0 / 5
!
интерфейс FastEthernet0 / 6
switchport access vlan 2
!
! --- Выходной сигнал подавлен.
!
интерфейс VLAN1
IP-адрес 10.200.8.136 255.255.252.0
без IP-направленной широковещательной передачи
без IP-маршрутизации-кеша
!
! --- Выходной сигнал подавлен.
Шаги настройки Объяснение

Для настройки порта Fa0 / 1 в качестве порта назначения, исходных портов Fa0 / 2 и Fa0 / 5 и интерфейса управления (VLAN 1) выберите интерфейс Fa0 / 1 в режиме конфигурации:

 Коммутатор (конфигурация) #  интерфейс fastethernet 0/1 
 

Введите список контролируемых портов:

 Switch (config-if) #  port monitor fastethernet 0/2  
Switch (config-if) # port monitor fastethernet 0/5

С помощью этой команды каждый пакет, который эти два порта принимают или передают, также копируется в порт Fa0 / 1.Выполните вариант команды port monitor , чтобы настроить мониторинг для административного интерфейса:

 Коммутатор (config-if) #  порт монитор vlan 1 
 

Примечание : Эта команда не означает, что порт Fa0 / 1 контролирует всю сеть VLAN 1. Ключевое слово vlan 1 просто относится к административному интерфейсу коммутатора.

В этом примере команды показано, что мониторинг порта в другой VLAN невозможен:

 Коммутатор (config-if) #  монитор порта fastethernet 0/3  
FastEthernet0 / 1 и FastEthernet0 / 3 находятся в разных vlan

Чтобы завершить настройку, настройте другой сеанс.Z

Выполните команду show running или используйте команду show port monitor для проверки конфигурации:

 Коммутатор №  показать монитор порта  
Монитор порта Порт отслеживаемого порта
--------------------- -------------- -------
FastEthernet0/1 VLAN1
FastEthernet0/1 FastEthernet0/2
FastEthernet0/1 FastEthernet0/5
FastEthernet0/4 FastEthernet0/3
FastEthernet0/4 FastEthernet0/6

Примечание : Catalyst 2900XL и 3500XL не поддерживают SPAN только в направлении Rx (Rx SPAN или входящий SPAN) или только в направлении Tx (Tx SPAN или исходящий SPAN).Все порты SPAN предназначены для захвата как Rx, так и Tx трафика.

SPAN на Catalyst 2948G-L3 и 4908G-L3

Catalyst 2948G-L3 и Catalyst 4908G-L3 — это коммутаторы-маршрутизаторы с фиксированной конфигурацией или коммутаторы уровня 3. Функция SPAN на коммутаторе уровня 3 называется отслеживанием портов. Однако на этих коммутаторах отслеживание портов не поддерживается. См. Раздел «Не поддерживаемые функции » в документе «Примечания к выпуску для Catalyst 2948G-L3 и Catalyst 4908G-L3 для Cisco IOS версии 12».0 (10) W5 (18г).

SPAN на Catalyst 8500

Очень простая функция SPAN доступна на Catalyst 8540 под названием Port Snooping. Дополнительную информацию см. В текущей документации Catalyst 8540.

Отслеживание портов позволяет прозрачно зеркалировать трафик с одного или нескольких исходных портов на порт назначения ».

Введите команду snoop , чтобы настроить зеркалирование трафика на основе порта или отслеживание. Выполните форму no этой команды, чтобы отключить отслеживание:

  snoop interface source_port direction snoop_direction   

no snoop interface source_port

Переменная source_port относится к отслеживаемому порту.Переменная , snoop_direction, , — это направление трафика на исходный порт или порты, которые отслеживаются: принимает , передает или оба .

 8500CSR #  настроить терминал  
8500CSR (config) # interface fastethernet 12/0/15
8500CSR (config-if) # shutdown
8500CSR (config-if) # snoop interface fastethernet 0/0/1 направление оба
8500CSR (config-if) # без отключения

В этом примере показан вывод команды show snoop :

 8500CSR #  show snoop  
Snoop Test Port Name: FastEthernet1 / 0/4 (статус интерфейса = SNOOPING)
Опция Snoop: (настроено = включено) (фактическое = включено)
Направление отслеживания: (настроено = получение) (фактическое = прием)
Имя контролируемого порта:
(настроено = FastEthernet1 / 0/3) (фактическое = FastEthernet1 / 0/3)

Примечание : Эта команда не поддерживается на портах Ethernet в Catalyst 8540 при запуске образа мультисервисного коммутатора ATM-маршрутизатора (MSR), такого как 8540m-in-mz.Вместо этого необходимо использовать образ коммутатора-маршрутизатора кампуса (CSR), например 8540c-in-mz.

SPAN на коммутаторах Catalyst серий 2900, 4500/4000, 5500/5000 и 6500/6000, работающих под управлением CatOS

Этот раздел применим только к следующим коммутаторам Cisco Catalyst серии 2900:

  • Коммутатор Cisco Catalyst 2948G-L2

  • Коммутатор Cisco Catalyst 2948G-GE-TX

  • Коммутатор Cisco Catalyst 2980G-A

Этот раздел применим к коммутаторам Cisco Catalyst серии 4000, которые включают:

локальный диапазон

Функции

SPAN были добавлены одна за другой в CatOS, а конфигурация SPAN состоит из одной команды set span .Теперь для команды доступен широкий спектр опций:

 переключатель (включить)  установить диапазон  
Использование: установить диапазон отключить [dest_mod / dest_port | all]
установить диапазон
[rx | tx | оба]
[inpkts ]
[обучение ]
[multicast ]
[filter ]
[create]

Эта сетевая диаграмма представляет различные возможности SPAN с использованием вариантов:

На этой схеме представлена ​​часть одинарной линейной карты, которая расположена в слоте 6 коммутатора Catalyst 6500/6000.В этом сценарии:

  • Порты 6/1 и 6/2 принадлежат VLAN 1

  • Порт 6/3 принадлежит VLAN 2

  • Порты 6/4 и 6/5 принадлежат VLAN 3

Подключите сниффер к порту 6/2 и используйте его в качестве порта монитора в нескольких различных случаях.

PSPAN, VSPAN: мониторинг некоторых портов или всей VLAN

Выполните простейшую форму команды set span для мониторинга одного порта. Синтаксис: set span source_port destination_port .

Монитор одного порта с SPAN

 переключатель (включить)  установить диапазон 6/1 6/2  

Назначение: порт 6/2
Источник администратора: порт 6/1
Источник операции: порт 6/1
Направление: передача / прием
Входящие пакеты: отключено
Обучение: включено
Multicast: включено
Фильтр: -
Состояние: активен
переключатель (включен) 2000 сен 05 07:04:14% SYS-5-SPAN_CFGSTATECHG: локальный интервал
сеанс активен для порта назначения 6/2

В этой конфигурации каждый пакет, полученный или отправленный через порт 6/1, копируется на порт 6/2.Ясное описание этого появляется при входе в конфигурацию. Выполните команду show span , чтобы получить сводку текущей конфигурации SPAN:

 переключатель (включить)  show span  
Назначение: Порт 6/2
Источник администратора: Порт 6/1
Источник операций: Порт 6/1
Направление: передача / получение
Входящие пакеты: отключено
Обучение: включено
Многоадресная передача: включен
Фильтр: -
Статус: активен

Общее количество сеансов локального диапазона: 1

Монитор нескольких портов с SPAN

Команда set span source_ports destination_port позволяет пользователю указать более одного порта источника.Просто перечислите все порты, на которых вы хотите реализовать SPAN, и разделите порты запятыми. Интерпретатор командной строки также позволяет использовать дефис для указания диапазона портов. Этот пример иллюстрирует эту возможность указать более одного порта. В примере используется SPAN для порта 6/1 и диапазон из трех портов от 6/3 до 6/5:

.

Примечание : может быть только один порт назначения. Всегда указывайте порт назначения после источника SPAN.

 переключатель (включить)  установить диапазон 6 / 1,6 / 3-5 6/2  

2000 сен 05 07:17:36% SYS-5-SPAN_CFGSTATECHG: сеанс локального диапазона неактивен
для порта назначения 6/2
Назначение : Порт 6/2
Источник администратора: Порт 6 / 1,6 / 3-5
Источник операций: Порт 6 / 1,6 / 3-5
Направление: передача / прием
Входящие пакеты: отключены
Обучение: включено
Многоадресная передача : включен
Фильтр: -
Состояние: активен переключатель
(включен) 2000 сен 05 07:17:36% SYS-5-SPAN_CFGSTATECHG: локальный интервал
сеанс активен для порта назначения 6/2

Примечание : В отличие от коммутаторов Catalyst 2900XL / 3500XL, Catalyst 4500/4000, 5500/5000 и 6500/6000 могут контролировать порты, принадлежащие нескольким различным VLAN с версиями CatOS, предшествующими 5.1. Здесь зеркальные порты назначаются VLAN 1, 2 и 3.

Мониторинг VLAN с помощью SPAN

В конце концов, команда set span позволяет настроить порт для мониторинга локального трафика для всей VLAN. Команда: set span source_vlan (s) destination_port .

Использовать список из одной или нескольких VLAN в качестве источника вместо списка портов:

 переключатель (включить)  установить диапазон 2,3 6/2  
2000 сен 05 07:40:10% SYS-5-SPAN_CFGSTATECHG: сеанс локального диапазона неактивен
для порта назначения 6/2
Назначение: порт 6/2
Источник администратора: VLAN 2-3
Источник операций: Порт 6 / 3-5,15 / 1
Направление: передача / прием
Входящие пакеты: отключены
Обучение: включено
Многоадресная передача: включена
Фильтр: -
Состояние: активен коммутатор
(включить) 5 сентября 2000 г. 07:40:10% SYS-5-SPAN_CFGSTATECHG: сеанс локального диапазона
активен для порта назначения 6/2

В этой конфигурации каждый пакет, который входит или покидает VLAN 2 или 3, дублируется на порт 6/2.

Примечание : Результат точно такой же, как если бы вы реализовали SPAN индивидуально на всех портах, которые принадлежат VLAN, указанным командой. Сравните поле «Источник операции» и поле «Источник администратора». В поле Admin Source в основном перечислены все порты, которые вы настроили для сеанса SPAN, а в поле Oper Source перечислены порты, которые используют SPAN.

SPAN на входе / выходе

В примере в разделе «Мониторинг виртуальных локальных сетей с SPAN» отслеживается трафик, который входит и покидает указанные порты.Это показано в поле Направление: передача / прием. Коммутаторы Catalyst серий 4500/4000, 5500/5000 и 6500/6000 позволяют собирать только исходящий (исходящий) или только входящий (входящий) трафик на конкретный порт. Добавьте ключевое слово rx (получение) или tx (передача) в конец команды. Значение по умолчанию — и (tx и rx).

  установить диапазон исходный_порт целевой_порт [rx | tx | оба] 
 

В этом примере сеанс захватывает весь входящий трафик для сетей VLAN 1 и 3 и зеркалирует трафик на порт 6/2:

 переключатель (включить)  установить диапазон 1,3 6/2 rx  
2000 сен 05 08:09:06% SYS-5-SPAN_CFGSTATECHG: сеанс локального диапазона
неактивен для порта назначения 6/2
Назначение: порт 6/2
Admin Source: VLAN 1,3
Oper Source: Port 1 / 1,6 / 1,6 / 4-5,15 / 1
Направление: получение
Входящие пакеты: отключено
Обучение: включено
Multicast: включено
Фильтр: -
Статус: активен переключатель
(включен) 2000 сен 05 08:09:06% SYS-5-SPAN_CFGSTATECHG: локальный интервал
сеанс активен для порта назначения 6/2
SPAN агрегата на магистрали
Магистрали

— это особый случай коммутатора, поскольку они представляют собой порты, по которым передаются несколько сетей VLAN.Если транк выбран в качестве исходного порта, отслеживается трафик для всех VLAN на этом транке.

Мониторинг подмножества VLAN, принадлежащих магистрали

На этой схеме порт 6/5 теперь является магистралью, по которой проходят все сети VLAN. Представьте, что вы хотите использовать SPAN для трафика в VLAN 2 для портов 6/4 и 6/5. Просто введите эту команду:

 переключатель (включение)  установка диапазона 6 / 4-5 6/2 
 

В этом случае трафик, полученный через порт SPAN, представляет собой смесь необходимого трафика и всех VLAN, которые передаются по магистрали 6/5.Например, нет способа отличить порт назначения от того, приходит ли пакет из порта 6/4 в VLAN 2 или порта 6/5 в VLAN 1. Другая возможность — использовать SPAN во всей VLAN 2:

 переключатель (включение)  установка диапазона 2 6/2 
 

По крайней мере, с этой конфигурацией вы отслеживаете только трафик, принадлежащий VLAN 2, из магистрали. Проблема в том, что теперь вы также получаете трафик, который вам не нужен, с порта 6/3. CatOS включает другое ключевое слово, которое позволяет вам выбрать некоторые VLAN для мониторинга из магистрали:

 переключатель (включить)  установить диапазон 6 / 4-5 6/2 фильтр 2  
2000 сен 06 02:31:51% SYS-5-SPAN_CFGSTATECHG: локальный сеанс диапазона неактивен
для порта назначения 6/2
Назначение: порт 6/2
Admin Source: Порт 6 / 4-5
Oper Source: Port 6 / 4-5
Направление: передача / получение
Входящие пакеты: отключено
Обучение: включено
Multicast: включено
Фильтр: 2
Статус: активен

Эта команда достигает цели, поскольку вы выбираете VLAN 2 для всех отслеживаемых соединительных линий.С помощью этой опции фильтра вы можете указать несколько VLAN.

Примечание : этот вариант фильтра поддерживается только на коммутаторах Catalyst 4500/4000 и Catalyst 6500/6000. Catalyst 5500/5000 не поддерживает параметр фильтра, который доступен с командой set span .

Транкинг на порте назначения

Если у вас есть исходные порты, которые принадлежат нескольким разным VLAN, или если вы используете SPAN в нескольких VLAN на магистральном порте, вы можете определить, к какой VLAN принадлежит пакет, который вы получаете на порт назначения SPAN.Эта идентификация возможна, если вы включите транкинг на порте назначения перед настройкой порта для SPAN. Таким образом, все пакеты, которые пересылаются снифферу, также помечаются соответствующими идентификаторами VLAN.

Примечание : Ваш сниффер должен распознавать соответствующую инкапсуляцию.

 переключатель (включить)  set span disable 6/2  
Эта команда отключит ваш сеанс диапазона.
Вы хотите продолжить (y / n) [n]? Y
Порт 6/2 отключен для отслеживания трафика передачи / приема порта 6 / 4-5
2000 сен 06 02:52:22% SYS-5-SPAN_CFGSTATECHG : сеанс локального интервала
неактивен для порта назначения 6/2
переключатель (включить) установить транк 6/2 без согласования isl

Порт (ы) 6/2 транкового режима установлен на отсутствие согласования.
Тип порта (ов) 6/2 транка установлен на isl. Переключатель
(включить) 2000 Sep 06 02:52:33% DTP-5-TRUNKPORTON: Порт 6/2 стал
магистраль isl
коммутатор (включить) установить диапазон 6 / 4-5 6/2
Назначение: Порт 6/2
Admin Source: Порт 6 / 4-5
Oper Source: Port 6 / 4-5
Направление: передача / получение
Входящие пакеты: отключено
Обучение: включено
Multicast: включено
Фильтр: -
Статус: активный
2000 Sep 06 02:53:23% SYS-5-SPAN_CFGSTATECHG: локальный сеанс диапазона активен для
порта назначения 6/2

Создание нескольких одновременных сеансов

На данный момент создан только один сеанс SPAN.Каждый раз, когда вы вводите новую команду set span , предыдущая конфигурация становится недействительной. CatOS теперь имеет возможность запускать несколько сеансов одновременно, поэтому у нее могут быть разные порты назначения одновременно. Выполните команду set span source destination create , чтобы добавить дополнительный сеанс SPAN. В этом сеансе отслеживается порт с 6/1 по 6/2, и в то же время отслеживается VLAN 3 — порт 6/3:

 переключатель (включить)  установить диапазон 6/1 6/2  
2000 сен 05 08:49:04% SYS-5-SPAN_CFGSTATECHG: сеанс локального диапазона неактивен
для порта назначения 6/2
Назначение: порт 6/2
Источник администратора: порт 6/1
Источник операции: порт 6/1
Направление: передача / получение
Входящие пакеты: отключено
Обучение: включено
Многоадресная передача: включена
Фильтр: -
Статус: активен
коммутатор (включен) 2000 сен 05 08:49:05% SYS-5-SPAN_CFGSTATECHG: локальный диапазон
сеанс активен для порта назначения 6/2 переключатель
(включить) установить диапазон 3 6/3 создать
Назначение: порт 6/3
Admin Source: VLAN 3
Источник операции: Порт 6 / 4-5,15 / 1
Направление: передача / прием
Входящие пакеты: отключены
Обучение: включено
Многоадресная передача: включена
Фильтр: -
Статус: активен
переключатель (включен) 2000 сен 05 08 : 55: 38% SYS-5-SPAN_CFGSTATECHG: локальный интервал
сеанс активен для порта назначения 6/3

Теперь введите команду show span , чтобы определить, есть ли у вас два сеанса одновременно:

 переключатель (включить)  show span  
Назначение: Порт 6/2
Источник администратора: Порт 6/1
Источник операций: Порт 6/1
Направление: передача / получение
Входящие пакеты: отключено
Обучение: включено
Многоадресная передача: включен
Фильтр: -
Статус: активен
---------------------------------------- --------------------------------
Назначение: Порт 6/3
Источник администратора: VLAN 3
Источник операции: Порт 6 / 4-5,15 / 1
Направление: передача / прием
Входящие пакеты: отключены
Обучение: включено
Многоадресная передача: включена
Фильтр: -
Статус: активен
Общее количество локальных сеансов связи: 2

Созданы дополнительные сеансы.Вам нужен способ удалить некоторые сеансы. Команда:

  установить отключение диапазона {все | destination_port} 
 

Поскольку в сеансе может быть только один порт назначения, порт назначения определяет сеанс. Удалите первый созданный сеанс, который использует порт 6/2 в качестве назначения:

 переключатель (включить)  set span disable 6/2  
Эта команда отключит ваш сеанс диапазона.
Вы хотите продолжить (y / n) [n]? Y
Порт 6/2 отключен для отслеживания трафика передачи / приема порта 6/1
2000 сен 05 09:04:33% SYS-5-SPAN_CFGSTATECHG: local промежуток сеанса неактивен
для порта назначения 6/2

Теперь вы можете проверить, что остался только один сеанс:

 переключатель (включить)  show span  
Назначение: порт 6/3
Источник администратора: VLAN 3
Источник операций: порт 6 / 4-5,15 / 1
Направление: передача / получение
Входящие пакеты: отключено
Обучение: включен
Multicast: включен
Фильтр: -
Статус: активен

Общее количество сеансов локального охвата: 1

Выполните эту команду, чтобы отключить все текущие сеансы за один шаг:

 переключатель (включить)  установить диапазон отключить все  
Эта команда отключит все сеансы диапазона.
Продолжить (да / нет) [n]? Y
Отключены все сеансы локального диапазона
2000, 05 сентября, 09:07:07% SYS-5-SPAN_CFGSTATECHG: сеанс локального диапазона неактивен
для порта назначения 6/3

переключатель (включить) показать диапазон
Сеанс не настроен

Программно управляемая облачная сеть — Arista

Программно управляемая облачная сеть — Arista

Точечный свет

Безопасность в эпоху 2021 года

Новости

Arista представляет сервис оценки поверхности атаки

Читать больше

Arista разрабатывает сетевые сервисы для клиентов AWS для подключения, защиты и расширения корпоративных инфраструктур в облако

Читать больше

Arista обеспечивает наблюдаемость сети с помощью DANZ Monitoring Fabric

Читать больше Икс

Arista Networks, Inc.использует файлы cookie, чтобы обеспечить вам лучший опыт на нашем веб-сайте.

Продолжая использовать наш сайт, вы подтверждаете свое согласие на получение файлов cookie с нашего сайта. Подробную информацию об использовании файлов cookie Arista можно найти здесь.

Проблемы с портами, vPC и связующим деревом

На прошлой неделе я разговаривал с двумя разными клиентами о проблемах с их портами, виртуальными ПК и протоколом связующего дерева. Первый заказчик думал, что между его N7K и N5K возникла проблема STP, но на самом деле у него была проблема с дизайном VPC.У второго покупателя также была такая же проблема с дизайном, но он не знал об этом, пока я не указал ему на это. Поскольку мне показалось интересным, что у обоих возникла одна и та же проблема, я подумал, что напишу резюме.

Сломанная конструкция
Сломанная конструкция выглядит как на следующей диаграмме:

Один и тот же набор сетей VLAN поддерживается на обоих каналах портов. Вы видите проблему?

Оба клиента хотели иметь большую полосу пропускания между парами N7K и N5K.Однако их сеть не пересылала трафик по всем ссылкам. Команда show spanning-tree vlan 10 должна помочь проиллюстрировать проблему:

 N7K1 # ш диапазон влан 10

VLAN0010
 Протокол с включенным связующим деревом rstp
 Приоритет Root ID 32778
 Адрес 0005.73ba.8abc
 Стоимость 1
 Порт 4109 (порт-канал14)
 Время приветствия 2 секунды Максимальный возраст 20 секунд Задержка пересылки 15 секунд

 Приоритет идентификатора моста 32778 (приоритет 32768 sys-id-ext 10)
 Адрес 0026.980a.8d42
 Время приветствия 2 секунды Максимальный возраст 20 секунд Задержка пересылки 15 секунд

Роль интерфейса Приоритетная стоимость.Nbr Тип
---------------- ---- --- --------- -------- ---------- ----------------------
Po1 Desg FWD 1 128.4096 (одноранговая связь vPC) Сеть P2p
Po11 Корень FWD 1 128.4109 (vPC) P2p
Po12 Altn BLK 1 128.4110 (vPC) P2p
. . .
N7K1



N7K2 # sh span vlan 10

VLAN0010
 Протокол с включенным связующим деревом rstp
 Приоритет Root ID 32778
 Адрес 0005.73ba.8abc
 Стоимость 2
 Порт 4096 (порт-канал1)
 Время приветствия 2 секунды Максимальный возраст 20 секунд Задержка пересылки 15 секунд

 Приоритет идентификатора моста 32778 (приоритет 32768 sys-id-ext 10)
 Адрес f866.f210.8ea2
 Время приветствия 2 секунды Максимальный возраст 20 секунд Задержка пересылки 15 секунд

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
---------------- ---- --- --------- -------- ---------- ----------------------
Po1 Root FWD 1 128.4096 (одноранговая связь vPC) Сеть P2p
Po11 Корень FWD 1 128.4109 (vPC) P2p
Po12 Altn BLK 1 128.4110 (vPC) P2p
. . .
N7K2 #



N5K1 # sh span vlan 10

VLAN0010
 Протокол с включенным связующим деревом rstp
 Приоритет Root ID 32778
 Адрес 0005.73ba.8abc
 Этот мост - корень
 Время приветствия 2 секунды Максимальный возраст 20 секунд Задержка пересылки 15 секунд

 Приоритет идентификатора моста 32778 (приоритет 32768 sys-id-ext 10)
 Адрес 0005.73ba.8abc
 Время приветствия 2 секунды Максимальный возраст 20 секунд Задержка пересылки 15 секунд

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
---------------- ---- --- --------- -------- ---------- ----------------------
Po10 Desg FWD 1 128.4096 (одноранговая связь vPC) Сеть P2p
Po11 Desg FWD 1 128.4109 P2p
. . .
N5K1 #



N5K2 # показать span vlan 10

VLAN0010
 Протокол с включенным связующим деревом rstp
 Приоритет Root ID 32778
 Адрес 0005.73ba.8abc
 Стоимость 1
 Порт 4096 (порт-канал1)
 Время приветствия 2 секунды Максимальный возраст 20 секунд Задержка пересылки 15 секунд

 Приоритет идентификатора моста 32778 (приоритет 32768 sys-id-ext 10)
 Адрес 0005.73bc.de3a
 Время приветствия 2 секунды Максимальный возраст 20 секунд Задержка пересылки 15 секунд

Роль интерфейса Приоритетная стоимость.Nbr Тип
---------------- ---- --- --------- -------- ---------- ----------------------
Po10 Корень FWD 1 128.4096 (одноранговая связь vPC) Сеть P2p
Po12 Desg FWD 1 128.4110 P2p
. . .
N5K2 #
 

Logical View
Итак, проблема проектирования заключается в том, что два канала порта между уровнями N7K и N5K создают петлю уровня 2, а протокол STP соответствующим образом блокирует один набор интерфейсов от пересылки трафика.

Обратите внимание, что замена портов-каналов на N5K на vPC на N5K НЕ решит проблему — если у вас одинаковые VLAN на обоих vPC, у вас по-прежнему будет блокировка на VLAN.

Рекомендуемый дизайн
Что нужно сделать обоим клиентам, так это объединить все каналы между двумя парами Nexus в один большой vPC. С этими небольшими изменениями в конструкции все ссылки будут пересылаться между устройствами:

vPC и Port-Channel Operations
Я предлагаю некоторые наблюдения из моих тестов миграции vPC и port-channel на устройствах Nexus на случай, если вам когда-нибудь понадобится перенести портовые каналы на vPC в производственной сети:

  • Когда один интерфейс настроен как порт-канал, интерфейс сбрасывается.(Я увидел потерю 4 пакетов при длительном тесте ping по ссылке, а в файле журнала показано, что интерфейс отключен на 5 секунд.)
  • Когда интерфейс добавляется к рабочему порту-каналу, он сбрасывается, но порт-канал и существующие интерфейсы не сбрасываются.
  • Когда порт-канал переконфигурируется как vPC, порт-канал и его интерфейс сбрасываются. Это мешает работе, даже когда я пытался свести к минимуму влияние, я видел потерю 7 пакетов в своих тестах. (Я настроил вторичный коммутатор в паре vPC с интерфейсом выключения на членском порте, поместил его в vPC, а затем настроил первичный коммутатор.Первичный выключатель вышел из строя. Я вернулся к вторичному переключателю, не закрывая интерфейс, и увидел, что вторичный переключатель сработал за 7 секунд. В моем тесте первичный переключатель сработал через 15 секунд после того, как он изначально вышел из строя.)
  • Когда vPC не настроены на обоих одноранговых узлах, сети VLAN на канале порта приостанавливаются. Когда я удалил порт-канал из вторичного коммутатора, а затем применил его повторно, физический порт на первичном коммутаторе vPC никогда не выходил из строя, но когда VLAN были приостановлены, устройства теряли связь.
  • Когда ссылка однорангового члена добавляется к существующему vPC (например, включение правой ссылки, когда левая ссылка активна), левая ссылка остается активной.


Минимизация времени простоя
У моих клиентов еще не было возможности запланировать период обслуживания для исправления своих проектов. В зависимости от того, какой порт-канал заблокирован, они могут выполнять несколько разный порядок шагов по переходу на последовательный vPC. В любом случае им потребуется создать новый vPC на обоих N5K и переместить порты в новый vPC на N5K2.Им также придется переместить порты из vPC 12 в vPC11 на N7K.

— крутящий момент

_____________________________________________________________________________________________

Если вам нужна дополнительная информация о vPC, могут быть полезны следующие ссылки:

Как настроить локальный порт SPAN на коммутаторе Cisco Catalyst

Порт Cisco SPAN

— это анализатор SwitchPort ANalyzer на катализаторе Cisco, который позволяет выбирать и перераспределять или копировать трафик с одного или нескольких исходных портов коммутатора или исходных VLAN на один или несколько портов назначения.Порт (ы) назначения запускает программу сниффинга или захвата пакетов, такую ​​как Ethereal, Wireshark или TCPDump.

Cisco IOS

поддерживает локальный и удаленный SPAN (RSPAN).

Локальный SPAN — это тот, где исходные VLAN, исходные порты коммутатора и целевые порты коммутатора находятся на одном физическом коммутаторе.

Удаленный SPAN (RSPAN) Удаленный SPAN — это тот, где исходные VLAN, порты коммутатора и порты назначения могут находиться на разных коммутаторах в сети.

Следующая процедура настраивает сеанс SPAN с источником и назначением SPAN:

1.Установите для исходного интерфейса / Vlan значение SPAN в режиме глобальной конфигурации:

CiscoSwitch (config) # monitor session 1 source interface fa0 / 1 оба

2. Задайте интерфейс назначения для SPAN

CiscoSwitch (config) # monitor session 1 destination interface fa0 / 2

Приведенный выше пример настраивает порт источника SPAN на fastethernet0 / 1 для входящего и исходящего трафика на шаге 1. Весь трафик здесь будет скопирован в порт назначения SPAN fastEthernet0 / 2, настроенный на шаге 2.

Источник может быть одним интерфейсом, диапазоном интерфейсов, списком интерфейсов или одной VLAN, диапазоном VLAN и списком VLAN.

Пункт назначения может быть интерфейсом, диапазоном интерфейсов или списком интерфейсов, на которых сниффер или устройство захвата пакетов перехватывают трафик.

Трафик, скопированный на исходный порт, может быть только входящим, только исходящим или и тем, и другим.

Чтобы проверить настройку сеансов SPAN:

CiscoSwitch # show monitor session 1

or

CiscoSwitch # показать детали сеанса монитора 1

Для настройки диапазона исходных интерфейсов только для входящего трафика (полученного трафика)

CiscoSwitch (config) # monitor session 1 source interface fa0 / 1-5 rx

Для настройки списка источников интерфейсы для исходящего трафика (исходящий трафик):

CiscoSwitch (config) # monitor session 1 source interface fa0 / 1, 0/7 tx

Чтобы настроить список портов SPAN назначения:

CiscoSwitch (config) # monitor session 1 destination interface fa0 / 11, 0/17

Для получения дополнительной информации и официальной документации cisco щелкните здесь

Если вы здесь новичок, вы можете подписаться на мой RSS-канал.Спасибо за визит!

Настройка виртуальных локальных сетей на коммутаторах Cisco — практическая работа в сети .net

Ранее мы писали о виртуальных локальных сетях и их возможностях. В этой статье основное внимание будет уделено настройке VLAN на коммутаторах Cisco.

Мы рассмотрим каждую команду, необходимую для настройки топологии ниже. Если эта топология кажется вам знакомой, это потому, что вы видели ее в статье, в которой описано, как VLAN работают на концептуальном уровне.

Сначала мы рассмотрим, что входит в настройку портов доступа в топологии выше, а затем посмотрим, что входит в настройку портов магистрали.Затем мы рассмотрим некоторую проверку, и покажет команд для проверки того, что настроено. Наконец, мы рассмотрим конфигурацию по умолчанию для порта коммутатора, чтобы мы знали нашу отправную точку, когда применяем обсуждаемые команды.

Содержание: Настройка VLAN на коммутаторах Cisco

Порты доступа

Порт доступа — это порт коммутатора, который является членом только одной VLAN. Настройка порта доступа состоит из двух частей: создание VLAN в базе данных VLAN коммутатора и назначение порта коммутатора VLAN.

Создание VLAN в базе данных VLAN

Прежде чем коммутатор будет принимать или пересылать трафик для VLAN, эта VLAN должна существовать в базе данных VLAN коммутатора. Для добавления VLAN в базу данных VLAN требуется всего одна команда:

С этого момента вы также можете при желании назвать VLAN. Хотя это не является явной необходимостью для прохождения трафика, лучше всего указать имя для каждой VLAN. Это упростит идентификацию VLAN.

Чтобы присвоить имя VLAN, просто используйте имя ; команда сразу после ее создания.

 SwitchX (config-vlan) #  имя RED 
 

Для VLAN 20 мы создадим и назовем VLAN на SwitchX:

 SwitchX (конфигурация) #  vlan 20 
SwitchX (config-vlan) #  имя ORANGE 
 

Обратите внимание, что VLAN нужно добавить в базу данных только один раз. Если VLAN уже существует в базе данных VLAN, нет необходимости создавать ее заново — вы можете сразу перейти к следующему шагу. Позже в этой статье мы рассмотрим некоторые команды show , используемые для определения того, была ли уже создана VLAN.

Назначение порта коммутатора VLAN

Теперь, когда сеть VLAN находится в базе данных VLAN, мы можем настроить порт коммутатора как порт доступа для конкретной VLAN. В режиме настройки интерфейса для этого шага есть две команды:

 SwitchX (config) # interface Ethernet 0/0
SwitchX (config-if) #  доступ в режиме switchport 
SwitchX (config-if) #  switchport access vlan 10 
 

Команда switchport mode access устанавливает порт как порт доступа, а команда switchport access vlan <#> назначает порт как член VLAN 10.

Некоторые версии коммутаторов Cisco автоматически создают VLAN в базе данных VLAN, когда вы назначаете порт доступа для VLAN:

 SwitchX (config) # interface Ethernet 0/1
SwitchX (config-if) #  доступ в режиме switchport 
SwitchX (config-if) #  switchport access vlan 30 
 % Доступ VLAN не существует. Создание vlan 30 
 

Однако не рекомендуется полагаться на это. Некоторые переключатели будут делать это, некоторые нет. Некоторые коммутаторы не создают VLAN, а также не сообщают об ошибках, в результате чего вы не понимаете, почему трафик может не течь.Более того, это создает VLAN с общим именем — имя для VLAN 30 выше по умолчанию VLAN0030 , что не очень помогает.

Таким образом, мы всегда рекомендуем создать VLAN и присвоить ей имя, прежде чем назначать ее где-либо. Если вы случайно забыли назвать его первым, вы всегда можете обновить имя VLAN в этой базе данных постфактум:

 SwitchX (конфигурация) #  vlan 30 
SwitchX (config-vlan) #  имя СИНИЙ 
 

Итак, два шага для настройки порта доступа:

  • Создайте и при желании (но в идеале) назовите VLAN
  • Установите порт коммутатора как порт доступа и назначьте его членом VLAN

Оба шага также необходимо будет выполнить для каждой VLAN и порта коммутатора на SwitchY.Сначала мы создадим и назовем каждую VLAN:

 SwitchY (конфигурация) #  vlan 10 
SwitchY (config-vlan) #  имя RED 
SwitchY (config-vlan) # выход
SwitchY (конфиг) #  vlan 20 
SwitchY (config-vlan) #  имя ORANGE 
SwitchY (config-vlan) # выход
SwitchY (конфиг) #  vlan 30 
SwitchY (config-vlan) #  имя СИНИЙ 
SwitchY (config-vlan) # выход
 

Затем мы установим Eth0 / 2 и Eth0 / 3 в качестве портов доступа в VLAN 10 и 30 соответственно:

 SwitchY (config) #  интерфейс Ethernet 0/2 
SwitchY (config-if) #  доступ в режим switchport 
SwitchY (config-if) #  switchport access vlan 10 
SwitchY (config-if) # выход
SwitchY (config) #  интерфейс Ethernet 0/3 
SwitchY (config-if) #  доступ в режим switchport 
SwitchY (config-if) #  доступ к порту коммутатора vlan 30 
SwitchY (config-if) # выход
 

Приведенные выше команды создали следующую конфигурацию в рабочей конфигурации для каждого коммутатора:

SwitchXSwitchY


 SwitchX # показать текущую конфигурацию
...
vlan 10
 имя КРАСНЫЙ
!
vlan 20
 имя ОРАНЖЕВЫЙ
!
vlan 30
 имя СИНИЙ
...
интерфейс Ethernet0 / 0
 коммутатор доступа vlan 10
 доступ в режиме Switchport
!
интерфейс Ethernet0 / 1
 коммутатор доступа vlan 30
 доступ в режиме Switchport
...

 

 SwitchY # show running-config
...
vlan 10
 имя КРАСНЫЙ
!
vlan 20
 имя ОРАНЖЕВЫЙ
!
vlan 30
 имя СИНИЙ
...
интерфейс Ethernet0 / 2
 коммутатор доступа vlan 10
 доступ в режиме Switchport
!
интерфейс Ethernet0 / 3
 коммутатор доступа vlan 30
 доступ в режиме Switchport
...

 

Обратите внимание: если вы следуете этому руководству по настройке в своей лаборатории, вы можете не увидеть создание и присвоение имен виртуальным локальным сетям в текущей конфигурации.Это связано с тем, что в режиме VTP по умолчанию информация о базе данных VLAN отображается в другом файле ( vlan.dat ). Чтобы заставить конфигурацию отображаться в вашей рабочей конфигурации , используйте команду vtp mode transparent . Кроме того, работа VTP выходит за рамки данной статьи.

Магистральные порты

Как обсуждалось ранее, магистральный порт — это порт коммутатора, по которому передается более одной VLAN.

Трафик, проходящий через магистральный порт, по-прежнему имеет форму 1 с и 0 с.Чтобы указать, какие 1 s и 0 s принадлежат к каким VLAN, тег VLAN добавляется ко всему трафику, выходящему из магистрального порта. Стандарт 802.1q определяет повсеместный формат тега VLAN.

Создание магистрального порта включает только одну команду:

 SwitchY (config) # interface Ethernet1 / 1
SwitchY (config-if) #  соединительная линия режима switchport
  

Точно так же, как switchport mode access устанавливает порт как порт доступа, switchport mode trunk установит порт как магистральный порт.

Некоторые коммутаторы поддерживают несколько методов добавления тега VLAN. А именно, некоторые коммутаторы поддерживают устаревший метод ISL тегирования VLAN. Прежде чем эти переключатели позволят вам установить порт в качестве порта магистрали, они заставят вас установить метод тегирования, также называемый методом инкапсуляции:

 SwitchX (config) # interface Ethernet1 / 1
SwitchX (config-if) #  switchport mode trunk 
  Команда отклонена : Интерфейс, для которого инкапсуляция магистральной линии установлена ​​в "Авто", нельзя настроить в "магистральный" режим.

Для этих коммутаторов вы просто используете команду switchport trunk encapsulation dot1q перед установкой порта коммутатора как магистрального порта:

 SwitchX (config) # interface Ethernet1 / 1
SwitchX (config-if) #  инкапсуляция транка порта коммутатора dot1q 
SwitchX (config-if) #  соединительная линия режима switchport
  

Мы также настроим Eth3 / 1 и Eth3 / 2 на SwitchX в качестве магистральных портов:

 SwitchX (config) #  интерфейс Ethernet 2/1 
SwitchX (config-if) #  инкапсуляция транка порта коммутатора dot1q 
SwitchX (config-if) #  switchport mode trunk 
SwitchX (config-if) # выход
SwitchX (config) #  интерфейс Ethernet 2/2 
SwitchX (config-if) #  инкапсуляция транка порта коммутатора dot1q 
SwitchX (config-if) #  switchport mode trunk 
SwitchX (config-if) # выход
 

Это все, что вам нужно для создания магистрального порта.С приведенной выше конфигурацией коммутатор будет перенаправлять трафик из всех VLAN в базе данных VLAN через настроенный магистральный порт.

При этом есть некоторые дополнительные полезные настройки, которые вы можете применить к магистральному порту, чтобы изменить поведение по умолчанию. Мы обсудим два из них в следующих разделах.

Собственная VLAN

Собственная VLAN — это одна VLAN на магистральном порту, которой разрешено оставаться нетегированной. По умолчанию это VLAN 1, но это может быть изменено администратором.

Чтобы установить собственный VLAN, используйте эту команду:

 Коммутатор  X  (конфигурация) # интерфейс Ethernet 1/1
Switch  X  (config-if) #  switchport trunk native vlan 2
  

После установки этой команды каждый раз, когда SwitchX отправляет трафик в VLAN 2 через магистральный порт Eth2 / 1, он будет делать это без добавления тега VLAN. Более того, в любое время, когда SwitchX получает нетегированный трафик на магистральный порт Eth2 / 1, SwitchX назначит этот трафик VLAN 2.

Важно помнить: оба коммутатора на обоих концах одной магистрали должны иметь одну и ту же собственную VLAN.В противном случае вы легко рискуете, что хост в одной VLAN сможет взаимодействовать с хостом в другой VLAN.

Следовательно, мы установим такую ​​же Native VLAN на SwitchY:

 Switch  Y  (config) # interface Ethernet 1/1
Switch  Y  (config-if) #  switchport trunk native vlan 2
  

Мы также установим другую VLAN в качестве собственной VLAN для портов Eth3 / 1 и Eth3 / 2, обращенных к Router1 и Router2 соответственно. Это сделано для того, чтобы показать, что конфигурация Native VLAN является конфигурацией для интерфейса , а не для устройства .Но имейте в виду, что в большинстве случаев собственная VLAN обычно согласована для всех портов.

 SwitchX (config) #  интерфейс Ethernet 2/1 
SwitchX (config-if) #  switchport trunk native vlan 3 
SwitchX (config-if) # выход
SwitchX (config) #  интерфейс Ethernet 2/2 
SwitchX (config-if) #  switchport trunk native vlan 3 
SwitchX (config-if) # выход
 

Список разрешенных VLAN

По умолчанию, когда интерфейс установлен как магистральный порт, трафик от до VLAN в базе данных VLAN перенаправляется на этот порт коммутатора.

Однако бывают случаи, когда целесообразно ограничить трафик VLAN, проходящий через конкретную магистраль. Это можно сделать, применив так называемый список разрешенных VLAN . Список разрешенных VLAN позволяет администратору вручную выбирать, какие сети VLAN проходят через магистральный порт .

Взгляните на иллюстрацию. Обратите внимание, что магистральный порт к Router1 обрабатывает трафик только для VLAN 10 и 20, но если для магистрального порта оставить поведение по умолчанию, SwitchX будет перенаправлять трафик на Router1 из VLAN 10, 20, и 30.Трафик VLAN 30 будет просто отброшен маршрутизатором 1, но он без нужды добавляет перегрузку в канал.

Чтобы решить эту проблему, мы добавим список разрешенных VLAN в Eth3 / 1 на SwitchX, чтобы ограничить, какие VLAN проходят через магистральный порт:

 SwitchX (config) # интерфейс Ethernet 2/1
SwitchX (config-if) #  транк switchport разрешен vlan 10,20 
 

Это ограничит VLAN, которые проходят через магистральный порт до Router1, только теми VLAN, которые действительно должны быть на этом канале.

Магистральный порт маршрутизатора 2 также может быть ограничен для передачи трафика только для VLAN 20 и 30. Ниже приведен другой способ применения списка разрешенных VLAN, который показывает, как добавить VLAN в список после его первоначального создания:

 SwitchX (config) # интерфейс Ethernet 2/2
SwitchX (config-if) #  транк switchport разрешен vlan 20 
SwitchX (config-if) #  транк switchport разрешен vlan  добавить  30 
 

Обратите внимание на важное ключевое слово add во второй команде выше.Это указывает коммутатору на добавить трафик VLAN 30 к тем VLAN, которые уже разрешены на канале.

Если бы ключевое слово add было опущено, коммутатор заменит текущий список разрешенных VLAN (который разрешал только VLAN 20) новым (который разрешал только VLAN 30). Если бы Router1 был шлюзом для трафика в VLAN 20, весь этот трафик теперь был бы отброшен, создавая явно плохой опыт для пользователей в этой VLAN.

Таким образом, очень важно либо применить полный список VLAN в одной команде (как в первом примере), либо использовать команду add к добавить VLAN в текущий список разрешенных VLAN.

У вас также есть возможность использовать ключевое слово remove , чтобы удалить отдельных VLAN из разрешенного списка VLAN.

Фактически, ключевое слово remove предоставляет еще один способ применения списка разрешенных VLAN к магистральному порту. Взгляните на ссылку между SwitchX и SwitchY. Обратите внимание, что VLAN 20 не обязательно должна проходить по этой ссылке.

Вместо того, чтобы просто добавлять список разрешенных VLAN с VLAN 10 и 30, вы также можете просто удалить VLAN 20 из конфигурации по умолчанию.Мы покажем вам, как это работает с магистральным портом между коммутаторами (Eth2 / 1):

 SwitchX (config) # interface Ethernet1 / 1
SwitchX (config-if) #  транк switchport разрешен vlan  remove  20 
 

Это автоматически применяет список разрешенных VLAN для каждой VLAN, кроме VLAN 20:

 SwitchX #  показать интерфейс рабочей конфигурации Ethernet 1/1 
интерфейс Ethernet1 / 1
 инкапсуляция магистрали коммутатора dot1q
 коммутатор магистраль родной vlan 2
   switchport транк разрешен vlan 1-19,21-4094 
 транк в режиме коммутатора
конец
 

Поскольку поведение магистрального порта по умолчанию заключалось в разрешении всех VLAN, удаление VLAN 20 привело к тому, что коммутатор применил список разрешенных VLAN, который включал все VLAN (1-4094), кроме VLAN 20.

Тем не менее, это обычно не тот способ, которым вы применяете новый список разрешенных VLAN к интерфейсу — ключевое слово remove чаще используется для удаления отдельных VLAN из уже добавленного списка разрешенных VLAN. Мы удалим список разрешенных VLAN на Eth2 / 1 и оставим этот порт настроенным как магистральный порт по умолчанию, что позволит трафику для всех VLAN проходить через магистраль:

 SwitchX (config) # interface Ethernet1 / 1
SwitchX (config-if) #  магистраль порта коммутатора не разрешена vlan 
 

Приведенные выше команды создали следующую конфигурацию в рабочей конфигурации для каждого коммутатора:

SwitchXSwitchY


 SwitchX # показать текущую конфигурацию
...
интерфейс Ethernet1 / 1
 инкапсуляция магистрали коммутатора dot1q
 коммутатор магистраль родной vlan 2
 транк в режиме коммутатора
!
интерфейс Ethernet2 / 1
 инкапсуляция магистрали коммутатора dot1q
 switchport магистраль родной vlan 3
 транк коммутатора разрешен vlan 10,20
 транк в режиме коммутатора
!
интерфейс Ethernet2 / 2
 инкапсуляция магистрали коммутатора dot1q
 switchport магистраль родной vlan 3
 транк коммутатора разрешен vlan 20,30
 транк в режиме коммутатора
!
...
 

 SwitchY # show running-config
...
интерфейс Ethernet1 / 1
 инкапсуляция магистрали коммутатора dot1q
 коммутатор магистраль родной vlan 2
 транк в режиме коммутатора
!
...
 

Показать команды

Приведенные выше команды объясняют шаги по настройке VLAN на коммутаторах Cisco. Выходные данные в конце каждого раздела отображают способ отображения конфигураций в рабочей конфигурации . Однако рабочая конфигурация покажет только то, как устройство настроено — она ​​не покажет, как устройство работает .

Это важное различие — талантливый сетевой инженер должен не только знать, как настраивать сети VLAN, но также и проверять их работу.С этой целью мы обсудим пять команд show , которые можно использовать для проверки работы устройства — как оно на самом деле обрабатывает трафик.

показать трусы vlan

Команда show vlan Short предоставляет два основных вида информации:

  • Сети VLAN, которые существуют в базе данных VLAN коммутатора
  • Порты доступа, настроенные в каждой VLAN

Вот что на выходе обоих наших переключателей:

SwitchXSwitchY


 SwitchX #  показать брифы vlan 

Имя VLAN Статус Порты
---- -------------------------------- --------- ----- --------------------------
1 активен по умолчанию Et0 / 2, Et0 / 3, Et1 / 0, Et1 / 2
                                                Et1 / 3, Et2 / 0, Et2 / 3, Et3 / 0
                                                Et3 / 1, Et3 / 2, Et3 / 3
10 КРАСНЫЙ активен Et0 / 0
20 ОРАНЖЕВЫХ активных
30 СИНИЙ активный Et0 / 1
 

 SwitchY #  показать брифы vlan 

Имя VLAN Статус Порты
---- -------------------------------- --------- ----- --------------------------
1 активен по умолчанию Et0 / 0, Et0 / 1, Et1 / 0, Et1 / 2
                                                Et1 / 3, Et2 / 0, Et2 / 1, Et2 / 2
                                                Et2 / 3, Et3 / 0, Et3 / 1, Et3 / 2
                                                Et3 / 3
10 КРАСНЫЙ активен Et0 / 2
20 ОРАНЖЕВЫХ активных
30 СИНИЙ активный Et0 / 3
 

Для обоих коммутаторов команда отображает VLAN 1, 10, 20 и 30.Это единственные сети VLAN, созданные в базе данных VLAN. Если коммутатор получает трафик, помеченный для другой VLAN, этот трафик будет отброшен.

Для каждой VLAN также предоставляется имя VLAN. Обратите внимание, что сети VLAN 10, 20 и 30 называются RED , ORANGE и BLUE соответственно.

Также обратите внимание, что VLAN 1 существует и называется по умолчанию , несмотря на то, что мы не создали ее явно. Это связано с тем, что VLAN 1 является конфигурацией по умолчанию, с которой начинается каждый порт коммутатора.Коммутатор не позволит вам удалить VLAN 1 или изменить его имя.

Столбец Status показывает, активна ли VLAN на коммутаторе. VLAN может стать неактивной по двум причинам. Первый явно использует команду shutdown в режиме конфигурации VLAN. Второй — это VLAN, существующая в базе данных, но не имеющая портов доступа или магистральных портов, использующих эту VLAN.

В крайнем правом углу вывода, в столбце Порты , вы получаете список каждого порта доступа в каждой VLAN.Мы настроили интерфейс Eth0 / 0 SwitchX в VLAN 10, и выходные данные отражают это. Также обратите внимание, что нигде нет порта Eth2 / 1. Это связано с тем, что Eth2 / 1 был настроен как магистральный порт и не будет отображаться в выходных данных команды show vlan short .

показать соединительные линии интерфейсов

Если show vlan short — это команда перехода для отображения информации о портах доступа на коммутаторе, то show interfaces trunk — это команда перехода, которая покажет вам информацию о портах trunk на переключатель.

Вывод этой команды состоит из четырех частей. Неопытному глазу может показаться, что часть информации дублируется, но это не так.

SwitchXSwitchY


 SwitchX #  показать соединительную линию интерфейсов 

Состояние инкапсуляции режима порта Собственный vlan
Et1 / 1 на магистрали 802.1q 2
Et2 / 1 на магистральном канале 802.1q 3
Et2 / 2 на магистральном канале 802.1q 3

Порт Vlan разрешен на магистрали
Et1 / 1 1-4094
Et2 / 1 10,20
Et2 / 2 20,30

Порт Vlans разрешен и активен в домене управления
Et1 / 1 1,10,20,30
Et2 / 1 10,20
Et2 / 2 20,30

Порт Vlan в состоянии пересылки связующего дерева и не обрезан
Et1 / 1 1,10,20,30
Et2 / 1 10,20
Et2 / 2 20,30

 

 SwitchY #  показать магистраль интерфейсов 

Состояние инкапсуляции режима порта Собственный vlan
Et1 / 1 на 802.1q транкинг 2

Порт Vlan разрешен на магистрали
Et1 / 1 1-4094

Порт Vlans разрешен и активен в домене управления
Et1 / 1 1,10,20,30

Порт Vlan в состоянии пересылки связующего дерева и не обрезан
Et1 / 1 1,10,20,30

 

В первом разделе вывода перечислены все интерфейсы, которые в рабочем состоянии ведут себя как магистральный порт. Это станет более понятным чуть позже в статье, когда мы обсудим механизм, который позволяет порту коммутатора автоматически определять, должен ли он быть магистральным портом.В приведенном выше случае мы явно настроили порты Eth2 / 1, Eth3 / 1 и Eth3 / 2 на SwitchX и порт Eth2 / 1 на SwitchY в качестве магистральных портов.

В первом разделе также указывается, какой метод инкапсуляции используется (т. Е. Какой метод тегирования VLAN), а также VLAN, настроенная как собственная VLAN для каждой магистрали.

Второй раздел, обозначенный как Vlan, разрешенных на магистральной линии , отражает то, какие сети VLAN прошли через любые настроенные списки разрешенных VLAN на каждом магистральном порту.На SwitchX мы создали два списка разрешенных VLAN: один разрешает VLAN 10 и 20 на Eth3 / 1, а другой разрешает VLAN 20 и 30 на Eth3 / 2. Интерфейс Eth2 / 1 не имеет ограничений для VLAN, поэтому все возможные VLAN перечислены как разрешенные на магистральном порту — идентификаторы VLAN могут быть только от 1 до 4094.

Третий раздел, обозначенный как Vlan, разрешенных и активных в домене управления , представляет собой комбинацию раздела перед ним ( Vlan разрешено на магистрали ) и виртуальных локальных сетей, которые создаются в базе данных VLAN (т.е., видно в (показать влан бриф ). Несмотря на то, что все VLAN разрешены на Eth2 / 1 (как обозначено 1-4094 во втором разделе), в базе данных VLAN существуют только VLAN 1, 10, 20 и 30.

Четвертый раздел, обозначенный как Vlan в состоянии пересылки связующего дерева и не обрезанный , представляет собой комбинацию двух последних разделов и портов, которые протокол связующего дерева считает безопасными для пересылки трафика.

Существует протокол связующего дерева (STP), чтобы гарантировать, что домен L2 не содержит петель.Если они обнаружены, эти порты отключены. В нашей топологии нет петель, поэтому выходные данные четвертого раздела выглядят идентично выходным данным третьего раздела, потому что STP не отключил какие-либо порты. STP — интересный протокол, но его работа выходит за рамки данной статьи — это будет предметом следующей статьи.

показать интерфейсы switchport

Команда show interfaces switchport может предоставить вам огромное количество информации.Использование самой команды показывает 26 частей информации для каждого интерфейса на вашем коммутаторе (или больше, в зависимости от версии кода, которую вы используете).

Вместо того, чтобы пытаться просеивать все это, вы можете указать конкретный интерфейс для получения тех же 26 частей информации только для желаемого интерфейса, используя команду show interfaces switchport .

Для краткости и актуальности вывод ниже был обрезан, чтобы просто отображать строки, которые относятся к чему-то, обсуждаемому в этой статье.Ниже в этой статье приведен пример полного вывода этой команды.

SwitchX Eth0 / 1SwitchY Eth3 / 2


 SwitchX #  показать интерфейсы Ethernet 0/1 switchport 
Switchport: Включено
Административный режим: статический доступ
Рабочий режим: статический доступ
Инкапсуляция административного транкинга: согласование
Оперативная инкапсуляция транкинга: родная
Согласование транкинга: выключено
Режим доступа VLAN: 30 (СИНИЙ)
Транкинг VLAN в собственном режиме: 1 (по умолчанию)
Магистральные сети VLAN включены: ВСЕ
 

 SwitchX #  показать интерфейсы Ethernet 2/2 switchport 
Switchport: Включено
Административный режим: ствол
Режим работы: ствол
Инкапсуляция административного транкинга: dot1q
Оперативная инкапсуляция транкинга: dot1q
Согласование транкинга: включено
Режим доступа VLAN: 1 (по умолчанию)
Транкинг VLAN в собственном режиме: 3 (неактивно)
Включено транкинг VLAN: 20,30 

Описание каждой строки в выходных данных выше находится в следующей таблице.

Строка Описание
Switchport Включено, если порт работает как порт L2. Отключено, если порт работает как порт L3.
Административный режим и Рабочий режим Эти два сообщают вам, как настроен порт коммутатора и как он работает.В нашем случае мы настроили порты как порты доступа и порты магистрали, и они отражены выше. Но, как упоминалось ранее, существует протокол под названием DTP, который позволяет портам коммутатора автоматически согласовывать статус магистрального порта. В случае DTP, у вас может быть установлен определенный административный режим, и рабочий режим будет отражать, действительно ли порт коммутатора действует как магистральный порт или порт доступа. Это станет более понятным, когда мы подробно рассмотрим DTP ниже.
Административная инкапсуляция транкинга и Оперативная инкапсуляция транкинга DTP не только согласовывает статус магистрали, но также согласовывает метод инкапсуляции.Эти две команды показывают, какой метод инкапсуляции настроен (административный) и какой метод инкапсуляции согласован (рабочий).
Согласование транкинга Это указывает на участие коммутатора в DTP. Опять же, это снова будет иметь больше смысла ниже, когда мы подробно рассмотрим DTP.
Режим доступа VLAN Здесь отображается членство в VLAN, если порт настроен или согласован как порт доступа.Обратите внимание, что даже в нашем магистральном порту (Eth 2/2 SwitchY) есть запись для этого атрибута, но она не действует, пока интерфейс не станет портом доступа.
Магистральная собственная VLAN Отображает настройку собственной VLAN для порта. Опять же, даже порт доступа будет иметь запись для этого параметра (см. Eth0 / 1 SwitchX), но он будет иметь эффект только в том случае, если интерфейс настроен или согласован как магистральный порт.
Транкинговые сети VLAN включены Это отражение VLAN, разрешенных в списке разрешенных VLAN.Обратите внимание, что магистральный порт SwitchX был ограничен только VLAN 20 и 30, и это отражено в выходных данных выше.
показать статус интерфейсов

Обычно команда show interfaces status связана с проверкой того, подключены ли устройства к порту коммутатора ( подключен против notconnect в столбце Состояние ). Однако эта команда может также показать некоторую информацию о конфигурации VLAN порта коммутатора.

А именно, если вы видите число в столбце VLAN, то коммутатор является портом доступа в предоставленной VLAN. И если вы видите слово trunk , то порт коммутатора настроен как порт транка.

SwitchXSwitchY


 SwitchX #  показать статус интерфейсов 

Имя порта Статус Vlan Duplex Speed ​​Type
Et0 / 0 подключен 10 авто авто неизвестно
Et0 / 1 подключен 30 авто авто неизвестно
Et1 / 1 подключенная магистраль авто авто неизвестно
Et2 / 1 подключен магистраль авто авто неизвестно
Et2 / 2 подключен магистраль авто авто неизвестно
 

 SwitchY #  показать статус интерфейсов 

Имя порта Статус Vlan Duplex Speed ​​Type
Et0 / 2 подключен 10 авто авто неизвестно
Et0 / 3 подключен 30 авто авто неизвестно
Et1 / 1 подключен магистраль авто авто неизвестно
 

Обратите внимание, что вывод команды show interfaces status выше был обрезан, чтобы сосредоточиться только на интерфейсах, которые были настроены в этой статье.

показать Spanning-tree

Команда show spanning-tree , очевидно, в основном связана с проверкой протокола Spanning Tree Protocol, но она также может предоставить полезную информацию о конфигурации VLAN.

Ранее мы говорили о show vlan short , который предоставляет информацию об интерфейсах, настроенных как порты доступа. Мы также говорили о show interfaces trunk , который предоставляет информацию об интерфейсах, настроенных как транковые порты.Команда show spanning-tree vlan предоставляет информацию о как портах доступа , так и портах магистрали.

В частности, вы можете использовать эту команду, чтобы увидеть каждый порт коммутатора, из которого VLAN выходит.

SwitchXSwitchY


 SwitchX #  показать Spanning-Tree vlan 10 

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et0 / 0 Desg FWD 100128.1 Shr
Et1 / 1 Desg FWD 100 128,6 Shr
Et2 / 1 Desg FWD 100 128.10 Shr

SwitchX #  показать Spanning-Tree vlan 20 

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et1 / 1 Desg FWD 100 128,6 Shr
Et2 / 1 Desg FWD 100 128.10 Shr
Et2 / 2 Desg FWD 100 128,11 Shr

SwitchX #  показать spanning-tree vlan 30 

Роль интерфейса Приоритетная стоимость.Nbr Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et0 / 1 Desg FWD 100 128,2 Shr
Et1 / 1 Desg FWD 100 128,6 Shr
Et2 / 2 Desg FWD 100 128,11 Shr
 

 SwitchY #  показать Spanning-Tree vlan 10 

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et0 / 2 Desg FWD 100 128,3 Shr
Et1 / 1 Корневой FWD 100128.6 Shr

SwitchY #  показать Spanning-Tree vlan 20 

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et1 / 1 Корень FWD 100 128,6 Shr


SwitchY #  показать Spanning-Tree vlan 30 

Интерфейс Роль Sts Стоимость Приоритетный номер Тип
------------------- ---- --- --------- -------- ------- -------------------------
Et0 / 3 Desg FWD 100 128,4 Shr
Et1 / 1 Корневой FWD 100128.6 Shr
 

Мы настроили SwitchX с одним портом доступа в VLAN 10 (Eth0 / 0) и двумя транковыми портами, которые разрешают VLAN 10 (Eth2 / 1 и Eth3 / 1). Глядя на выходные данные команды show spanning-tree vlan 10 на SwitchX, мы можем увидеть все три порта, с которых исходит трафик VLAN 10.

Вы не сможете легко определить, настроен ли порт как порт доступа или как магистральный порт. Но вы сможете легко определить, на какие другие устройства направляется трафик VLAN, сравнив вывод команды show spanning-tree с show cdp neighbours :

SwitchXSwitchY


 SwitchX #  показать соседей cdp 
Коды возможностей: R - маршрутизатор, B - мост маршрута источника, S - коммутатор, I - IGMP

ID устройства ID порта платформы Local Intrfce Holdtme Capability
router2 Eth 2/2 172 R B Linux Uni Eth 0/2
router1 Eth 2/1 131 R B Linux Uni Eth 0/1
SwitchY Eth 1/1 169 R S I Linux Uni Eth 1/1
 

 SwitchY #  показать соседей cdp 
Коды возможностей: R - маршрутизатор, B - мост маршрута источника, S - коммутатор, I - IGMP

ID устройства ID порта платформы Local Intrfce Holdtme Capability
SwitchX Eth 1/1 143 R S I Linux Uni Eth 1/1
 

Мы видим, что VLAN 10 на SwitchX направляется на Router1 и SwitchY, а также на третье устройство (которое, как мы знаем, является хостом A, который не участвует в CDP).VLAN 20 на SwitchY собирается только SwitchX. Использование этих двух команд в сочетании друг с другом — отличный способ проследить путь L2 через сеть между двумя устройствами.

Обратите внимание, что вывод команды show spanning-tree vlan <#> выше был обрезан, чтобы сосредоточиться только на функциях, обсуждаемых в этой статье.

Настройка порта коммутации по умолчанию

Наконец, прежде чем настраивать VLAN с помощью команд, обсуждаемых в этой статье, важно знать начальную точку для каждого интерфейса.

Почти все функции Cisco поставляются с определенной конфигурацией по умолчанию. Они существуют и находятся на своем месте, поэтому устройство может работать (возможно, с ограниченными функциями, но тем не менее) без какой-либо конфигурации.

Знание конфигурации по умолчанию имеет решающее значение для эффективного инженера, потому что, если вы знаете, как что-то работает изначально, вы точно знаете, что нужно изменить, чтобы заставить это работать так, как вы хотите. С этой целью мы потратим некоторое время на обсуждение конфигурации порта коммутатора по умолчанию, применяемой к коммутаторам Cisco.

Во-первых, вот вывод команды show interfaces switchport для немодифицированного интерфейса. Из результатов ниже следует обсудить три пункта:

 SwitchX #  показать интерфейсы eth0 / 2 switchport 
Имя: Et0 / 2
Switchport: Включено
  Административный режим: динамический автоматический
Рабочий режим: вниз
Инкапсуляция административного транкинга: согласование
Оперативная инкапсуляция транкинга: родная
Согласование транкинга: включено
Режим доступа VLAN: 1 (по умолчанию)
Транкинг VLAN в собственном режиме: 1 (по умолчанию) 
Административная маркировка собственной VLAN: включена
Голосовой VLAN: нет
Административная ассоциация хоста private-vlan: нет
Административное сопоставление частных vlan: нет
Административная собственная VLAN магистрали private-vlan: нет
Административная магистраль private-vlan Маркировка собственной VLAN: включена
Административная инкапсуляция магистрали private-vlan: dot1q
Административные частные магистрали vlan нормальные сети VLAN: нет
Административные ассоциации магистральных каналов private-vlan: нет
Назначение административных магистралей private-vlan: нет
Оперативный частный vlan: нет
  Магистральные сети VLAN включены: ВСЕ 
Включено сокращение VLAN: 2-1001
Режим захвата отключен
Разрешено захватывать VLAN: ВСЕ

Доверие к устройству: нет
 

Протокол динамического транкинга

Первые пункты, которые мы обсудим из приведенной выше конфигурации порта коммутатора по умолчанию, относятся к протоколу динамического транкинга или DTP.Взгляните на эти строки из вывода выше:

  Административный режим: динамический автоматический
Режим работы: вниз  

Как обсуждалось ранее, два режима коррелируют с режимом , сконфигурированным для ( административный ) и согласованным режимом ( рабочий ). Различие существует благодаря протоколу динамического транкинга (DTP).

Cisco создала DTP, чтобы продвигать идею коммутаторов «plug and play». Они создали протокол, в котором, если два коммутатора были связаны друг с другом, они могли автоматически определять, должно ли их соединение быть магистральным портом или портом доступа.Он работает на основе четырех режимов, на которые можно установить интерфейс:

  • switchport mode dynamic желательно — активно пытается согласовать транк
  • switchport mode dynamic auto — пассивная попытка согласования магистрали
  • switchport mode trunk — статически установлен как транк
  • switchport mode access — статически установлен как доступ

Конфигурация обеих сторон канала определяет, будет ли канал согласовываться как магистральный порт или порт доступа.В таблице ниже перечислены все возможные комбинации

Одна сторона звена Другая сторона ссылки Результат
Динамический желательный Желательно динамический Ствол
Динамический желательный Динамический автоматический режим Ствол
Динамический желательный Статический багажник Ствол
Динамический желательный Статический доступ Доступ
Динамический Авто Динамический автоматический режим Доступ
Динамический Авто Статический багажник Ствол
Динамический Авто Статический доступ Доступ
Статический багажник Статический багажник Ствол
Статический багажник Статический доступ Неправильная конфигурация
Статический доступ Статический доступ Доступ

Проблема с DTP заключается в том, что он предоставляет средства для другой стороны ссылки, чтобы изменить поведение вашей стороны ссылки.Когда вы контролируете обе стороны, это может показаться не ужасной функцией, но если вы когда-нибудь окажетесь в ситуации, когда вы управляете только своим устройством, DTP дает слишком много энергии другой стороне.

Таким образом, часто рекомендуется избегать автоматического определения DTP состояния магистрали и вместо этого вручную устанавливать порт как магистраль или доступ с помощью команд, которые мы обсуждали ранее в этой статье ( switchport mode trunk or switchport mode access ).

Однако даже при статической установке режима порта коммутатора ваш коммутатор все равно будет отправлять кадры DTP. Вот как другая сторона знает, как ваша сторона настроена. Опять же, если вы владеете обеими сторонами, риск незначителен, но если вы не можете контролировать другую сторону, то это нежелательно.

Вы можете отключить отправку кадров DTP, также добавив в конфигурацию интерфейса следующую команду: switchport nonegotiate . Это отключит периодическую отправку кадров DTP для объявления режима порта коммутатора локального коммутатора.

Вы можете увидеть, отключено ли согласование порта коммутатора, в выходных данных приведенной выше команды. Конкретная строка, которая указывает на это, следующая:

  Согласование транкинга: на  

Подводя итог, поведение DTP по умолчанию для немодифицированного интерфейса:

  • Switchport режим динамический автоматический
  • согласование DTP включено

Это означает, что канал автоматически станет магистралью, если другая сторона настроена с switchport mode dynamic желательно или если другая сторона настроена с switchport mode trunk и switchport nonegotiate is не применяется.

Настройки порта доступа по умолчанию

Из выходных данных выше следующая строка соответствует конфигурации порта доступа:

  Режим доступа VLAN: 1 (по умолчанию)  

Независимо от того, установлен ли порт коммутатора статически (или согласован) как порт доступа или нет, этот атрибут существует и настраивается с помощью команды switchport access vlan <#> . Конечно, это не влияет на поведение порта коммутатора, если порт коммутатора не становится портом доступа.

Потенциальный вариант использования: если вы переключаете порт с магистрального порта на порт доступа, вы можете «предварительно настроить» VLAN порта доступа, чтобы после применения команды доступа в режиме switchport он уже находился в соответствующей VLAN.

В любом случае, обратите внимание, что конфигурация по умолчанию включает каждый порт коммутатора в VLAN 1.

Коммутатор — это устройство, которое упрощает обмен данными внутри сетей. Вы можете взять коммутатор Cisco и просто подключить два хоста, и все будет «просто работать».Это произойдет, потому что все порты начинаются в VLAN 1, поэтому в конфигурации коммутатора по умолчанию не существует разделения L2 между портами коммутатора. Это согласуется с целью Cisco сделать свои коммутаторы «plug and play».

Настройки магистрального порта по умолчанию

Наконец, следующие строки в выходных данных выше коррелируют с конфигурацией магистрального порта:

  Административная инкапсуляция транкинга: согласование 
  Оперативная инкапсуляция транкинга: родная 
...
  Trunking Native Mode VLAN: 1 (по умолчанию) 
...
  Магистральные сети VLAN включены: ВСЕ 
 

Мы обсуждали DTP ранее, но не упомянули, что DTP также согласовывает метод инкапсуляции.

Administrative Trunking Encapsulation указывает, будет ли DTP определять метод инкапсуляции или он устанавливается статически с помощью команды switchport trunk encapsulation .

Operational Trunking Encapsulation указывает выбранный или сконфигурированный метод инкапсуляции.Если порт становится магистральным портом, для этого атрибута есть только два варианта: повсеместный 802.1q и архаичный ISL. На порте доступа в этой строке будет отображаться собственный (как указано выше), что означает, что теги VLAN не будут добавлены к трафику, покидающему этот порт коммутатора.

Trunking Native Mode VLAN указывает на Native VLAN порта. Еще раз, эта настройка будет иметь место только в том случае, если порт станет магистральным портом. Этот параметр можно изменить с помощью команды switchport trunk native vlan <#> .

Trunking VLANs Enabled отражает список разрешенных VLAN, примененный к порту. ВСЕ указывает, что ни одна из сетей VLAN не была ограничена из магистрали, и поэтому каждая VLAN в базе данных VLAN будет проходить по магистрали. Как и в случае с другими конфигурациями магистрали, это не действует, если порт находится в режиме доступа.

Настройка сетей VLAN — сводка

Эта статья следует за статьей, в которой обсуждаются концепции VLAN. Основное внимание в этой статье было уделено пониманию различных команд конфигурации и проверки, которые существуют для изменения или проверки того, как коммутатор ведет себя в отношении своих VLAN.

Как и во всех письменных руководствах, практика является ключевым моментом. Мы рекомендуем вам создать топологию, указанную выше, в лаборатории или эмуляторе (GNS3 / Packet-Tracer) и попрактиковаться в настройке VLAN с помощью команд, описанных выше.

Если вам нужна дополнительная проблема, постройте топологию в VLAN Challenge из другой статьи. Обратите внимание: вам нужно будет отключить CDP и DTP на большинстве ваших интерфейсов, чтобы избежать предупреждений.

Если вы можете успешно построить эту топологию (а также ответить на два проблемных вопроса в предыдущей статье), то можете быть уверены, что освоили концепцию настройки VLAN на коммутаторах Cisco.

Настройка VLAN на коммутаторах Cisco — Содержание:

В этой статье объясняются знания, необходимые для выполнения этих задач экзамена CCNA:
  • 2.1 Настройка и проверка сетей VLAN (нормальный диапазон), охватывающих несколько коммутаторов.
    • 2.1.a Порты доступа (данные и голос)
    • 2.1.b VLAN по умолчанию
    • 2.1.c Связь
  • 2.

Добавить комментарий

Ваш адрес email не будет опубликован.