Транковые порты cisco: Настройка каналов типа trunk на коммутаторах Cisco

Содержание

Настройка каналов типа trunk на коммутаторах Cisco

Настройка каналов типа trunk на коммутаторах Cisco

Канал типа trunk — это линия связи «точка-точка», по которой осуществляется отправка и получение трафика между несколькими коммутаторами или между коммутаторами и маршрутизаторами. По каналам типа trunk передается трафик из нескольких сетей VLAN, что позволяет расширить эти VLAN на всю сеть. В каналах типа trunk 100Base-T и Gigabit Ethernet используется по умолчанию протокол Cisco ISL или можно использовать протокол IEEE 802.1q для передачи трафика нескольких VLAN по одной линии связи.

Каналы, работающие по протоколу IEEE 802.1q налагают ряд ограничений на стратегию перераспределения каналов в сети.

  • Если native VLAN на одном канале отличается от native VLAN на другом конце, в результате могут возникнуть петли STP. Следовательно, native VLAN для канала 802.1q на обoих концах линии связи должны быть одинаковыми.

  • Если протокол STP отключен в native VLAN канала 802.1q и не отключен во всех остальных VLAN в сети, это потенциально может привести к возникновению петель STP. Рекомендуется оставить включенным STP в native VLAN канала 802.1q или отключить STP во всех VLAN в сети. Перед отключением STP убедитесь, что в сети отсутствуют петли.

  • В соответствии с передовой отраслевой практикой нужно оставить STP включенным, чтобы обеспечить возможность обнаружения петель, которые, в случае возникновения, могут вызвать серьезные сетевые проблемы.

Для того чтобы сконфигурировать канал типа trunk на коммутаторах Catalyst серии 2900XL и 3500XL выполните нижеследующие шаги.

  1. Войдите в глобальный режим конфигурирования с помощью команды configure terminal.

  2. Введите команду interface [тип] <модуль/порт>, чтобы перейти в режим конфигурирования конкретного интерфейса.

  3. Введите команду switchport mode trunk, чтобы настроить порт как канал типа trunk.

  4. Введите команду switchport trunk encapsulation [isl|dot1q], чтобы выбрать для интерфейса инкапсуляцию ISL или 802.1q. В настройках на каждом конце канала типа trunk нужно задать один и тот же тип инкапсуляции. Если выбирается 802.1q, то нужно также выбрать VLAN по умолчанию (этот шаг не требуется для коммутаторов 2950/2955).

  5. Введите команду switchport trunk native vlan [vlanid], чтобы настроить native VLAN. В этом VLAN будет отправляться и пприниматься нетэгированный трафик по протоколу 802.1q. Допустимыми значениями номера native VLAN являются значения от 1 до 1001.

  6. Введите команду end, чтобы вернуться в привилегированный режим EXEC.

  7. Введите команду show interfaces [тип] <

    модуль/порт> switchport для проверки заданных параметров. Проверьте значения, которые отображаются в полях Operational Mode (Режим эксплуатации) и Operational Trunking Encapsulation (Инкапсуляция рабочего перераспределения каналов).

  8. Введите команду copy running-config startup-config, чтобы сохранить конфигурацию.

По умолчанию канала типа trunk отправляет и получает трафик всех VLAN, которые присутствуют в базе данных VLAN. Для каждого канала типа trunk разрешены все VLAN, с 1 по 1005.

Для любого интерфейса коммутатора по умолчанию задан режим dynamic desirable. Это означает, что интерфейс становится интерфейсом канала типа trunk, если интерфейс на другой стороне канала находится в режиме desirable или auto.

Примечание. Шаги, которые необходимо выполнить для настройки коммутаторов Catalyst серии 2950 или 3550, аналогичны. Для коммутаторов серии 2950/2955 не нужно выполнять шаг 4, так как они поддерживают только каналы типа trunk 802.1q и не поддерживают инкапсуляцию ISL. Коммутаторы Cisco Catalyst серии 3550 поддерживают как каналы ISL, так и каналы 802.1Q. Рекомендуемый переход на ISL при использовании Cisco Catalyst 2950 осуществляется, путем размещения устройства с поддержкой ISL/dot1Q между устройством, поддерживающим ISL, и коммутатором серии Cisco Catalyst 2950.С разделом «Часто задаваемые вопросы» по серии 2950 можно ознакомиться по следующему URL-адресу:

http://www.cisco.com/cpropart/salestools/cc/pd/si/casi/ca2950/prodlit/2950p_qp.htm

Дополнительные сведения о сериях коммутаторов Catalyst и, в частности, сериях 2950 или 3550 см. в разделе Настройка сетей VLAN.

Как создать и настроить trunk порты в Cisco для соединения коммутаторов на примере Cisco 2960+48TC-S

Обновлено 13.07.2019

В предыдущей части мы рассмотрели вариант одного коммутатора который имеет разделение на vlan. Представим что появился еще один этаж и на нем свой коммутатор который тоже имеет свои vlan, встает вопрос как подключить два коммутатора. Для этого есть vlan trunk.

Trunk — сконфигурированное состояние порта коммутатора (в меню команды interface …), предназначенное для подключения к другому коммутатору. Могут объединяться в Port-channel для увеличения надёжности и быстродействия. На обоих соединяемых таким образом коммутаторах порты должны быть в режиме trunk. Коммутаторы можно иногда соединять друг с другом и портами в режиме access.

Немного теории о магистральном порте

Trunk Port (Магистральный порт) — это порт, предназначенный для переноса трафика для всех VLAN, доступных через определенный коммутатор, процесс, известный как транкинг. Магистральные порты помечают кадры уникальными идентифицирующими тегами — тегами 802.1Q или тегами Inter-Switch Link (ISL) — при их перемещении между коммутаторами. Следовательно, каждый отдельный кадр может быть направлен в назначенный ему VLAN.

Интерфейс Ethernet может функционировать как магистральный порт или как порт доступа, но не оба одновременно. Магистральный порт может иметь более одного VLAN, настроенного на интерфейсе. В результате он может одновременно передавать трафик для многочисленных сетей VLAN. Это большое преимущество, так как для передачи трафика группе VLAN может использоваться один порт коммутатора. Они очень полезны, если пользователь хочет обмениваться трафиком между несколькими коммутаторами, имеющими более одного сконфигурированного vlan.

Схема выглядит так, у нас есть два коммутатора Cisco 2060 находящиеся на разных этажах здания.

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S20

Соединять будем через гигабитные порты. Идем на первом коммутаторе в режим конфигурирования

выбираем нужный интерфейс

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S16

Switch(config)#interface gigabitEthernet 1/1

Ставим нужный режим

Switch(config-if)#switchport mode trunk

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S17

Разрешаем нужные vlan в нашем случае 2 и 3

Switch(config-if)#switchport trunk allowed vlan 2,3

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S19

делаем на втором коммутаторе тоже самое. Проверим пингами соседей по этажам.

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S21

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S22

Как создать и настроить vlan в Cisco на примере Cisco 2960+48TC-S23

Все ок. Следующим шагом идет настройка маршрутизации в cisco, чтобы vlan видели друг друга.

Настройка транкового порта на коммутаторе Cisco

В прошлой статье рассказывалось о создании VLAN, двух типах портов и создания порта доступа. Сейчас рассмотри создание транкового порта который необходим когда внутри одного порта надо передавать данные нескольких VLAN. Такие порты называются тегированными, в теге передается номер VLAN к которому относится содержимое кадра. Для тегирования кадров используется стандарт 802.1Q.
 *Здесь мы используем терминологию Cisco. Определение транкового порта неодинаково для всех производителей, например говоря транк Cisco,Huawei,h4C имеют ввиду передачу тегированного трафика.В терминологии HPE/Aruba транк означает объединение физических портов в логический, а порт называют тегированным.

Транковые порты используется при соединении коммутаторов между собой, при использовании решения router on stick, подключении серверов,точек доступа и IP телефонов. С точки зрения командной строки отличается только настройка транкового порта для телефона, для первых трех типов конфигурация одинаковая.
К ранее используемой топологии  добавим второй коммутатор, и перенесем туда пользователей USER2 и USER3.

Все пользователи у нас находятся в VLAN 2, сервер в VLAN 3. Проверим настройки коммутатора №1 и настроим коммутатор №2:

1. Зададим коммутаторам имена как они обозначены на схеме:

Switch#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#hostname SWITCh2

Switch#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#hostname SWITCh3

2. Настройки портов доступа:

SWITCh2

interface Ethernet0/0

 description SERVER

 switchport access vlan 3

 switchport mode access

interface Ethernet0/1

 description USER1

 switchport access vlan 2

 switchport mode access

SWITCh3

interface Ethernet0/0

 description USER2

 switchport access vlan 2

 switchport mode access

interface Ethernet0/1

 description USER3

 switchport access vlan 2

 switchport mode access

3. Коммутаторы соединены портом e0/3, но в данный момент он не настроен и связи межу USER1 и USER2-3 нет:

USER3#ping 10.0.0.20

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.0.20, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms

USER3#ping 10.0.0.10

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.0.10, timeout is 2 seconds:

…..

Success rate is 0 percent (0/5)

Пропишем его как транк порт:

SWITCh2

interface Ethernet0/3

 switchport trunk encapsulation dot1q  #вводится первой для определения протокола тегирования

 switchport mode trunk                          #перевод порта в режим транка

 switchport trunk allowed vlan 2,3        #перечисляются VLAN разрешенные к передаче в транке

 switchport trunk native vlan 1              #Указание VLAN который будет нетегирован в транке

SWITCh3

interface Ethernet0/3

 switchport trunk allowed vlan 2,3

 switchport trunk encapsulation dot1q

 switchport mode trunk

Проверим настройки:

SWITCh2#sh interfaces switchport e0/3

Name: Et0/3

Switchport: Enabled

Administrative Mode: trunk

Operational Mode: trunk

Administrative Trunking Encapsulation: dot1q

Operational Trunking Encapsulation: dot1q

Negotiation of Trunking: On

Access Mode VLAN: 1 (default)

Trunking Native Mode VLAN: 1 (default)

Administrative Native VLAN tagging: enabled

Voice VLAN: none

Administrative private-vlan host-association: none

Administrative private-vlan mapping: none

Administrative private-vlan trunk native VLAN: none

Administrative private-vlan trunk Native VLAN tagging: enabled

Administrative private-vlan trunk encapsulation: dot1q

Administrative private-vlan trunk normal VLANs: none

Administrative private-vlan trunk associations: none

Administrative private-vlan trunk mappings: none

Operational private-vlan: none

Trunking VLANs Enabled: 2,3

Pruning VLANs Enabled: 2-1001

Capture Mode Disabled

Capture VLANs Allowed: ALL

Protected: false

Appliance trust: none

Указывать native VLAN нужно лишь в том случае если он отличен от 1 (VLAN 1 по умолчанию не тегируется). В целях безопасности, рекомендуется использовать в качестве нативного VLAN не использующийся для передачи данных, иными словами не используемый VLAN. Часто можно увидеть native VLAN  с номерами 666 или 999. 

Также можно запретить коммутатору использовать нетегированный VLAN в dot1q транках. Делается это глобальной командой(т.е. применяется ко всем транкам):

SWITCh2(config)#vlan dot1q tag native

Теперь проверим связь между узлами в разных коммутаторах:

USER3#ping 10.0.0.10

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.0.0.10, timeout is 2 seconds:

.!!!!

Для упрощения настройки можно не указывать разрешенные VLAN, по умолчанию все VLAN разрешены. Минимальный набор:

interface Ethernet0/3

 switchport trunk encapsulation dot1q

 switchport mode trunk

Проверим настройки интерфейса:

SWITCh2#sh interfaces switchport e0/3

Name: Et0/3

Switchport: Enabled

Administrative Mode: trunk

Operational Mode: trunk

Administrative Trunking Encapsulation: dot1q

Operational Trunking Encapsulation: dot1q

Negotiation of Trunking: On

Access Mode VLAN: 1 (default)

Trunking Native Mode VLAN: 1 (default)

Administrative Native VLAN tagging: enabled

Voice VLAN: none

Administrative private-vlan host-association: none

Administrative private-vlan mapping: none

Administrative private-vlan trunk native VLAN: none

Administrative private-vlan trunk Native VLAN tagging: enabled

Administrative private-vlan trunk encapsulation: dot1q

Administrative private-vlan trunk normal VLANs: none

Administrative private-vlan trunk associations: none

Administrative private-vlan trunk mappings: none

Operational private-vlan: none

Trunking VLANs Enabled: ALL

Pruning VLANs Enabled: 2-1001

Capture Mode Disabled

Capture VLANs Allowed: ALL

4. Добавление/Удаление VLAN с транкового порта. Вернем список разрешенных VLAN обратно на интерфейс e0/3  и затем добавим VLAN 4:

SWITCh2#sh run int e0/3

!

interface Ethernet0/3

 switchport trunk allowed vlan 2,3

 switchport trunk encapsulation dot1q

 switchport mode trunk

end

SWITCh2#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

SWITCh2(config)#vlan 4

SWITCh2(config-vlan)#name PRINTERS

SWITCh2(config-vlan)#int e0/3

SWITCh2(config-if)#swi tr all vl add 4    #очень важно поставить аргумент add.

SWITCh2(config-if)#do sh run int e0/3

!

interface Ethernet0/3

 switchport trunk allowed vlan 2-4

 switchport trunk encapsulation dot1q

 switchport mode trunk

Если не добавлять аргумент add при добавлении VLAN то коммутатор Cisco просто удалит старые настройки и оставить только новые, в данном случае разрешен будет только VLAN 4. При добавлении VLAN  в транк всегда надо помнить об этом, такая же логика у коммутаторов DELL.

Удалить VLAN  с транка можно используя другой аргумент — remove :

SWITCh2(config-if)#swi tr all vl remove 4

SWITCh2(config-if)# do sh run int e0/3

interface Ethernet0/3

 switchport trunk allowed vlan 2,3

 switchport trunk encapsulation dot1q

 switchport mode trunk

Настройка транка закончена, напоследок, не забыть сохраниться:

SWITCh2#wr

Building configuration…

Compressed configuration from 1551 bytes to 933 bytes[OK]

Базовая конфигурация для интерфейсов Cisco ASA 5505 — транковые порты

Сегодня мы расскажем о том, что такое транковые порты и о базовой конфигурации Cisco ASA для транковых портов. В частности, с отказоустойчивыми каналами. Рассмотрим ситуацию с двумя маршрутизаторами ASA, где один из них является основным, а второй — резервным, в зоне DMZ. Ранее в нашем блоге мы выполняли конфигурацию портов доступа Cisco ASA:

Базовая конфигурация для интерфейсов Cisco ASA 5505 — Порты доступа

 

И так приступим к базовой конфигурации Cisco ASA для транковых портов. Ниже приведена топология, показывающая размещение Cisco ASA в корпоративной сети. Представленные здесь конфигурации, IP-адреса и топология предназначены только для демонстрационных целей и не имеют отношения к какой-либо из корпоративных сетей.

Рис. 1.1. Cisco ASA в сценарии отказоустойчивости

Нижеприведенный пример является лишь базовым примером транк портов Cisco ASA, в нём мы собираемся сконфигурировать семь интерфейсов VLAN, включая резервный интерфейс, который настроен с помощью резервных команд lan. VLAN 20, 21 и 22 транкируются по Ethernet 1/1.

 

Конфигурация VLAN 10
sedicomm_asa(config)# interface vlan 10
sedicomm_asa(config-if)# nameif outside
sedicomm_asa(config-if)# security-level 0
sedicomm_asa(config-if)# ip address 10.1.1.1 255.255.255.0
sedicomm_asa(config-if)# no shutdown

 

Конфигурация VLAN 20
sedicomm_asa(config-if)# interface vlan 20
sedicomm_asa(config-if)# nameif inside
sedicomm_asa(config-if)# security-level 100
sedicomm_asa(config-if)# ip address 10.2.1.1 255.255.255.0
sedicomm_asa(config-if)# no shutdown

 

Конфигурации VLAN 21
sedicomm_asa(config-if)# interface vlan 21
sedicomm_asa(config-if)# nameif dept1
sedicomm_asa(config-if)# security-level 90
sedicomm_asa(config-if)# ip address 10.2.2.1 255.255.255.0
sedicomm_asa(config-if)# no shutdown

 

Конфигурации VLAN 22
sedicomm_asa(config-if)# interface vlan 22
sedicomm_asa(config-if)# nameif dept2
sedicomm_asa(config-if)# security-level 90
sedicomm_asa(config-if)# ip address 10.2.3.1 255.255.255.0
sedicomm_asa(config-if)# no shutdown

 

Конфигурации VLAN 30
sedicomm_asa(config-if)# interface vlan 30
sedicomm_asa(config-if)# nameif dmz
sedicomm_asa(config-if)# security-level 50
sedicomm_asa(config-if)# ip address 10.3.1.1 255.255.255.0
sedicomm_asa(config-if)# no shutdown

 

Конфигурации VLAN 40
sedicomm_asa(config-if)# interface vlan 40
sedicomm_asa(config-if)# nameif backup-isp
sedicomm_asa(config-if)# security-level 50
sedicomm_asa(config-if)# ip address 10.1.2.1 255.255.255.0
sedicomm_asa(config-if)# no shutdown

 

Конфигурации VLAN 50
sedicomm_asa(config-if)# failover lan faillink vlan 50
sedicomm_asa(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2 255.255.255.0

 

Назначение интерфейсов с идентификатором VLAN
sedicomm_asa(config)# interface ethernet 1/0
sedicomm_asa(config-if)# switchport access vlan 10
sedicomm_asa(config-if)# no shutdown

sedicomm_asa(config-if)# interface ethernet 1/2
sedicomm_asa(config-if)# switchport access vlan 30
sedicomm_asa(config-if)# no shutdown

sedicomm_asa(config-if)# interface ethernet 1/3
sedicomm_asa(config-if)# switchport access vlan 40
sedicomm_asa(config-if)# no shutdown

sedicomm_asa(config-if)# interface ethernet 1/4
sedicomm_asa(config-if)# switchport access vlan 50
sedicomm_asa(config-if)# no shutdown

 

Создание транк порта на интерфейсе
sedicomm_asa(config-if)# interface ethernet 1/1
sedicomm_asa(config-if)# switchport mode trunk
sedicomm_asa(config-if)# switchport trunk allowed vlan 20-22
sedicomm_asa(config-if)# switchport trunk native vlan 5
sedicomm_asa(config-if)# no shutdown

 

 

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University.

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.

Что Вы получите?

  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.

Как проходит обучение?

  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.

А еще поможем Вам:

  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.

Больше похожих постов

Устранение проблем интерфейса и неполадок портов коммутатора

Часть 1   Часть 2   Часть 3

Содержание

Распространенные проблемы портов и интерфейсов
     Состояние порта или интерфейса – Disable или Shutdown
     Порт или интерфейс в состоянии «errDisable»
     Порт или интерфейс в неактивном состоянии
     Увеличение значения счетчика отложенных кадров в интерфейсе коммутаторов Catalyst
     Перемежающиеся сбои при выполнении функции set timer [значение] from vlan [№ vlan]
     Несоответствие режима магистрального соединения
     Кадры jumbo, giant и baby giant
     Не удается проверить связь с конечным устройством
     Использование команды Set Port Host или Switchport Host для устранения задержек во время запуска
     Проблемы со скоростью/дуплексным режимом, автоматическим согласованием или сетевой платой
     Петли в дереве STP
     UDLD: одностороннее соединение
     Отложенные кадры (Out-Lost или Out-Discard)
     Неполадки программного обеспечения
     Ошибки оборудования
     Ошибки ввода в интерфейсе уровня 3, подключенном к коммутационному порту уровня 2.
     Быстрое увеличение значения счетчика Rx-No-Pkt-Buff и ошибок ввода
     Режим магистрального соединения между коммутатором и маршрутизатором
!—Дискуссионные форумы NetPro — избранные темы
—>Дополнительные сведения


Распространенные проблемы портов и интерфейсов

Состояние порта или интерфейса – Disable или Shutdown

Очевидная, но часто упускаемая из виду причина сбоя подключения к порту заключается в неправильной настройке коммутатора. Если индикатор порта горит постоянным оранжевым светом, это означает, что работа порта завершена программным обеспечением коммутатора, либо с помощью пользовательского интерфейса, либо внутренними процессами.

Примечание: Некоторые индикаторы портов данной платформы функционирует по отношению к протоколу STP отличным образом. Например, на коммутаторах серии Catalyst 1900/2820 индикаторы портов горят оранжевым светом, когда порты функционируют в режиме блокирования STP. В этом случае оранжевый свет может означать нормальную работу протокола STP. На коммутаторах серии Catalyst 6000/5000/4000 индикаторы портов не загораются оранжевым светом в случае блокирования портов протоколом STP.

Убедитесь, что порт или модуль не отключен или не выключен по каким-либо причинам. Если на одной стороне соединения работа порта или модуля завершена вручную, это соединение активируется только после повторного включения порта. Проверьте состояние порта на обеих сторонах.

В CatOS выполните команду show port и, если порт отключен, включите его.

Port  Name                 Status     Vlan       Duplex Speed Type
 ----- -------------------- ---------- ---------- ------ ----- ------------
  3/1                       disabled   1            auto  auto 10/100BaseTX
   !--- Use the set port enable mod/port command to re-enable this port.	

Используйте команду show module , чтобы определить, отключен ли данный модуль. Если модуль отключен, включите его.

Mod Slot Ports Module-Type               Model               Sub Status
 --- ---- ----- ------------------------- ------------------- --- --------
 2   2    2     1000BaseX Supervisor      WS-X6K-SUP1A-2GE    yes ok
 16  2    1     Multilayer Switch Feature WS-F6K-MSFC         no  ok
 3   3    48    10/100BaseTX Ethernet     WS-X6348-RJ-45      no  disable
 				!--- Use the set module enable mod/port command to re-enable this port. 			

Для Cisco IOS используйте команду show run interface и проверьте, не находится ли данный интерфейс в состоянии завершения работы:

Switch#sh run interface fastEthernet 4/2
! interface FastEthernet4/2
  switchport trunk encapsulation dot1q
  switchport mode trunk
  shutdown
  duplex full
  speed 100
 end
 !--- Use the no shut command in config-if mode to re-enable this interface.   			

Если порт переходит в режим завершения работы сразу после перезагрузки коммутатора, вероятная причина заключается в настройке безопасности порта. Если в данном порту включена односторонняя лавинная маршрутизация, это может вызывать завершение работы порта после перезагрузки. На практике компании осуществляющее абонетское техническое облуживание компьютеров и сетевого оборудования отключают одностороннюю лавинную маршрутизацию. Корпорация Cisco рекомендует отключать одностороннюю лавинную маршрутизацию, так как это также гарантирует, что в таком порте не возникнет лавинная маршрутизация после достижения ограничения MAC-адресов.

Порт или интерфейс в состоянии «errDisable»

По умолчанию программное обеспечение, установленное на коммутаторе, может завершить работу порта или интерфейса при обнаружении определенных ошибок.

В выходных данных команды show port для CatOS может указываться состояние errdisable:

switch>(enable) sh port 4/3
    Port  Name                 Status     Vlan       Duplex Speed Type
   ----- -------------------- ---------- ---------- ------ ----- ------------ 
  4/3                        errdisable 150          auto  auto 10/100BaseTX
   !--- The show port command displays a status of errdisable. 			

Можно также воспользоваться командой show interface card-type {slot/port} status для Cisco IOS:

Router#show int fasteth 2/4 status
      Port    Name               Status       Vlan       Duplex  Speed Type
   Gi2/4                      err-disabled 1            full   1000 1000BaseSX
   !--- The show interfaces card-type {slot/port} status command for Cisco IOS
   !--- displays a status of errdisabled.
   !--- The show interfaces status errdisabled command shows all the interfaces
   !--- in this status.  			

Команда show logging buffer для CatOS и команда show logging для Cisco IOS также отображают сообщения об ошибках (точный формат сообщений различен), связанные с состоянием «errdisable».

Порты или интерфейсы, работа которых завершается из-за состояния ошибки, в CatOS и в Cisco IOS считаются причинами. Причины этого различны: от неправильной настройки EtherChannel, которая вызывает PAgP-переброску, до несоответствия дуплексных режимов, одновременной настройки режима PortFast и защиты порта от блоков BPDU, функции обнаружения односторонной связи (UDLD) и т.д.

Необходимо вручную включить порт или интерфейс, чтобы вывести его из состояния «errdisable», если не настроено восстановление из состояния «errdisable». В программном обеспечении CatOS версии 5.4(1) и выше поддерживается автоматическое повторное включение порта после его пребывания в состоянии отключения после ошибки в истечение настраиваемого периода времени. Cisco IOS в большинстве коммутаторов также обладают этой функциональной возможностью. Нижняя строка имеет этот вид, даже если настроить интерфейс на восстановление из состояния. Данная проблема продолжает возникать, пока не будет устранена ее основная причина.

Дополнительные сведения о причинах состояния «errdisable» для коммутаторов и восстановлении из него см. в документе Восстановление при состоянии порта «errDisable» на платформах CatOS.

Примечание: Используйте эту ссылку в качестве справки по состоянию «errdisable» на коммутаторах с Cisco IOS, так как основные причины одинаковы, вне зависимости от используемой операционной системы.

В этой таблице сравниваются команды, используемые для настройки проверки и устранения состояния «errdisable» на коммутаторах с CatOS и Cisco IOS. Выберите команду для перехода к документации по командам.

Команды CatOS для работы с состоянием «errdisable»

Действие

Команды Cisco IOS для работы с состоянием «errdisable»

set errdisable-timeout {enable | disable} {reason}

установка или настройка

errdisable detect cause

errdisable recovery cause

set errdisable-timeout interval {interval

установка или настройка

errdisable recovery {interval

show errdisable-timeout

проверка и устранение неполадок

show errdisable detect

show interfaces status err-disabled

 

Порт или интерфейс в неактивном состоянии

Одна из распространенных причин отсутствия активности портов на коммутаторах с CatOS — исчезновение сети VLAN, которой они принадлежат. Такая же проблема может возникнуть на коммутаторах с Cisco IOS, когда интерфейсы настроены в качестве портов коммутатора уровня 2 с помощью команды switchport .

Каждый порт коммутатора уровня 2 принадлежит сети VLAN. Каждый порт коммутатора уровня 3, настроенный в качестве коммутационного порта L2, также должен принадлежать некоторой сети VLAN. При удалении такой сети VLAN соответствующий порт или интерфейс становятся неактивным.

Примечание: Когда это происходит, на некоторых коммутаторах индикатор горит постоянным оранжевым светом на каждом порте.

В CatOS используйте команду show port или show port status вместе с командой show vlan для проверки:

Switch> (enable) sh port status 2/2
 Port Name Status Vlan Duplex Speed Type
 ----- -------------------- ---------- ---------- ------ ----- ------------
 2/2 inactive 2 full 1000 1000BaseSX
 !--- Port 2/2 is inactive for VLAN 2.
       Switch> (enable) sh vlan
  VLAN Name Status IfIndex Mod/Ports, Vlans
---- -------------------------------- --------- ------- ------------------------
 1 default active 5 2/1 
!--- VLANs are displayed in order and VLAN 2 is missing. 			

Для Cisco IOS используйте команду show interfaces card-type {slot/port} switchport вместе с командой show vlan , чтобы проверить.

Router#sh interfaces fastEthernet 4/47 switchport
   Name: Fa4/47Switchport: Enabled
   Administrative Mode: static access
   Operational Mode: static access
   Administrative Trunking Encapsulation: negotiate
   Operational Trunking Encapsulation: native
   Negotiation of Trunking: Off
   Access Mode VLAN: 11 ((Inactive))
   !--- FastEth 4/47 is inactive.
    Router#sh vlan    VLAN Name                             Status    Ports
  ---- -------------------------------- --------- -------------------------------
  1    default                          active    Gi1/1, Gi2/1, Fa6/6
  10   UplinkToGSR's                    active    Gi1/2, Gi2/2
   !--- VLANs are displayed in order and VLAN 11 is missing.
  30   SDTsw-1ToSDTsw-2Link             active	Fa6/45

Если коммутатор, удаливший сеть VLAN, является VTP-сервером для VTP-домена, у всех коммутаторов серверов и клиентов этого домена данная сеть VLAN также удаляется из их таблицы сетей VLAN. Когда данная сеть VLAN снова добавляется в таблицу сетей VLAN коммутатора VTP-сервера, порты коммутаторов домена, принадлежащие восстановленной сети VLAN, снова становятся активными. Порт помнит, какой сети VLAN он назначен, даже если эта сеть VLAN удалена. 

Увеличение значения счетчика отложенных кадров в интерфейсе коммутаторов Catalyst

Отбрасывание кадров вызвано чрезмерной нагрузкой трафиком данного коммутатора. Обычно отложенные кадры — это кадры, которые были переданы успешно после ожидания носителя, так как он был занят. Они обычно наблюдаются в полудуплексных средах, в которых несущая уже используется, при попытке передачи кадра. Однако в дуплексных средах эта проблема возникает, когда к коммутатору направляется чрезмерная нагрузка.

Ниже описывается обходное решение.

  • Чтобы избежать ошибок согласования, жестко задайте использование дуплексного режима на обеих сторонах соединения.

  • Замените кабель и шнур коммутационной панели, чтобы гарантировать исправность кабеля и соединительных шнуров.

Перемежающиеся сбои при выполнении функции set timer [значение] from vlan [№ vlan]

Данная проблема возникает, когда логической схеме распознавания закодированных адресов (Encoded Address Recognition Logic, EARL) не удается задать требуемое число секунд для времени устаревания CAM сети VLAN. В данном случае время устаревания сети VLAN уже настроено на быстрое устаревание.

Когда сеть VLAN уже находится в процессе быстрого устаревания, схема EARL не может ее настроить на быстрое устаревание, процесс настройки таймера устаревания блокирован. По умолчанию время устаревания CAM равно пяти минутам, т.е. каждые 5 минут коммутатор очищает таблицу полученных MAC-адресов. Это гарантирует, что в таблице MAC-адресов (таблица CAM) содержатся только самые последние записи.

При быстром устаревании время устаревания CAM временно становится равным числу секунд, заданному пользователем, и используется в процессе создания уведомлений об изменении топологии (TCN). Идея заключается в том, что при изменении топологии это значение необходимо для ускорения очистки таблицы CAM, чтобы компенсировать изменение топологии.

Выполните команду show cam aging , чтобы проверить время устаревания CAM на данном коммутаторе. Процессы TCN и быстрого устаревания выполняются достаточно редко. Поэтому данное сообщение имеет уровень важности 3. Если сети VLAN часто участвуют в процессе быстрого устаревания, проверьте причину этого.

Наиболее распространенная причина уведомлений об изменении топологии — клиентские ПК, напрямую подключенные к коммутатору. При включении или отключении питания ПК порт коммутатора изменяет состояние, а коммутатор начинает процесс уведомления об изменении топологии. Это вызвано тем, что коммутатору неизвестно, что подключенное устройство является ПК. Коммутатору известно лишь то, что порт изменил состояние.

Чтобы разрешить данную проблему, корпорация Cisco разработала функцию PortFast для портов узлов. Преимущество PortFast заключается в том, что данная функция подавляет уведомление об изменении топологии для порта хоста. При проведени IT-аудита рекомендуется обозначать порты на которых включена функция PortFast.

Примечание: Кроме того, поскольку функция PortFast игнорирует вычисление топологии STP для порта, она может применяться только для портов хостов.

Чтобы включить PortFast для порта, выполните одну из следующих команд:

set spantree portfast mod/port enable | disable

или

set port host mod/port Корпорация Cisco рекомендует использовать эту команду, если на коммутаторе используется CatOS5.4 или более высокой версии.

Несоответствие режима магистрального соединения

Проверьте режим магистрального соединения на каждой стороне связи. Убедитесь, что на обеих сторонах используется либо один и тот же режим магистрального соединения (ISL или IEEE 802.1Q), либо на обеих сторонах режим магистрального соединения отключен. Если включить режим магистрального соединения («on» вместо «auto» или «desirable») на одном порте, а на другом его отключить (off), порты не смогут обмениваться данными. Режим магистрального соединения изменяет форматирование пакета. Порты должны согласовать формат, используемый для данного соединения, иначе они не поймут друг друга.

В CatOS используйте команду show trunk {mod/port}, чтобы проверить статус магистрали и убедиться в совпадении параметров собственной сети VLAN (для dot1q) на обеих сторонах.

Switch> (enable) sh trunk 3/1
    * - indicates vtp domain mismatch
   Port      Mode         Encapsulation  Status        Native vlan
   --------  -----------  -------------  ------------  -----------
    3/1      desirable    dot1q          trunking      1      Port      Vlans allowed on trunk
   --------  ---------------------------------------------------------------------
    3/1      1-1005,1025-4094
 !--- Output truncated. 			

Для Cisco IOS используйте команду show interfaces card-type {mod/port} trunk , чтобы проверить конфигурацию режима магистрального соединения и собственную сеть VLAN.

Router#sh interfaces fastEthernet 6/1 trunk
      Port      Mode         Encapsulation  Status        Native vlan   Fa6/1     desirable    802.1q
         trunking      1      Port      Vlans allowed on trunk   Fa6/1     1-4094
 !--- Output truncated.  			

Рекомендации, ограничения, а также дополнительные сведения о различных режимах магистрального соединения см. в следующих документах:

  • Системные требования для реализации режима магистрального соединения

  • Страница поддержки технологии магистрального соединения

Кадры jumbo, giant и baby giant

По умолчанию максимальный размер передаваемого блока данных (MTU) для кадра Ethernet равен 1500 байтам. Если в передаваемом трафике MTU превышает поддерживаемое значение MTU, коммутатор не пересылает такой пакет. Кроме того, в зависимости от аппаратного и программного обеспечения на некоторых платформах в результате увеличиваются значения счетчиков ошибок портов и интерфейсов.

  • Jumbo-кадры не определены в стандарте IEEE Ethernet и зависят от поставщика. Их можно определить как кадры размера, превышающего размер стандартного кадра Ethernet (1518 байтов, включая заголовок L2 и контрольную сумму CRC). Размер jumbo-кадров обычно значительно больше (более 9000 байтов).

  • Кадры giant определяются как кадры с неверным значением последовательности FCS, размер которых превышает размер максимального кадра Ethernet (1518 байтов).

  • Кадры baby giant — это кадры, лишь незначительно превышающие максимальный размер кадра Ethernet. Обычно это кадры размером до 1600 байтов.

Поддержка jumbo-кадров и кадров baby giant на коммутаторах Catalyst зависит от платформы и даже от модулей внутри коммутатора. Поддержка jumbo-кадров также зависит от версии программного обеспечения.

Дополнительные сведения о требованиях к системе, настройке, поиску и устранению проблем, связанных с jumbo-кадрами и кадрами baby giant см. в документе Настройка поддержки кадров jumbo/giant на коммутаторах Catalyst .

Не удается проверить связь с конечным устройством

Проверьте связь с конечным устройством, сначала отправляя эхо-запросы из напрямую подключенного коммутатора, затем последовательно проверяйте каждый порт, интерфейс и магистраль, пока не будет найден источник проблемы подключения. Убедитесь, что каждому коммутатору доступен MAC-адрес конечного устройства в таблице CAM.

В CatOS используйте команду show cam dynamic {mod/port}.

Switch> (enable) 
sh cam dynamic 3/1 * = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
 X = Port Security Entry $ = Dot1x Security Entry    
VLAN  Dest MAC/Route Des    [CoS]  Destination Ports or VCs / [Protocol Type]
 ----  ------------------    -----  -------------------------------------------
 2     00-40-ca-14-0a-b1             3/1 [ALL] 
!--- A workstation on VLAN 2 with MAC address 00-40-ca-14-0a-b1 is seen in the CAM table 
!--- on the trunk port of a switch running CatOS. Total Matching CAM Entries Displayed  =1 Console> (enable)

Для Cisco IOS используйте команду show mac address-table dynamic или подставьте ключевое слово interface.

Router# sh mac-address-table int fas 6/3
 Codes: * - primary entry      vlan   mac address     type    learn qos            ports
 ------+----------------+--------+-----+---+-------------------------- *
    2  0040.ca14.0ab1   dynamic  No    --  Fa6/3
  !--- A workstation on VLAN 2 with MAC address 0040.ca14.0ab1 is directly connected
 !--- to interface fastEthernet 6/3 on a switch running Cisco IOS. 			

Если известно, что в таблице CAM коммутатора действительно содержится MAC-адрес устройства, определите, принадлежит ли данное устройство сети VLAN, которой принадлежит узел, где предпринимается попытка установления связи.

Если конечное устройство относится к другой сети VLAN, необходимо настроить коммутатор L3 или маршрутизатор, чтобы разрешить связь между устройствами. Убедитесь в правильной настройке адресации L3 на конечном устройстве и в маршрутизаторе или коммутаторе L3. Проверьте IP-адрес, маску подсети, основной шлюз, конфигурацию протокола динамической маршрутизации, статические маршруты и т.д.

Использование команды Set Port Host или Switchport Host для устранения задержек во время запуска

Если станциям не удается связаться со своими основными серверами при подключении через коммутатор, то проблема может быть связана с задержками в порту коммутатора, который становится активным после включения соединения на физическом уровне. В некоторых случаях задержки могут достигать 50 секунд.

Некоторые рабочие станции просто не могут ждать так долго во время поиска своих серверов. Такие задержки вызываются протоколом STP, согласованиями режима магистрального соединения (DTP) и согласованиями EtherChannel (PAgP). Все эти протоколы можно отключить для портов доступа, где они не нужны. В результате порт или интерфейс коммутатора начинает пересылать пакеты всего через несколько секунд после установления соединения с соседним устройством.

Команда set port host введена в CatOS версии 5.4. Эта команда отключает режим канала и режим магистрального соединения и переводит порт в STP-состояние пересылки.

Switch> (enable) set port host 3/5-10 Port(s) 3/5-10 channel mode set to off.
!--- The set port host command also automatically turns off etherchannel on the ports. 				
Warning: Spantree port fast start should only be enabled on ports connected to a single host.
Connecting hubs, concentrators, switches, bridges, etc. to a fast start port can cause temporary spanning tree loops.
Use with caution.
!--- Notice the switch warns you to only enable port host on access ports.
Spantree ports 3/5-10 fast start enabled.
Dot1q tunnel feature disabled on port(s) 3/5-10. Port(s) 3/5-10 trunk mode set to off. 				
!--- The set port host command also automatically turns off trunking on the ports. 			

Примечание: В CatOS версий, предшествующих версии 5.4, использовалась команда set spantree portfast {mod/port} enable . В текущих версиях CatOS сохраняется возможность использования только этой команды, однако для этого необходимо по отдельности отключить режим магистрального соединения и EtherChannel, чтобы максимально снизить время задержек при запуске рабочих станций. Ниже перечислены необходимые дополнительные команды: set port channel {mod/port} off и set trunk {mod/port} off.

Для Cisco IOS можно использовать команду switchport host , чтобы отключить объединение портов в канал и включить функцию PortFast протокола STP, и команду switchport nonegotiate , чтобы отключить пакеты согласования DTP. Используйте команду interface-range , чтобы сделать это одновременно на нескольких интерфейсах.

Router6k-1(config)#int range fastEthernet 6/13 - 18 
Router6k-1(config-if-range)#switchport 
Router6k-1(config-if-range)#switchport host
switchport mode will be set to access spanning-tree portfast will be enabled channel group will be disabled 
!--- Etherchannel is disabled and portfast is enabled on interfaces 6/13 - 6/18. 
Router6k-1(config-if-range)#switchport nonegotiate  				
!--- Trunking negotiation is disabled on interfaces 6/13 - 6/18. Router6k-1(config-if-range)#end Router6k-1# 

В Cisco IOS есть возможность использования команды global spanning-tree portfast default для автоматического применения функции PortFast к любому интерфейсу, настроенному в качестве коммутационного порта доступа уровня 2. Описание возможностей этой команды см. в Справочнике по командам для используемого выпуска программного обеспечения. Можно также воспользоваться командой spanning-tree portfast для каждого интерфейса, однако для этого необходимо по отдельности отключить режим магистрального соединения и EtherChannel, чтобы максимально снизить время задержек при запуске рабочих станций.

Дополнительные сведения об устранении задержек во время запуска см. в документе Использование режима PortFast и других команд для устранения задержек соединения во время запуска рабочей станции.

Проблемы со скоростью/дуплексным режимом, автоматическим согласованием или сетевой платой

В случае большого количества ошибок выравнивания, ошибок FCS или поздних конфликтов это может указывать на одно из следующего:

  • несоответствие дуплексных режимов

  • неисправный или поврежденный кабель

  • неполадки сетевой платы

Несоответствие дуплексных режимов

Распространенная проблема со скоростью/дуплексным режимом — несоответствие параметров дуплексных режимом между двумя коммутаторами, между коммутатором и маршрутизатором, либо между коммутатором и рабочей станцией или сервером. Такая ситуация может возникать, если параметры скорости и дуплексных режимов запрограммированы жестко вручную, или в случае проблем автоматического согласования между двумя устройствами.

Если такое несоответствие возникает между двумя устройствами Cisco с включенным протоколом CDP, в консоли или буфере регистрации обоих устройств отображаются CDP-сообщения об ошибках. Протокол CDP полезен при обнаружении ошибок, а также для сбора статистики о портах и системах соседних устройств Cisco. Протокол CDP разработан корпорацией Cisco. Он работает путем отправки пакетов хорошо известному MAC-адресу 01-00-0C-CC-CC-CC.

В рассмотренном ниже примере показаны сообщения журнала, которые появляются в результате несоответствия дуплексных режимов между двумя коммутаторами серии Catalyst 6000: на одном используется CatOS, а на другом — Cisco IOS. В таких сообщениях обычно сообщается суть несоответствия и место его возникновения.

2003 Jun 02 11:16:02 %CDP-4-DUPLEXMISMATCH:Full/half duplex mismatch detected on port 3/2 
!--- CatOS switch sees duplex mismatch.
 Jun  2 11:16:45 %CDP-4-DUPLEX_MISMATCH:
 duplex mismatch discovered on FastEthernet6/2 (not half duplex), with TBA04251336 3/2 (half duplex).
  !--- Cisco IOS switch sees duplex mismatch. 			

В CatOS используйте команду show cdp neighbor [mod/port] detail для отображения данных протокола CDP о соседних устройствах Cisco.

Switch> (enable) sh cdp neighbor 3/1 detail Port (Our Port):
 3/1 Device-ID: Router Device Addresses:   IP Address: 10.1.1.2 Holdtime: 133 sec
 Capabilities: ROUTER SWITCH IGMP
 Version:   Cisco Internetwork Operating System Software   IOS (tm) c6sup2_rp Software (c6sup2_rp-PK2S-M),
 Version 12.1(13)E6, EARLY DEPL OYMENT RELEASE SOFTWARE (fc1)
   TAC Support: http://www.cisco.com/tac   Copyright (c) 1986-2003 by cisco Systems, Inc.
   Compiled Fri 18-Apr-03 15:35 by hqluong Platform: cisco Catalyst 6000
 Port-ID (Port on Neighbors's Device): FastEthernet6/1 				
!--- Neighbor device to port 3/1 is a Cisco Catalyst 6000 Switch on 
!--- FastEth 6/1 running Cisco IOS. VTP Management Domain: test1Native VLAN: 1 Duplex: full
!--- Duplex is full.
 System Name: unknown
 System Object ID: unknown
 Management Addresses: unknown
 Physical Location: unknown Switch> (enable) 

Для Cisco IOS используйте команду show cdp neighbors card-type {slot/port} detail для отображения данных протокола CDP о соседних устройствах Cisco.

Router#sh cdp neighbors fastEthernet 6/1 detail
 -------------------------
 Device ID: TBA04251336 Entry address(es):
   IP address: 10.1.1.1 Platform: WS-C6006,
  Capabilities: Trans-Bridge Switch IGMP Interface:
 FastEthernet6/1,  Port ID (outgoing port): 3/1
 Holdtime : 152 sec  Version : WS-C6006 Software,
 Version McpSW: 6.3(3) NmpSW: 6.3(3) Copyright (c) 1995-2001 by Cisco Systems 
!--- Neighbor device to FastEth 6/1 is a Cisco Catalyst 6000 Switch
 !--- on port 3/1 running CatOS.
 advertisement version: 2 VTP Management Domain: 'test1' Native VLAN:
 1 Duplex: full 				
!--- Duplex is full.  Router#

Установка значения «auto» для параметров скорости/дуплексного режима на одной стороне и значения «100/Full-duplex» на другой также является неправильной конфигурацией и может привести к несоответствию дуплексных режимов. Если в порту коммутатора возникает много поздних конфликтов, это обычно указывает на проблему несоответствия дуплексных режимов и может привести к переводу порта в состояние отключения из-за ошибки. Сторона с полудуплексным режимом ожидает пакеты только в определенные промежутки времени, не постоянно, поэтому получение пакета в несоответствующее время воспринимается как конфликт. Существуют и другие причины поздних конфликтов, кроме несоответствия дуплексных режимов, но это одна из самых распространенных причин. Всегда на обеих сторонах соединения настраивайте автоматическое согласование скорости/дуплексного режима или задавайте эти параметры на обеих сторонах вручную.

В CatOS используйте команду show port status [mod/port] для отображения настроек скорости и дуплексного режима и другой информации. Используйте команду set port speed и set port duplex для жесткой настройки обеих сторон на значения 10 или 100 и «half» или «full», при необходимости.

Switch> (enable) sh port status 3/1 Port  Name                 Status     Vlan       Duplex Speed Type
 ----- -------------------- ---------- ---------- ------ ----- ------------
  3/1                       connected  1          a-full a-100 10/100BaseTX Switch> (enable)

Для Cisco IOS используйте команду show interfaces card-type {slot/port} status для отображения параметров скорости и дуплексного режима, а также другой информации. Используйте команду скорость и duplex в режиме конфигурации интерфейса для жесткой настройки обеих сторон на значения 10 или 100 и «half» или «full», при необходимости.

Неисправный или поврежденный кабель

Всегда проверяйте кабель на наличие заметного повреждения или сбоя. Кабель может быть достаточно хорошим для соединений на физическом уровне, и в тоже время повреждать пакеты в результате скрытого повреждения проводов или разъемов. Проверьте или замените медный или оптоволоконный кабель. Замените конвертер GBIC (если можно) для оптоволоконных соединений. Исключите все неправильные подключения к коммутационной панели и медиаконвертеры между источником и назначением. Попробуйте вставить кабель в другой порт или интерфейс (если есть) и проверить, сохранится ли данная проблема.

Проблемы автоматического согласования и сетевых плат

Иногда возникают проблемы между коммутаторами Cisco и определенными сетевыми платами сторонних производителей. По умолчанию порты и интерфейсы коммутаторов Catalyst настроены на автоматическое согласование. Такие устройства, как портативные компьютеры или другие устройства, также обычно настраиваются на автоматическое согласование, тем не менее иногда возникают проблемы с автоматическим согласованием.

Для устранения проблем с автоматическим согласованием часто рекомендуется жестко запрограммировать обе стороны. Если ни автоматическое согласование, ни жесткое программирование не работает, возможно, возникла неполадка в микропрограмме или программном обеспечении сетевой платы. Для разрешения проблемы обновите драйвер сетевой платы до последней версии, доступной на веб-узле производителя.

Подробные сведения о разрешении проблем с параметрами скорости/дуплексного режима и автоматическим согласованием см. в документе Настройка и устранение неполадок автоматического согласования Ethernet 10/100/1000 MB в полудуплексном и дуплексном режимах.

Петли в дереве STP

Петли протокола STP могут вызвать серьезные проблемы с производительностью, маскирующиеся под неполадки портов или интерфейсов. В такой ситуации, пропускная способность снова и снова используется одними и теми же кадрами, оставляя очень мало ресурсов законному трафику.

В данном документе рассматриваются причины возможных сбоев протокола STP, информация, которую необходимо найти для идентификации источника проблемы, и типы проектов, минимизирующие риски STP.

Петли также могут вызываться однонаправленными соединениями. Дополнительные сведения о проблемах, связанных с однонаправленными соединениями, см. в разделе «UDLD: одностороннее соединение» настоящего документа.

UDLD: одностороннее соединение

Однонаправленное соединение — это соединение, при котором трафик передается только в одном направлении, а в обратном направлении трафик отсутствует. Коммутатору не известно, что соединение для обратного трафика не функционирует (соединение воспринимается портом как активное и работоспособное).

Вышедший из строя оптоволоконный кабель или другие проблемы, связанные с кабелем/портом, могут стать причиной превращения соединения в одностороннее. Эти частично работающие соединения могут вызывать такие проблемы, как петли STP, если задействованные коммутаторы не осведомлены о частичной неисправности соединения. Функция обнаружения однонаправленной связи (UDLD) может перевести порт в состояние «errdisable» при обнаружении однонаправленного соединения. Команду «udld aggressive-mode» можно использовать на коммутаторах с CatOS и Cisco IOS (сведения о поддерживаемых командах см. в заметках о выпуске) для соединений «точка-точка» между коммутаторами, в которых неправильно функционирующие соединения не допускаются. Эта функция может помочь при идентификации трудно обнаруживаемых проблем, связанных с возникновением однонаправленной связи.

Сведения о настройке функции обнаружения однонаправленной связи (UDLD) см. в документе Общие сведения и настройка протокола обнаружения однонаправленной связи (UDLD).

Отложенные кадры (Out-Lost или Out-Discard)

Большое количество отложенных или «Out-Discard» кадров (на некоторых платформах они также называются Out-Lost) означает, что выходные буферы коммутатора полностью заполнены и коммутатор был вынужден отбрасывать данные пакеты. Причиной этого может быть то, что данный сегмент функционирует при недостаточных параметрах скорости и/или дуплексного режима, либо что через порт проходит слишком большой объем трафика.

Сбои буфера вывода могут вызываться следующими причинами:

Неоптимальная скорость/дуплексный режим для заданного объема трафика

Сеть может пересылать через порт слишком много пакетов, чтобы порт мог их обработать при текущих параметрах скорости/дуплексного режима. Это может произойти на участках, где осуществляется передача от нескольких высокоскоростных портов к одному (обычно более медленному) порту. Устройство, вызвавшее зависание порта, можно подключить к более быстрому носителю. Например, если порт работает на скорости 10 Мбит/с, подключите данное устройство к порту 100 Мбит/с или к порту Gigabit. Можно изменить топологию, чтобы поменять маршрутизацию кадров.

Проблемы перегруженности: сегмент слишком занят

Если является общим, другие устройства в данном сегменте могут передавать так много данных, что у коммутатора нет возможности для передачи. По возможности избегайте каскадного подключения концентраторов. Перегруженность может привести к потере пакетов. Потеря пакетов вызывает повторные передачи на транспортном уровне, что в свою очередь приводит к возникновению задержки на уровне приложений. По возможности замените соединения с пропускной способностью 10 Мбит/с на линии 100 Мбит/с или Gigabit Ethernet. Некоторые устройства можно перенести из перегруженных в менее загруженные сегменты. Задача устранения перегруженности сети должна быть приоритетной.

Приложения

Порой характеристики передачи трафика используемых приложений могут привести к проблемам с выходными буферами. Передачи файлов NFS от подключенного к плате Gigabit сервера, использующего протокол UDP с размером окна 32K, представляют пример настройки приложения, которые приводят к данному типу проблемы. Если все другие советы и инструкции (проверка скорости/дуплексного режима, проверка наличия физических ошибок соединения, допустимости всего трафика и т.д.), предлагаемые в данном документе, не помогли устранить данную проблему, уменьшите размер отправляемых приложением блоков. Это поможет смягчить негативное влияние неполадки.

Неполадки программного обеспечения

Если наблюдаемое поведение системы/сети можно охарактеризовать только как «странное», определите конкретный узел, являющийся источником неполадок. Проведите все предложенные до сих пор проверки. Если это не помогает устранить возникшие неполадки, возможно, наличие проблем программного или аппаратного обеспечения. Обычно проще обновить программное обеспечение, чем оборудование. Сначала обновите программное обеспечение.

В CatOS используйте команду show version , чтобы проверить версию текущего программного обеспечения и освободить флеш-память для обновления.

Для Cisco IOS используйте команду show version , чтобы проверить версию текущего программного обеспечения, вместе с командой dir flash: или dir bootflash: (в зависимости от платформы), чтобы проверить доступную флеш-память для обновления

Обновление программного обеспечения

Чтобы получить информацию об обновлении ПО для коммутаторов Catalyst, выберите необходимую платформу в списке коммутаторов для ЛВС (LAN Switches) или коммутаторов ATM (ATM Switches), а затем перейдите к разделам «Configuration» (Настройка) > Software Upgrade (Обновление ПО) и Working With Configuration Files (Работа с файлами конфигурации).

Несовместимость аппаратного и программного обеспечения

Возможна ситуация, когда программное обеспечение несовместимо с оборудованием. Такое случается, когда поступает новое оборудование, требующее специальной поддержки от программного обеспечения. Для получения дополнительных сведений о совместимости программного обеспечения используйте средство Software Advisor.

Ошибки в программном обеспечении

В операционной системе могут быть ошибки. После загрузки более новой версии программного обеспечения нередко проблема устраняется. С помощью средства поиска ошибок в ПО можно искать информацию об известных ошибках в программном обеспечении.

Поврежденные образы

Образ может быть поврежден или утрачен. Чтобы получить информацию о восстановлении поврежденных образов ПО, выберите необходимую платформу в списке коммутаторов для ЛВС (LAN Switches) или коммутаторов ATM (ATM Switches), а затем перейдите к разделам «Troubleshooting» (Устранение неполадок) > «Recovery from Corrupted or Missing Software» (Восстановление поврежденного или отсутствующего образа ПО).

Ошибки оборудования

Проверьте результаты выполнения команды show module для коммутаторов серии Catalyst 6000 и 4000 с ПО CatOS или Cisco IOS.

Switch> (enable) sh mod Mod Slot Ports Module-Type               Model               Sub Statu
 --- ---- ----- ------------------------- ------------------- ----------- 1   1    2
     1000BaseX Supervisor      WS-X6K-S2U-MSFC2    yes ok 15  1    1
     Multilayer Switch Feature WS-F6K-MSFC2        no  ok 3   3    8
     1000BaseX Ethernet        WS-X6408A-GBIC      no  faulty 5   5    48
     10/100BaseTX Ethernet     WS-X6348-RJ-45      no  faulty 				
!--- Status of "faulty" indicates a possible hardware problem. 
!--- This could be a line card problem, but since two mods are effected, 
!--- perhaps there's a problem with the supervisor. 
!--- Use the reset command (CatOS) or hw-module{mod}reset command (Cisco IOS), 
!--- or try physically reseating the modules and the supervisor. 
!--- Also, try moving the supervisor to slot 2.  			

Проверьте результаты выполнения процедуры POST на коммутаторе, чтобы проверить появление указаний на сбои портов коммутатора. В случае сбоя теста модуля или порта в результатах тестирования отображается буква «F».

В CatOS используйте команду show test , чтобы просмотреть результаты всех тестов. Чтобы просмотреть результаты тестов для каждого модуля, используйте команду show test {mod} команда:

Switch> (enable) sh test 3 Diagnostic mode: complete   (mode at next reset: minimal) 
!--- The diaglevel is set to complete which is a longer but more thorough test. 
!--- The command to do this for CatOS is set test diaglevel complete. 
Module 3 : 16-port 1000BaseX EthernetLine 
Card Status for Module 3 : PASS Port Status :  
Ports 1  2  3  4  5  6  7  8  9  10 11 12 13 14 15 16
-----------------------------------------------------       
.  .  .  .  .  .  .  .  .  .  .  .  .  .  .  . 
GBIC Status :  
Ports 1  2  3  4  5  6  7  8  9  10 11 12 13 14 15 16  
-----------------------------------------------------        
.  .  .  .  .  N  .  .  .  .  .  .  .  .  N  N 
Line Card Diag Status for Module 3  (. = Pass, F = Fail, N = N/A) 
Loopback Status [Reported by Module 1] :  
Ports 1  2  3  4  5  6  7  8  9  10 11 12 13 14 15 16  
-----------------------------------------------------       
 F  F  F  F  F  F  F  F  F  F  F  F  F  F  F  F  				
!--- The failed loopback tests mean the ports are currently unusable. 
!--- Use the reset {mod} command or, if necessary, physically reseat the 
!--- module to try and fix this problem. 
!--- If these steps fail, open a case with Cisco Technical Support. 			

Для Cisco IOS на модульных коммутаторах, таких как Cat6000 и 4000, используйте команду show diagnostics. Чтобы просмотреть результаты процедуры POST для каждого модуля, используйте команду show diagnostics module {mod} команда.

ecsj-6506-d2#sh diagnostic module 3   Current Online Diagnostic Level = Minimal 				  
!--- The diagnostic level is set to minimal which is a shorter,  
!--- but also less thorough test result.   
!--- You may wish to configure diagnostic level complete to get more test results.    
Online Diagnostic Result for Module 3 : MINOR ERROR   
Online Diagnostic Level when Line Card came up = Minimal   Test Results: (. = Pass, F = Fail, U = Unknown)   
1 . TestLoopback :   
Port  1  2  3  4  5  6  7  8  9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24  
 ----------------------------------------------------------------------------        
 .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  .  F  F  F  F F  F   
!--- Notice the MINOR ERROR test result and failed loopback test which means   
!--- these ports are currently unusable.   
!--- Use the hw-module{mod}reset command or, if necessary, physically reseat the  
!--- module to try and fix this problem.     
!--- If these steps fail, open a case with Cisco Technical Support. 			

Примечание: Для коммутаторов серии Catalyst 3750, 3550, 2970 , 2950/2955 и 2900/3500XL используйте команду show post , которая сообщает о прохождении или сбое проверки состояния оборудования. Индикаторы на этих портах помогают понять результаты процедуры POST. См. документ Общие сведения о результатах процедуры Post.

Чтобы получить дополнительную информацию об устранении аппаратных проблем на коммутаторах Catalyst с CatOS и Cisco IOS, перейдите на страницы поддержки ATM-коммутаторов и коммутаторов для ЛВС, выберите необходимую платформу и перейдите к разделам Troubleshooting (Устранение неполадок) > Hardware (Оборудование).

Уведомления об обнаруженных проблемах см. в разделе Field Notices (Уведомления о дефектах) для ATM-коммутаторов и коммутаторов для ЛВС.

Ошибки ввода в интерфейсе уровня 3, подключенном к коммутационному порту уровня 2.

По умолчанию все порты уровня 2 находятся в режиме dynamic desirable (динамическое согласование), поэтому такой порт пытается сформировать магистральный канал и отправляет DTP-пакеты удаленному устройству. Когда интерфейс уровня 3 подключен к порту коммутатора уровня 2, он не может интерпретировать эти кадры, что приводит к ошибкам ввода, ошибкам WrongEncap и потерям очереди ввода.

Чтобы устранить данную проблему, измените режим порта коммутатора на static access (статический доступ) или trunk (магистраль) в соответствии с требованиями.

Switch3(config)#int fa1/0/12 Switch3(config-if)#switchport mode access 

или

Switch3(config)#int fa1/0/12 Switch3(config-if)#switchport trunk encapsulation dot1q
         				        Switch3(config-if)#switchport mode trunk 			

Быстрое увеличение значения счетчика Rx-No-Pkt-Buff и ошибок ввода

Значение счетчика Rx-No-Pkt-Buff для портов может возрастать, если есть blade-серверы, такие как WS-X4448-GB-RJ45, WS-X4548-GB-RJ45 и WS-X4548-GB-RJ45V. Кроме того, некоторый рост отбрасывания пакетов является обычным результатом пульсирующего трафика.

Число ошибок этих типов быстро растет, особенно если через данное соединение проходит интенсивный трафик или если к данному интерфейсу подключены такие устройства, как серверы. Такой трафик высокой интенсивности перегружает выделенные ресурсы портов, что вызывает исчерпание входных буферов и быстрый рост значения счетчика Rx-No-Pkt-Buff и ошибок ввода.

Такие типы ошибок в данном интерфейсе связаны с проблемой трафика на перегруженных портах. В модулях коммутации WS-X4448-GB-RJ45, WS-X4548-GB-RJ45 и WS-X4548-GB-RJ45V есть 48 перегруженных портов в шести группах по восемь портов в каждой:

  • Порты 1, 2, 3, 4, 5, 6, 7, 8

  • Порты 9, 10, 11, 12, 13, 14, 15, 16

  • Порты 17, 18, 19, 20, 21, 22, 23, 24

  • Порты 25, 26, 27, 28, 29, 30, 31, 32

  • Порты 33, 34, 35, 36, 37, 38, 39, 40

  • Порты 41, 42, 43, 44, 45, 46, 47, 48

Восемь портов в каждой группе используют общую схему, что эффективно уплотняет группу в одно неблокируемое дуплексное подключение Gigabit Ethernet к внутренней фабрике коммутаторов. Для каждой группы из восьми портов принимаемые кадры помещаются в буфер и отправляются через общее соединение Gigabit Ethernet на внутреннюю фабрику коммутаторов. Если объем принимаемых портом данных начинает превышать возможности буфера, управление потоком отправляет удаленному порту кадр паузы, чтобы временно остановить передачу трафика и предотвратить потерю кадров.

Если количество кадров, принимаемых любой группой портов, превышает пропускную способность в 1 Гбит/с, данное устройство начинает отбрасывать кадры. Такое отбрасывание не очевидно, так как кадры отбрасываются во внутренней микросхеме ASIC, а не в реальных интерфейсах. Это может привести к уменьшению скорости передачи пакетов через данное устройство.

Если есть устройства, которые должны поддерживать передачу большого объема трафика через данный интерфейс, рассмотрите возможность такого использования одного порта в каждой группе, чтобы общая схема, используемая в одной группе, не была затронута этим трафиком. Когда модуль коммутации Gigabit Ethernet используется не полностью, соединения портов можно распределить между группами портов для максимального использования пропускной способности. Например, в случае модуля коммутации WS-X4448-GB-RJ45 10/100/1000 можно подключить порты из различных групп, например, порты 4, 12, 20 или 30 (в любом порядке), перед подключением портов из той же группы, таких как 1, 2, 3, 4, 5, 6, 7 и 8.

Если это не решает проблему, необходимо рассмотреть возможность использования модуля без перегруженных портов. Если проблему не получается решить самостоятельно, то рекомендуется обратиться в компанию осуществляющую аутсорсинговое сопровождение вашего бизнеса.

Режим магистрального соединения между коммутатором и маршрутизатором

Магистральные каналы между коммутатором и маршрутизатором могут вызвать ухудшение работоспособности порта коммутатора. Магистраль можно активировать после включения и отключения такого порта коммутатора, однако, в конце концов, его работоспособность снова может ухудшиться.

Для разрешения этой проблемы выполните следующие действия.

  1. Убедитесь, что коммутатором и маршрутизатором используется протокол CDP и они могут связаться друг с другом.

  2. Отключите запросы keepalive в интерфейсе маршрутизатора.

  3. Заново настройте инкапсуляцию магистрали на обоих устройствах.

Когда запросы keepalive отключены, протокол CDP позволяет соединению работать в нормальном режиме.

Cisco заметки — шпаргалка для ciscoвода

Многие начинающие настройщики сетевого железа боятся консоли (CLI, Command Line Interface) как огня.  Однако, консоль является мощнейшим инструментом, не овладев которым называть себя настройщиком cisco нельзя. В этой записи складируются мои cisco заметки, которые могут пригодится в будущем при конфигурации cisco устройств.

При помощи консоли можно:

  1. Задать начальную конфигурацию.
  2. Восстановить потерянные пароли (для разных железок по-разному. Но поиском на сайте cisco.com легко найти процесс по ключевым словам “password-recovery (название железки)” )
  3. Настроить нестандартные топологии
  4. Включить скрытые возможности
  5. Проверить правильность настроек командами show
  6. Отладить процесс командами debug

Помните: при помощи консоли можно всё, при помощи GUI – не всё, а только то, что запрограммировали и разрешили.

Есть несколько хитростей, которые облегчат работу и могут пригодиться в реальной жизни:

  • Горячие сочетания клавиш. Самые часто используемые ctrl+a (начало строки),ctrl+e (конец строки), ctrl+z (выход из режима настройки)
  • Команда do для вызова команд show из режима настройки сильно экономит время, не приходится выходить из режима настройки и возвращаться обратно в него. При использовании команды do не работает подсказка по вопросу, кнопка табуляции и проверка синтаксиса на ошибку.

Примеры: (config)# do show ip route
(config-if)# do show ip int f0/0

  • Служебные команды после символа “|” (“grep”) сделают выборку из конфига или вывода других команд просмотра.

Примеры: sh run | include ip route
Sh ip route | include 192.168.0.0
Sh run | begin router ospf 1

  • Используйте блокнот или другой текстовый редактор, чтобы создавать шаблон конфига, а потом вливайте его копи-пастом в консоль. Перевод каретки циской распознаётся как ввод команды. Не забывайте после последней команды нажать кнопку ввод 🙂
  • Вызов ранее введенных команд стрелками «вверх» и «вниз» (или команды ctrl+p, ctrl+n). Размер буфера команд настраивается.
  • Разные команды возможно вводить из разных режимов: из режима непривилегированного пользователя можно мало и только посмотреть, из привилегированного – посмотреть, включить debug, из режима настройки – настроить параметры или перейти в подрежимы. Не забывайте, что знак «?» введенный без пробела, подскажет возможные продолжения команды, а знак «?», введенный через пробел – возможные дальнейшие ключевые слова
  • Сокращайте команды! Помните, что если сокращение однозначно, его циска распознает. Для ускорения обучению используйте кнопочку табуляции: если начало команды уже однозначно, циска продолжит команду автоматически.

Пример (сравните):
Ip nat inside source list NAT interface GigabitEthernet0/0 overload
Ip nat in so l NAT int G0/0 o

  • Строчки из конфига (running или startup) являются командами. Можно подглядеть в конфиг и стереть неугодную команду, поставив перед ней ключевое слово no

Конфигурация cisco порта

  • description etazh 2 komnata 1 — комментарий к интерфейсу, до 240 символов.
  • switchport mode access — порт принадлежит к одному влану и передает не тегированный трафик. Детальней: xgu.ru/wiki/VLAN_в_Cisco
  • switchport access vlan 30 — порт принадлежит к единственному, 30-му vlan’у и передает не тегированый трафик
  • switchport mode trunk — порт передает тегированный трафик и принадлежит к одному, нескольким или всем (по умолчанию) вланам
  • switchport trunk allowed vlan 1-2,10,15 — разрешенные вланы для транкового порта
  • switchport trunk native vlan 5 — можно указать к какому влану на транковом порте относится не тегированный трафик, на примере это 5-й влан, по умолчанию 1-й влан.
  • switchport port-security — включение порта в режим защиты от сетевых атак, с помощью ограничений трафика с привязкой к mac-адресам. По умолчанию не более одного mac-адреса на порту, в случае нарушения — выключение порта в статус «errdisable state» и запись в лог. Для того чтоб вывести порт из статуса  «errdisable state» его нужно выключить и включить командами «shutdown» и «no shutdown». Детальней: xgu.ru/wiki/Port_security
  • errdisable recovery cause security-violation — порт должен сам выходить из состояния «errdisable state» через 5 минут (по умолчанию)
  • errdisable recovery interval 600 — указываем что порт должен сам выходить из состояния  «errdisable state» через 10 минут (вместо 5-ти по умолчанию)
  • switchport port-security maximum 3 — на порту разрешено не более 3 мак-адресов.
  • switchport port-security mac-address 0000.1111.2222 — разрешили на порт работу хоста с мак-адресом 0000.1111.2222
  • switchport port-security aging time 2 — коммутатор удаляет MAC адреса из CAM таблицы через 2 минуты их не активности (по умолчанию 5 минут). Если используем эту команду необходимо указать причину удаления мак-адреса из таблицы.
  • switchport port-security aging type inactivity — причина удаления MAC адресов из CAM таблицы: из-за не активности
  • spanning-tree portfast — при подключении устройства к такому порту, он, минуя промежуточные стадии, сразу переходит к forwarding-состоянию. Portfast следует включать только на интерфейсах, ведущих к конечным устройствам (рабочим станциям, серверам, телефонам и т.д.), но не к другим свичам.
  • switchport host — эта команда разом включает PortFast, переводит порт в режим access (аналогично switchport mode access), и отключает протокол PAgP
  • spanning-tree bpduguard enable — переход порта в состояние error-disabled при получении BPDU пакета, так как на порте с включенным «spanning-tree portfast» не должно появляться BPDU пакетов.

Состояние cisco портов

:

В обычном (802.1D) STP существует 5 различных состояний:

  • блокировка (blocking) : блокированный порт не шлет ничего. Предназначено для предотвращения петель в сети. Блокированный порт, тем не менее, слушает BPDU (чтобы быть в курсе событий, это позволяет ему, когда надо, разблокироваться и начать работать)
  • прослушивание (listening) : порт слушает и начинает сам отправлять BPDU, кадры с данными не отправляет.
  • обучение (learning) : порт слушает и отправляет BPDU, а также вносит изменения в CAM- таблицу, но данные не перенаправляет.
  • перенаправление\пересылка (forwarding) : может все: посылает\принимает BPDU, оперирует с данными и участвует в поддержании таблицы mac-адресов. То есть это обычное состояние рабочего порта.
  • отключен (disabled) : состояние administratively down, отключен командой shutdown. Понятное дело, ничего делать не может вообще, пока вручную не включат.

Порядок перечисления состояний не случаен: при включении (а также при втыкании нового провода), все порты на устройстве с STP проходят вышеприведенные состояния именно в таком порядке (за исключением disabled-состояния). Зачем? STP осторожничает. Ведь на другом конце провода, который только что воткнули в порт, может быть свич, а это потенциальная петля. Поэтому порт сначала 15 секунд (по умолчанию) пребывает в состоянии прослушивания — он смотрит BPDU, попадающие в него, выясняет свое положение в сети — как бы чего ни вышло, потом переходит к обучению еще на 15 секунд — пытается выяснить, какие mac-адреса “в ходу” на линке, и потом, убедившись, что ничего он не поломает, начинает уже свою работу. Итого целых 30 секунд простоя, прежде чем подключенное устройство сможет обмениваться информацией со своими соседями. Современные компы грузятся быстрее, чем за 30 секунд. Вот комп загрузился, уже рвется в сеть, истерит на тему “DHCP-сервер, сволочь, ты будешь айпишник выдавать, или нет?”, и, не получив искомого, обижается и уходит в себя, извлекая из своих недр айпишник автонастройки. Естественно, после таких экзерсисов, в сети его слушать никто не будет, ибо “не местный” со своим 169.254.x.x. Понятно, что это не дело и в таком случае для портов на котором находятся конечные компьютеры, а не коммутаторы используется команда «spaning-tree portfast»

Show

  • show port-security interface fa 0/1 — смотрим port-security статус порта
  • show memory statistics — показывает краткую статистику используемой памяти

Проверка корректности настройки безопасности на портах:

  • show port-security address — покажет какие mac-адреса прописаны на портах
  • show port-security — покажет на каких портах включено port-security и какая реакция при появлении незнакомого mac-адреса
  • show interface description — покажет описания портов и статус (up, down, admin down)

Термины:

  • STP (Spanning Tree Protocol, протокол связующего дерева) — сетевой протокол. Основной задачей STP является устранение петель в сети, в которой есть один или более сетевых мостов, связанных избыточными соединениями. STP решает эту задачу, автоматически блокируя соединения, которые в данный момент для полной связности коммутаторов являются избыточными.
  • BPDU (Bridge Protocol Data Unit) — фрейм (единица данных) протокола управления сетевыми мостами, IEEE 802.1d, базируется на реализации протокола STP (Spanning Tree Protocol). Используется для исключения возможности возникновения петель в сетях передачи данных при наличии в них многосвязной топологии.

Настройка времени и ntp

ntp server 10.0.100.254 — указываем ntp-сервер, с которого cisco-устройство будет брать время

show ntp associations — проверка статуса связи с ntp-сервером, если звездочка напротив ip — значит связь есть, если решетка — связи нет.

show ntp status — проверка статуса синхронизации с ntp-сервером

clock set 13:32:00 23 July 1997 — пример того, как можно указать время

clock timezone EST -5 — указываем часовой пояс и смещение в часах относительно UTC

clock summer-time EDT recurring — указываем часовой пояс для летнего времени

show clock detail — смотрим текущее время и когда переводятся часы с между зимним и летним временем

Название часовых поясов можно подсмотреть вот тут на cisco.com

Посмотреть загрузку cpu

sh proc cpu sorted 1 — выводит загрузку процессора в виде таблицы по различным процессам. Также в первой строке есть такой вот текст:

CPU utilization for five seconds: 36%/25%; one minute: 6%; five minutes: 7%

Где:

  • 36%, 6%, 7% — это общая загрузка процессора за 5 секунд, 1 минуту и 5 минут
  • 25% — загрузка по прерываниям (нагрузка на свитч-фабрику устройства). По сути не является нагрузкой процессора. Но высокие показатели этой цифры говорят что не все хорошо с коммутацией.

sh proc cpu hist — диаграмма загрузки процессора

Остальные cisco заметки:
  • logging buffered 40960 — увеличиваем log buffer до 40960 байтов. Чтобы понимать насколько можно увеличить смотрите на Processor в show memory statistics
  • username имя password пароль — хранение пароля в шифрованном виде, алгоритм шифрования обратимый
  • username имя secret пароль — хранение пароля в шифрованном виде, алгоритм шифрования md5crypt (они же MD5(Unix), FreeBSD MD5, Cisco-IOS MD5)
  • тестирование канала (скорости, потери пакетов и тд): команда ttcp
  • создание интерфейса с ip-адресом:
    • configure — переходим в режим конфигурации
    • interface Vlan50 — создаем, например, интерфейс для Vlan50
    • ip address 172.16.11.100 — прописываем для этого интерфейса ip-адрес

CISCO Роутер:

  • sh crypto session — показать состояние туннелей
  • clear crypto session remote 10.10.11.25 — сбросить состояние определенного туннеля

Используемые источники и полезные ссылки:

 

Понравилось? =) Поделись с друзьями:

Переход в соседний VLAN: Атака VLAN Hopping

Атака VLAN Hopping возможна только в тех случаях, когда интерфейсы настроены в режиме транка

Автор: Haboob Team

Что такое VLAN Hopping?

VLAN (virtual local area network; виртуальная локальная сеть) – технология, позволяющая сегментировать устройства по различным признакам. Например, по принадлежности определенному отделу, типу пользователей, основному назначению. VLAN Hopping (или VLAN-переходы) представляет собой атаку на сеть посредством отсылки пакетов на порт, который обычно не доступен из указанной конечной системы.

Атака VLAN hopping может осуществляться следующим образом: если сетевой свитч установлен в режим авто-транка, злоумышленник меняет настройки так, что возникает «нужда» в постоянном канале связи (транке). То есть, на данном транковом порту становится разрешен доступ ко всем VLAN’ам.

Что такое DTP?

DTP (Dynamic Trunking Protocol; Динамический протокол транкинга) – фирменный протокол, используемый компанией Cisco, для автоматического согласования каналов связи между свитчами. Протокол DTP может использоваться для установления транкового соединения между свитчами динамически.

В протоколе DTP предусмотрены несколько режимов транкинга, описанных в таблице ниже.

Режим

Описание

dynamic desirable

Порт свича, сконфигурированный в режиме dynamic desirable, будет активно пытаться преобразовать соединение в транковое соединение средствами протокола DTP. Если этот порт, подключенный к другому порту, умеет формировать транк, будет установлено транковое соединение.

Интерфейс, сконфигурированный в этом режиме, будет генерировать DTP-сообщения. Если свитч получает DTP-сообщения от другого свитча, предполагается, что другая сторона в состоянии обрабатывать фреймы с метками, и между двумя свитчами будет образовано транковое соединение.

dynamic auto

Порт свитча, сконфигурированный в режиме dynamic auto, может образовывать транковое соединение, если интерфейс другого свитча настроен на тот же режим и может взаимодействовать с каналом связи по протоколу DTP.

Интерфейс свитча, настроенный в этом режиме, не будет генерировать DTP-сообщения, а будет работать в пассивном режиме на прием DTP-сообщений от другого свитча. Если поступили DTP-сообщения с другого интерфейса, будет образовано транковое соединение.

trunk

Интерфейс свитча, сконфигурированный в режиме trunk, работает исключительно в режиме транка. Интерфейс в этом режиме может взаимодействовать с интерфейсом другого свитча для формирования транковой связи.

nonegotiate

В этом режиме отключена рассылка DTP-пакетов с интерфейса. Режим nonegotiate возможен только когда switchport интерфейса находится в режиме access или trunk. Протокол DTP отключен.

access

Интерфейс свитча, сконфигурированный в режиме access, не будет работать в режиме транкинга, и порт будет работать в режиме access. Во фреймах метки использоваться не будут. Порт в режиме access принадлежит VLAN’у.

Для успешной реализации атаки свитч должен находится в режиме dynamic desirable, dynamic auto или trunk, чтобы была возможность отсылки DTP-пакетов. По умолчанию свитчи Cisco работают в режиме dynamic desirable.

Демонстрация атаки

В этой статье мы пройдемся по всем шагам, которые необходимы для успешной реализации атаки VLAN Hopping.

Необходимые компоненты для проведения теста:

· GNS3 (эмулятор сети).

· Kali Linux (система злоумышленника).

· Виртуальный хост (система жертвы).

· Свитч (cisco-iosvl2).

Этапы реализации атаки

У нас есть небольшая сеть из трех клиентов (злоумышленник и две жертвы), находящиеся в одной сети и соединенные при помощи свитча. Топология сети показана на рисунке ниже:

Рисунок 1: Тестовая топология сети для демонстрации атаки

У нас есть свитч, подключенный к PC-1 (IP: 172.16.0.3), PC-2 (IP: 10.0.0.4) и системе злоумышленника (IP: 172.16.0.5). В таблице ниже показано соответствие клиентов, IP-адресов и VLAN ID.

Имя

IP

VLAN ID

PC-1

172.16.0.3

100

PC-2

10.0.0.4

200

Злоумышленник

172.16.0.5

100

Таблица 2: Параметры клиентов сети

Предполагается, что злоумышленник получил доступ в сеть и находится в подсети VLAN 100 вместе с жертвой PC-1, у которой та же самая подсеть и VLAN. Соответственно, злоумышленник и PC-1 могут пинговать друг друга. Жертва PC-2 находится в другой подсети в VLAN 200 и не может пинговать PC-1 и злоумышленника. Попробуем выполнить пинг между Kali и PC-1.

Рисунок 2: Пинг системы злоумышленника

И наоборот:

Рисунок 3: Пинг системы PC-1

Попробуем выполнить пинг системы PC-2, которая находится в другом VLAN’е.

Рисунок 4: Пинг системы PC-2

Как мы и предполагали, пинг в другой VLAN не проходит.

На рисунке ниже показана перечень VLAN’ов, полученный из консоли свитча:

Рисунок 5: Перечень VLAN’ов, настроенных в свитче

Интерфейсы G0/0, G0/1 привязаны к VLAN 100, где находятся Kali и PC-1. Интерфейс G0/2 привязан к VLAN 200.

Как говорилось выше, для успешной реализации атаки свитч должен иметь стандартные настройки (то есть находиться в режиме Dynamic Desirable). Проверим конфигурацию интерфейса G0/0, который привязан к системе злоумышленника.

Рисунок 6: Параметры интерфейса G0/0

Как видно из рисунка выше, порт работает в режиме dynamic desirable, и, соответственно, VLAN’ы могут взаимодействовать друг с другом.

Теперь мы можем воспользоваться утилитой yersinia для активации режима транка, но вначале посмотрим статус VLAN’а.

Рисунок 7: Перечень интерфейсов и статусов

После того как мы удостоверились, что VLAN’ы настроены корректно, включаем отладочный режим для просмотра входящих DTP-пакетов.

Рисунок 8: Включение отладочного режима

Теперь запускаем утилиту yersinia, переходим во вкладку DTP и приступаем к реализации атаки.

Рисунок 9: Интерфейс утилиты yersinia

Выберите пункт enabling trunking и нажмите ОК.

Рисунок 10: Настройка параметров

Теперь переходим в консоль свитча и видим, что пакеты начали пересылаться:

Рисунок 11: Отслеживание пересылаемых DTP-пакетов

Смотрим параметры интерфейсов.

Рисунок 12: Обновленные параметры интерфейсов

На рисунке выше видно, что интерфейс G0/0 находится в режиме транка и, соответственно, мы можем перепрыгнуть в другие VLAN’ы.

На рисунке ниже видно, что на интерфейсе G0/0 разрешены все VLAN’ы.

Рисунок 13: Параметры интерфейса G0/0

Теперь в Kali мы можем выполнить следующие команды:

Рисунок 14: Настройка интерфейсов

Мы добавили новый интерфейс VLAN и назначили ID равным 200. Затем подняли интерфейс eth0.200 и привязали IP-адрес.

Теперь мы можем выполнить пинг системы PC-2.

Рисунок 15: Пинг системы PC-2

Как видно из рисунка выше, пинг, который ранее был недоступен, сейчас успешно выполнен, и мы смогли перепрыгнуть в другой VLAN (200)!

Методы защиты

Атака VLAN Hopping возможна только в тех случаях, когда интерфейсы настроены в режиме транка. Чтобы защититься от подобных атак, нужно принять следующие меры:

  • Убедитесь, что порты не настроены на автоматическую работу в режиме транка. Отключите протокол DTP при помощи команды switchport nonegotiate.

  • НИКОГДА не используйте VLAN 1.

  • Отключите и перенесите в неиспользуемый VLAN неиспользуемые порты.

  • Всегда используйте специальный VLAN ID для всех транковых портов.

Ссылки

— https://www.cisco.com/c/dam/global/en_ae/assets/exposaudi2009/assets/docs/layer2-attacksand-

mitigation-t.pdf

— https://en.wikipedia.org/wiki/VLAN_hopping

— https://searchsecurity.techtarget.com/definition/VLAN-hopping


Руководство по настройке VLAN, Cisco IOS XE Release 3SE (коммутаторы Catalyst 3850) — Настройка магистралей VLAN [Коммутаторы Cisco Catalyst серии 3850]

Команда или действие Назначение
Шаг 1 настроить терминал

Пример:

Switch #   настроить терминал  

 

Переходит в режим глобальной конфигурации на коммутаторе A.

Шаг 2 vtp domain domain-name

Пример:

Коммутатор (config) #   vtp domain workdomain  

 

Настраивает административный домен VTP.

Имя домена может содержать от 1 до 32 символов.

Шаг 3 Сервер в режиме vtp

Пример:

Коммутатор (config) #   vtp mode server  

 

Настраивает коммутатор A в качестве сервера VTP.

Шаг 4 конец

Пример:

             
             
Переключатель (config) #   конец  

 

Возврат в привилегированный режим EXEC.

Шаг 5 показать статус vtp

Пример:

Switch #   показать статус vtp  

 

Проверяет конфигурацию VTP на коммутаторе A и коммутаторе B.

На дисплее проверьте поля VTP Operating Mode и VTP Domain Name .

Шаг 6 показать vlan

Пример:

Switch #   показать vlan  

 

Проверяет наличие VLAN в базе данных на коммутаторе A.

Шаг 7 настроить терминал

Пример:

Switch #   настроить терминал  

 

Переход в режим глобальной конфигурации.

Шаг 8 interface interface-id

Пример:

Коммутатор (config) #   interface gigabitethernet1 / 0/1  

 

Определяет интерфейс, который должен быть настроен как магистральный, и входит в режим настройки интерфейса.

Шаг 9 switchport mode trunk

Пример:

Коммутатор (config-if) #   switchport mode trunk  

 

Настраивает порт как магистральный.

Шаг 10 конец

Пример:

Переключатель (config-if) #   конец  

 

Возврат в привилегированный режим EXEC.

Шаг 11 показать интерфейсы interface-id switchport

Пример:

Switch #   показать интерфейсы gigabitethernet1 / 0/1 switchport  

 

Проверяет конфигурацию VLAN.

Шаг 12 Повторите вышеуказанные шаги на коммутаторе A для второго порта коммутатора или стека коммутаторов.
Шаг 13 Повторите вышеуказанные шаги на коммутаторе B, чтобы настроить магистральные порты, которые подключаются к магистральным портам, настроенным на коммутаторе A.
Шаг 14 показать vlan

Пример:

Switch #   показать vlan  

 

Когда подключаются магистральные каналы, VTP передает информацию о VTP и VLAN коммутатору B.Эта команда проверяет, изучил ли коммутатор B конфигурацию VLAN.

Шаг 15 настроить терминал

Пример:

Switch #   настроить терминал  

 

Переходит в режим глобальной конфигурации на коммутаторе A.

Шаг 16 interface interface-id

Пример:

Коммутатор (config) #   interface gigabitethernet1 / 0/1  

 

Определяет интерфейс для установки приоритета порта STP и входит в режим конфигурации интерфейса.

Шаг 17 Spanning-tree vlan vlan-range port-priority priority-value

Пример:

Коммутатор (config-if) #   spanning-tree vlan 8-10 port-priority 16  
 

Назначает приоритет порта для указанного диапазона VLAN. Введите значение приоритета порта от 0 до 240. Значения приоритета порта увеличиваются на 16.

Шаг 18 выход

Пример:

Переключатель (config-if) #   выход  

 

Возврат в режим глобальной конфигурации.

Шаг 19 interface interface-id

Пример:

Коммутатор (config) #   interface gigabitethernet1 / 0/2  

 

Определяет интерфейс для установки приоритета порта STP и входит в режим конфигурации интерфейса.

Шаг 20 Spanning-tree vlan vlan-range port-priority priority-value

Пример:

Коммутатор (config-if) #   spanning-tree vlan 3-6 port-priority 16  

 

Назначает приоритет порта для указанного диапазона VLAN.Введите значение приоритета порта от 0 до 240. Значения приоритета порта увеличиваются на 16.

Шаг 21 конец

Пример:

Переключатель (config-if) #   конец  

 

Возврат в привилегированный режим EXEC.

Шаг 22 показать текущую конфигурацию

Пример:

Switch #   показать рабочую конфигурацию  

 

Проверяет ваши записи.

Шаг 23 копировать текущую конфигурацию start-config

Пример:

Коммутатор №   копировать текущую конфигурацию startup-config  

 

(Необязательно) Сохраняет ваши записи в файле конфигурации.

Магистральные порты VLAN — Учебное пособие по Cisco CCNA

Порты соединительных линий VLAN

Из этого учебного пособия по Cisco CCNA вы узнаете о портах магистрали VLAN.Прокрутите вниз до видео, а также текстового руководства.

Магистральные порты VLAN Видеоурок

Пример портов доступа VLAN

Порты доступа

VLAN были рассмотрены в предыдущем посте с использованием лабораторной топологии, показанной ниже.

У нас были компьютеры инженеров и специалистов по продажам в разных IP-подсетях уровня 3, подключенных к коммутатору. Мы также поместили их в разные сети VLAN на уровне 2. Это разделило различные отделы на отдельные широковещательные домены как на уровне 2, так и на уровне 3, что повысило производительность и безопасность.

Вы можете сдать экзамен CCNA с первой попытки, пройдя мой полный курс Cisco CCNA в сочетании с механизмом тестирования AlphaPrep.

Магистральные порты VLAN

А как насчет линков между свитчами?

В нашем предыдущем примере к одному коммутатору были подключены компьютеры для инженеров и специалистов по продажам. Коммутатор был подключен к маршрутизатору, который обеспечивал связь между отделами.В этом примере у нас есть несколько переключателей.

Проблема в том, что все ссылки между коммутаторами в настоящее время находятся в VLAN 1 по умолчанию. Таким образом, ПК в одной VLAN на одном коммутаторе могут взаимодействовать друг с другом, но они не могут взаимодействовать с другими ПК на другом коммутаторе, даже если они находятся в одной VLAN.

Нам нужно правильно настроить линки между коммутаторами. Если мы настроим их для инженерной VLAN, тогда все инженерные ПК смогут обмениваться данными друг с другом, в том числе когда они подключены к разным коммутаторам.Но компьютеры для продаж смогут обмениваться данными друг с другом, только если они подключены к одному и тому же коммутатору.

Порт доступа передает трафик только для одной VLAN. Чтобы компьютеры в одной VLAN могли взаимодействовать друг с другом через коммутаторы, нам необходимо настроить каналы между коммутаторами как магистральные порты, которые могут передавать трафик для нескольких VLAN.

Стволы Dot1Q

Стандартным отраслевым протоколом, который используется для транкинга, является Dot1Q.Проприетарный протокол Cisco ISL (Inter Switch Link) также ранее поддерживался, но теперь он устарел.

Когда коммутатор пересылает кадры Ethernet другому коммутатору через магистральный порт, он маркирует трафик, чтобы указать VLAN. Информация переносится в поле Dot1Q заголовка Ethernet уровня 2.

Принимающий коммутатор будет перенаправлять трафик только через другие магистральные порты или порты доступа, которые находятся в этой VLAN. Когда коммутатор отправляет трафик на конечный хост, он удаляет тег Dot1Q VLAN.Конечные хосты не знают о VLAN (за исключением этого, которое будет описано позже в этом посте).

Формат Dot1Q

Фрейм вверху на схеме выше — это стандартный фрейм Ethernet, который поступает в коммутатор от хоста.

Когда коммутатор отправляет кадр из магистрального порта другому коммутатору, он вставляет тег Dot1Q в заголовок уровня 2, указывающий, для какой VLAN предназначен этот трафик.

Когда последний коммутатор отправляет кадр принимающему хосту, он удаляет тег Dot1Q.

Пример магистрали VLAN

Давайте посмотрим, как это работает, на примере, показанном на диаграмме выше.

Sales PC2 отправляет некоторый широковещательный трафик. Он попадает в коммутатор 1, и, поскольку к нему не подключены другие ПК, он не отправляет его напрямую на какой-либо другой конечный хост. Коммутатор 1 сконфигурирован с магистральным портом, идущим к коммутатору 2. Коммутатор 1 вставляет информацию о Dot1Q VLAN в заголовок уровня 2, маркирует ее для Sales VLAN и отправляет кадр коммутатору 2.

К коммутатору

подключен инженерно-технический ПК, но нет торговых ПК, поэтому он не будет отправлять фрейм напрямую на какие-либо конечные хосты. Он отправляет кадр через магистральный порт коммутатору 3 со вставленным тегом VLAN.

У нас есть конечный хост в Sales VLAN на коммутаторе 3 — интерфейс продаж маршрутизатора, который настроен как порт доступа на коммутаторе. Отключите 3 полосы от тега Dot1Q и отправьте копию кадра на маршрутизатор.

Коммутатор 3 также отправляет копию широковещательного кадра через магистральный порт на коммутатор 4 со вставленным тегом Sales VLAN.

К коммутатору

подключен торговый ПК1, который настроен как порт доступа в Sales VLAN на коммутаторе. Отключите 4 полосы от тега Dot1Q и отправьте копию кадра на ПК1 отдела продаж.

Коммутатор 4 также отправляет копию широковещательного кадра через магистральный порт на коммутатор 5 со вставленным тегом Sales VLAN. Коммутатор 5 не имеет портов доступа в Sales VLAN или других магистральных портах.

Хосты с поддержкой VLAN

Конечные узлы, такие как настольные ПК, обычно являются членами только одной VLAN и не поддерживают VLAN.Исключение составляют виртуализированные хосты, такие как VMware или Microsoft Hyper-V. Если у вас есть хост, который содержит виртуальные машины, которые находятся в разных IP-подсетях и VLAN, вам необходимо соединить VLAN до этого хоста, чтобы он знал, куда отправлять трафик.

В приведенном выше примере у нас есть хост VMware, который содержит виртуальные машины как в торговых, так и в инженерных VLAN. Хост подключен к физическому порту Fast Ethernet 0/1 на коммутаторе, который нам нужно настроить как магистральный порт.

Настройки порта VLAN

  • Порты коммутатора, подключенные к обычным конечным хостам, таким как настольные ПК или невиртуализированные серверы, должны быть настроены как порты доступа.
  • Порты коммутатора, подключенные к другим коммутаторам, должны быть настроены как магистральные порты.
  • Порты коммутатора, подключенные к виртуализированным хостам с виртуальными машинами в разных VLAN, должны быть настроены как магистральные порты.

Конфигурация магистрального порта

В приведенном выше примере показана настройка порта магистрали вручную.Порты коммутатора также могут автоматически формировать транк, используя DTP (протокол динамического транкинга), который будет рассмотрен в следующей публикации этой серии. Рекомендуемый метод — ручная настройка, как показано здесь.

Интерфейс FastEthernet 0/24 подключен к другому коммутатору в этом примере. При желании мы можем ввести описание. Команды для настройки порта в качестве транка: switchport trunk encapsulation dot1q и switchport mode trunk .

На современных коммутаторах команда switchport trunk encapsulation dot1q не требуется, поскольку они поддерживают только Dot1Q для транкинга, а не ISL.В этом случае коммутатор выдаст вам сообщение об ошибке, что он не понимает команду.

Старые коммутаторы поддерживают как ISL, так и Dot1Q, поэтому вам нужно включить в них команду switchport trunk encapsulation dot1q .

Собственная VLAN

Последнее, что мы здесь рассмотрим, — это Native VLAN. Коммутатор должен знать, какой VLAN назначить какой-либо нетегированный трафик на магистральный порт.Раньше это требовалось, когда коммутатор был подключен к концентратору. Концентраторы сейчас устарели, они выполняли ту же роль, что и коммутаторы, но были устройствами только уровня 1, они не поддерживали функции уровня 2, такие как изучение MAC-адресов и VLAN.

Собственной VLAN по умолчанию является VLAN1, но рекомендуется изменить ее на другую VLAN. Следует использовать выделенную VLAN, которая не используется для производственного трафика на предприятии.

Собственная VLAN должна совпадать на обеих сторонах магистрали, чтобы она появилась.

В приведенном выше примере интерфейс GigabitEthernet 0/1 на SW1 настроен как магистраль для SW2. Мы используем VLAN 199 в качестве собственной VLAN. Это выделенная VLAN, которая не будет использоваться ни для чего другого. Мы бы настроили параметры соответствия на SW2 на другой стороне ссылки.

Для проверки конфигурации мы используем команду show interface gig0 / 1 switchport .Мы видим, что рабочий режим — магистральный, используется инкапсуляция — Dot1Q, а собственная VLAN — 199. Мы видим «неактивный», потому что у нас нет настроенных портов доступа в VLAN 199.

Дополнительные ресурсы

Почему у нас есть VLAN

Порты доступа VLAN

VLAN и транкинг от Cisco Press

Почему и как тегируются виртуальные локальные сети Ethernet?

Хотите попрактиковаться в виртуальных локальных сетях Cisco на своем ноутбуке? Загрузите мое полное 350-страничное руководство по лаборатории Cisco CCNA бесплатно.

Щелкните здесь, чтобы получить мой учебный курс Cisco CCNA Gold Bootcamp, курс CCNA с наивысшим рейтингом в Интернете с рейтингом 4,8 звезды из более чем 20 000 общедоступных обзоров.

Различные типы портов коммутатора — CCIE

Последнее обновление пн, 26 апр 2021 г. | CCIE

■ Mllllllllllllllllllllllllllllllllllllllllllllllllllllllllllllll Cisco, com

• Порты доступа: принадлежат и передают трафик только одной VLAN

• Магистральные порты: переносят трафик нескольких VLAN и по умолчанию являются членом всех VLAN в базе данных VLAN.Поддерживаются магистральные порты ISL и 802.1Q

• Туннельные порты: предназначены для поставщиков услуг, которые передают трафик нескольких клиентов по своим сетям и должны поддерживать конфигурации протокола VLAN и уровня 2 каждого клиента, не влияя на трафик других клиентов. Поддерживаются как туннелирование 802.1Q, так и туннелирование протокола уровня 2

© Cisco Systems, Inc., 2002. Все права защищены. Cisco CCIE Prep v1.0 — модуль 5-23

Порты коммутатора

— это интерфейсы только уровня 2, связанные с физическим портом.Порт коммутатора может быть портом доступа, магистральным портом или туннельным портом. Вы можете вручную настроить порт как порт доступа или магистральный порт или позволить протоколу динамического транкинга (DTP) работать для каждого порта, чтобы определить, должен ли порт коммутатора быть портом доступа или магистральным портом, путем согласования с портом на другой конец ссылки. Вы должны вручную настроить туннельные порты как часть асимметричного канала, подключенного к магистральному порту 802.1Q. Порты коммутатора используются для управления физическим интерфейсом и связанными протоколами уровня 2 и не обрабатывают маршрутизацию или мостовое соединение.

Порты доступа

Порт доступа принадлежит и передает трафик только одной VLAN. Трафик принимается и отправляется в собственном формате без тегов VLAN. Предполагается, что трафик, поступающий на порт доступа, принадлежит VLAN, назначенной этому порту.

Магистральные порты

Магистральный порт передает трафик нескольких VLAN и по умолчанию является членом всех VLAN в базе данных VLAN. Поддерживаются два типа магистральных портов:

■ Порт магистрали ISL — ожидается, что все полученные пакеты будут инкапсулированы с заголовком ISL, а все переданные пакеты будут отправлены с заголовком ISL.Собственные (немаркированные) кадры, полученные от магистрального порта ISL, отбрасываются.

■ Магистральный порт IEEE 802.1Q — поддерживает одновременный тегированный и нетегированный трафик. Магистральному порту 802.1Q назначается идентификатор VLAN порта по умолчанию (PVID), и весь немаркированный трафик проходит через PVID порта по умолчанию. Предполагается, что весь немаркированный трафик и тегированный трафик с NULL VLAN ID принадлежит PVID порта по умолчанию. Пакет с идентификатором VLAN, равным PVID исходящего порта по умолчанию, отправляется без тегов. Весь остальной трафик отправляется с тегом VLAN.

Туннельные порты

Порты туннеля

используются в туннелировании 802.1Q для разделения трафика клиентов в сети поставщика услуг от других клиентов, которые находятся в той же VLAN. Вы настраиваете асимметричный канал от туннельного порта на пограничном коммутаторе поставщика услуг до магистрального порта 802.1Q на клиентском коммутаторе. Пакеты, входящие в туннельный порт на пограничном коммутаторе, уже помеченные 802.1Q с пользовательскими VLAN, инкапсулируются с другим уровнем тега 802.1Q (называемым метрометгом), содержащим идентификатор VLAN, уникальный в сети поставщика услуг, для каждого клиента.Пакеты с двойными тегами проходят через сеть поставщика услуг, сохраняя исходные клиентские VLAN отдельно от других клиентов. На исходящем интерфейсе, а также в туннельном порте, метка метро удаляется, и извлекаются исходные номера VLAN из клиентской сети.

Туннельные порты не могут быть магистральными портами или портами доступа и должны принадлежать VLAN, уникальной для каждого клиента.

Примечание. Порты коммутатора настраиваются с помощью команды настройки интерфейса switchport.

В этом разделе обсуждается конфигурация портов доступа на Catalyst 3550.

В этом разделе обсуждается конфигурация портов доступа на Catalyst 3550.

Вы можете вручную назначить порты доступа для VLAN без того, чтобы VTP глобально распространял информацию о конфигурации VLAN.

Примечание. Если вы назначаете интерфейс несуществующей VLAN, создается новая VLAN.

Выполните действия, описанные в следующей таблице, чтобы вручную назначить порт доступа для VLAN.

Таблица 4-10: Назначение портов для VLAN

Команда

Назначение

3550 (конфигурация) # interface interface-id

Введите интерфейс, который будет добавлен к VLAN.

3550 (config-if) # режим переключения порта

Определите режим членства в VLAN для порта (порт доступа уровня 2).

3550 (config-if) # switchport access vlan vlan-id

Назначьте порт VLAN.Допустимые идентификаторы VLAN от 1 до 4094; не вводите ведущие нули.

Примечание Чтобы вернуть интерфейс к его конфигурации по умолчанию, используйте команду настройки интерфейса interface-id по умолчанию.

В этом разделе обсуждается конфигурация магистральных портов на Catalyst 3550.

В этом разделе обсуждается конфигурация магистральных портов на Catalyst 3550.

3550 (config) 3550 (config-3550 (config-3550 (config-3550 (config-3550ft

)

3550 (config) 3550 (config-3550 (config-3550 (config-3550 (config-3550ft

)

# interface fastEthernet 0/11 if) # switchport trunk encapsulation isl if) # switchport mode trunk if) # switchport access vlan 1

# interface fastEthernet 0/11 if) # switchport trunk encapsulation isl if) # switchport mode trunk if) # switchport access vlan 1

3550 (config) ft 3550 (config-i 3550 (config-i 3550 (config-i 3550 (config-i 3550 (config-i 3550ft interface fastEthernet 0/12 r) ft switchport trunk encapsulation dotlq r) ft switchport mode trunk r) ft switchport access vlan 1 r) ft switchport trunk native vlan 1 «) # end

3550 (config) ft 3550 (config-i 3550 (config-i 3550 (config-i 3550 (config-i 3550 (config-i 3550ft interface fastEthernet 0/12 r) ft switchport trunk encapsulation dotlq r) ft switchport mode trunk r) ft switchport access vlan 1 r) ft switchport trunk native vlan 1 «) # end

ISL Магистраль

802.1Q багажник

• Убедитесь, что собственный vlan установлен на магистральных каналах 802.1Q и совпадает с обеими сторонами магистрального канала.

© CiscoSystems, Inc., 2002. Все права защищены.

Cisco CCIE Prep v1.0 — Mot

5-25

Магистраль — это двухточечный канал между одним или несколькими интерфейсами коммутатора Ethernet и другим сетевым устройством, например маршрутизатором или коммутатором. Магистрали Fast Ethernet и Gigabit Ethernet несут трафик нескольких VLAN по одному каналу, и вы можете расширить VLAN по всей сети.

Две инкапсуляции транкинга доступны на всех интерфейсах Ethernet на Catalyst 3550:

■ Связь между коммутаторами (ISL) — ISL — это проприетарная инкапсуляция транкинга Cisco.

■ 802.1Q — 802.1Q — это инкапсуляция транкинга, являющаяся отраслевым стандартом.

Вы можете установить интерфейс как транковый или нет, или согласовать транкинг с соседним интерфейсом. Для автосогласования транкинга интерфейсы должны находиться в одном домене VTP. Согласование транка управляется протоколом динамического транкинга (DTP), который является протоколом точка-точка.DTP поддерживает автосогласование магистралей ISL и 802.1Q.

Для настройки порта в качестве магистрального порта ISL или 802.1Q выполните действия, описанные в следующей таблице:

Таблица 4-11: Настройка порта

Команда

Назначение

3550 (конфигурация) # interface interface-id

Войдите в режим конфигурации интерфейса и порт, который нужно настроить для транкинга.

Режим по умолчанию для интерфейсов уровня 2 — желательно динамический режим switchport.Если соседний интерфейс поддерживает транкинг и настроен для разрешения транкинга, канал является транком уровня 2 или, если интерфейс в настоящее время находится в режиме уровня 3, он становится транком уровня 2 при вводе команды настройки интерфейса порта коммутатора.

3550 (config-if) # инкапсуляция транка порта коммутатора {isl | dotlq | переговоры}

Настройте порт для поддержки инкапсуляции ISL или 802.1Q или для согласования (по умолчанию) с соседним интерфейсом для типа инкапсуляции.Вы должны настроить каждый конец ссылки на один и тот же тип инкапсуляции.

3550 (config-if) # switchport mode {динамический {авто | желательно} | багажник}

Сконфигурируйте интерфейс как магистраль уровня 2 (требуется только в том случае, если интерфейс в настоящее время является каналом уровня 2).

порт доступа или порт туннеля, или указать транковый режим).

■ динамический автоматический — установите интерфейс на магистральный канал, если для соседнего интерфейса установлен магистральный или желаемый режим.

■ желательный динамический — установите интерфейс на магистральный канал, если для соседнего интерфейса установлен магистральный, желательный или автоматический режим.

■ trunk — установите интерфейс в постоянный режим транкинга и договоритесь о преобразовании канала в транковый канал, даже если соседний интерфейс не является интерфейсом транка.

3550 (config-if) # switchport access vlan vlan-id

(Необязательно) Укажите VLAN по умолчанию, которая будет использоваться, если интерфейс прекращает транкинг.

3550 (config-if) # switchport trunk native vlan vlan-id

Укажите собственную VLAN для магистралей 802.1Q.

Примечание Для сброса всех характеристик транкинга интерфейса транкинга к значениям по умолчанию используйте команду конфигурации интерфейса магистрали no switchport. Чтобы отключить транкинг, используйте команду настройки интерфейса доступа в режиме switchport, чтобы настроить порт как порт статического доступа.

Определение списка разрешенных VLAN на магистрали

355O (config) # interface fastEthernet O / ll

3550 (config-if) # switchport магистраль

разрешен vlan кроме

5Ol-100l

355O (config-if) # exit

355O (config) # interface fastEthernet O / l2

3550 (config-if) # switchport магистраль

разрешено удаление vlan

2-5OO

355O (config-if) # конец

35 5O #

показать соединительные линии интерфейсов

Порт

Режим инкапсулирования

ion Статус Собственный vlan

FaO / 11

по isl

кабель-канал 1

FaO / 12

по 802.лк

кабель-канал 1

FaO / 24

желательно н-исл

кабель-канал 1

Порт

Вланы разрешены на ствол

FaO / 11

1-500,1002-4094

FaO / 12

1,501-4094

FaO / 24

1-4094

Порт

Вланы разрешены и активны в домене управления

FaO / 11

1-5,20,30

FaO / 12

1

FaO / 24

1-5,20,30

Порт

Вланы в остове

состояние пересылки и

без обрезки

FaO / 11

1-5,20,30

FaO / 12

1

FaO / 24

1-4,30

© 2002, СНГ

co Systems, Inc.Все права защищены.

По этой магистрали должны передаваться только сети VLAN 2-500

По этой магистрали должны передаваться только сети VLAN 2-500

По этой магистрали должны передаваться только сети VLAN 501-1001

Cisco CCIE Prep v1.0 — модуль 5-26

По умолчанию магистральный порт отправляет трафик и принимает трафик от всех VLAN. Все идентификаторы VLAN от 1 до 4094 разрешены для каждой магистрали. Однако вы можете удалить VLAN из разрешенного списка, не допуская прохождения трафика из этих VLAN по магистрали.Чтобы ограничить трафик, переносимый магистралью, используйте команду конфигурации интерфейса switchport trunk allowed vlan remove vlan-list, чтобы удалить определенные сети VLAN из разрешенного списка.

Магистральный порт может стать членом VLAN, если VLAN включена, если VTP знает о VLAN и если эта VLAN находится в разрешенном списке для порта. Когда VTP обнаруживает недавно включенную VLAN и эта VLAN находится в списке разрешенных для магистрального порта, магистральный порт автоматически становится членом включенной VLAN. Когда VTP обнаруживает новую VLAN, а эта VLAN отсутствует в списке разрешенных для магистрального порта, магистральный порт не становится членом новой VLAN.

Используйте шаги, описанные в следующей таблице, чтобы ограничить сети VLAN, которые передаются через магистральный порт:

Таблица 4-12: Ограничение VLAN

Команда

Назначение

3550 (config-if) # транк порта коммутатора разрешен vlan {add | все | кроме | remove} vlan-list

Настройте список VLAN, разрешенных на магистрали.

Параметр vlan-list — это либо одиночный номер VLAN от 1 до 4094, либо диапазон VLAN, описанный двумя номерами VLAN, нижний номер первым, разделенный дефисом.Не вводите пробелы между параметрами VLAN, разделенными запятыми, или диапазонами, указанными дефисом.

Все VLAN разрешены по умолчанию. Вы не можете удалить какие-либо VLAN по умолчанию (1 или 1002–1005) из магистрали.

Примечание. Чтобы вернуться к списку разрешенных VLAN по умолчанию для всех VLAN, используйте команду конфигурации интерфейса vlan no switchport trunk allowed.

Примечание. Чтобы вернуться к списку разрешенных VLAN по умолчанию для всех VLAN, используйте команду конфигурации интерфейса vlan no switchport trunk allowed.

Настройка списка сокращений Prune Elig для VTP

Cisco.com

3550 (config) # interface fastEthernet 0/11 3550 (config-if) # switchport trunk pruning vlan 2-500

3550 (config-if) # выход из

3550 (config) # interface fastEthernet 0/12 3550 (config-if) # switchport trunk pruning vlan 501-1001

3550 (config-if) # конец

• Сети VLAN с расширенным диапазоном (идентификаторы VLAN от 1006 до 4094) не могут быть сокращены.

© Cisco Systems, Inc., 2002.Все права защищеныc

Cisco CCIE Prep v1.0 — MoCule 5-27

Отсечение увеличивает доступную полосу пропускания за счет ограничения лавинного трафика теми транковыми каналами, которые трафик должен использовать для доступа к целевым устройствам. Вы можете включить отсечение VTP только на коммутаторе в режиме сервера VTP. Только сети VLAN, включенные в список допустимых для удаления, могут быть отсечены. По умолчанию сети VLAN с 2 по 1001 имеют право на отсечение магистральных портов. Список допустимых для сокращения применяется только к магистральным портам. Каждый магистральный порт имеет свой собственный список соответствия требованиям.Чтобы эта процедура вступила в силу, необходимо включить сокращение VTP.

Используйте шаги, описанные в следующей таблице, чтобы удалить VLAN из списка допустимых для отсечения на магистральном порте:

Таблица 4-13: Удаление виртуальных локальных сетей из сокращения

Команда

Назначение

3550 (config-if) # switchport trunk, сокращая vlan {add | кроме | нет | удалить} список vlan [, vlan [, vlan [,,,]]

Настройте список виртуальных локальных сетей, разрешенных для удаления из магистрали.

Разделите непоследовательные идентификаторы VLAN запятой и без пробелов; используйте дефис для обозначения ряда идентификаторов. Допустимые идентификаторы: от 2 до 1001. VLAN с расширенным диапазоном (идентификаторы VLAN от 1006 до 4094) не могут быть сокращены.

VLAN, неподходящие для отсечения, получают лавинный трафик.

Список VLAN по умолчанию, разрешенных для удаления, содержит VLAN от 2 до 1001.

Примечание. Чтобы вернуться к списку всех VLAN, разрешенных для удаления по умолчанию, используйте команду конфигурации интерфейса vlan no switchport trunk pruning.

Примечание. Чтобы вернуться к списку всех виртуальных локальных сетей, разрешенному для удаления по умолчанию, используйте команду конфигурации интерфейса vlan без отсечения магистрали порта коммутатора.

В этом разделе обсуждается конфигурация туннельных портов на Catalyst 3550. Туннелирование — это функция, разработанная для поставщиков услуг, которые передают трафик нескольких клиентов по своим сетям, и требуется для поддержки конфигураций протокола VLAN и уровня 2 для каждого клиента, не влияя на трафик. других клиентов.Коммутатор Catalyst 3550 поддерживает туннелирование 802.1Q и туннелирование протокола уровня 2.

Читать здесь: Q Tunneling

Была ли эта статья полезной?

Обзор транкинга VLAN

: магистральный порт и порт доступа

Транкинг, термин, часто используемый в ИТ и телекоммуникациях, относится к конфигурации сети, которая эффективно передает данные между несколькими объектами без использования однозначных каналов. Подобно тому, как ствол дерева переносит воду к каждой ветке и листу, сетевой ствол по существу передает несколько потоков сигналов в нужные места.Для поставщиков управляемых услуг (MSP) транкинг в сети обычно связан либо с агрегацией каналов, либо с транкингом в виртуальной локальной сети (VLAN), что является неотъемлемой частью конфигурации VLAN. IP-транкинг относится, в частности, к услугам передачи голоса по Интернет-протоколу (VoIP), которые также могут быть актуальны для некоторых клиентов MSP.

Сопутствующий продукт
RMM

Предлагайте готовые решения для мониторинга, управления, исправления и автоматизации уже в первый день. Упростите операции и рост бизнеса.

Что означает магистраль в сети?

Магистраль — это единственный канал связи, который позволяет нескольким объектам на одном конце соответствовать правильному объекту на другом конце. Это «канал», по которому одновременно передается множество сигналов, что обеспечивает более эффективный доступ к сети между двумя узлами. Транкинг, пожалуй, наиболее известен в области телекоммуникаций, где этот метод используется для соединения центров коммутации и создания многосигнальных каналов. Но транкинг также важен в компьютерных сетях, где он имеет два основных преимущества:

Агрегация каналов

Иногда под транкингом понимается группирование портов, также известное как агрегация каналов или связывание Ethernet.Это метод объединения отдельных каналов Ethernet в качестве одного логического канала, потенциально позволяющий преодолеть определенные ограничения полосы пропускания. Это позволяет подключать несколько коммутаторов к портам Ethernet и распределять трафик между всеми портами, уменьшая перегрузку коммутатор-коммутатор или коммутатор-сервер. Если происходит аварийное переключение, агрегация каналов обеспечивает более быстрое восстановление, поскольку сигналы просто используют другой порт, но при этом направляются к правильной конечной точке. В результате эта одновременная передача пакетов может привести к повышению производительности.Стандарт IEEE для агрегации каналов называется 802.1AX.

Транкинг VLAN

Что такое транкинг VLAN? Чтобы ответить на этот вопрос, важно понять, почему в сетях есть VLAN. Частично виртуальные локальные сети стали использоваться для смягчения некоторых трудностей с коммутируемыми сетями, которые заменили концентраторы. Коммутаторы предлагают улучшенный контроль по сравнению с концентраторами, в том числе повышенную пропускную способность, уменьшение коллизий и многое другое. Однако эти коммутируемые сети имеют плоскую топологию, которая может создавать проблемы с перегрузкой и избыточностью.VLAN предлагают решение.

VLAN — это способ обеспечить подключение подсетей в сети. С помощью VLAN можно настроить одну коммутируемую сеть в соответствии с требованиями системы без внесения физических изменений в сеть. MSP могут назначать коммутаторы VLAN и создавать логические группы для разделения связи. Сетевые коммутаторы поддерживают VLAN и создают реализацию подсети уровня 2. На практическом уровне это предотвращает взаимодействие одних устройств и позволяет другим более эффективно подключаться.

Почему транкинг важен для конфигурации VLAN?

С помощью транкинга VLAN можно расширить сеть VLAN. Когда вы реализуете несколько виртуальных локальных сетей в сети, магистральные каналы необходимы для обеспечения того, чтобы сигналы виртуальных локальных сетей оставались должным образом разделенными, чтобы каждый из них достиг своего предполагаемого пункта назначения. Это также более эффективно, поскольку на одном порту можно настроить несколько VLAN.

При наличии нескольких VLAN на одном порте система должна иметь способ различать и маршрутизировать сигналы.Транкинговый порт VLAN всегда использует идентифицирующие теги для маркировки кадров при их передаче между коммутаторами. Самый распространенный протокол транкинга, IEEE 802.1Q, добавляет тег к кадру Ethernet по мере его прохождения, отмечая его как принадлежащий определенной VLAN. Этот тег, который включает в себя адрес управления доступом к среде (MAC), в конечном итоге помогает направить кадр Ethernet к правильной конечной точке, когда он проходит по транкинговому каналу и порту хоста.

IEEE 802.1Q — это протокол открытого стандарта, который обычно является лучшим (и единственным) вариантом, если вы используете оборудование от нескольких поставщиков.Протокол Cisco VLAN Trunking Protocol (VTP) является проприетарным протоколом и потенциально может быть полезен — например, когда вы настраиваете новую VLAN на сервере VTP, он автоматически распределяет его по коммутаторам, сокращая время настройки.

Некоторое обслуживание необходимо для транкинга VLAN — например, таблицы переключения вперед должны оставаться актуальными в случае изменения топологии сети. Это означает постоянное обновление таблиц, чтобы можно было вносить новые изменения и очищать старые кадры пересылки.Также стоит отметить, что здесь возможны два типа транкинга: симметричный и асимметричный. Симметричный транкинг позволяет любому порту в группе передавать пакеты на любой другой порт, что обеспечивает более высокую скорость передачи и приема данных. Асимметричный транкинг позволяет только одному порту на коммутаторе принимать пакеты, поэтому скорость передачи высока, а прием данных медленнее.

В чем разница между портом доступа и магистральным портом?

По сути, порты доступа обрабатывают трафик для одной VLAN, а магистральные порты оборудованы для маршрутизации трафика в и из нескольких VLAN с использованием протокола тегирования.Вот основное различие между магистральным портом и портом доступа:

Порты доступа

Порт доступа — это соединение на коммутаторе, которое передает данные в определенную VLAN и из нее. Поскольку порт доступа назначается только одной VLAN, он отправляет и принимает кадры, которые не имеют тегов и имеют только значение VLAN для доступа. Это не вызывает проблем с сигналом, потому что кадры остаются в одной VLAN. Если он действительно получит помеченный пакет, он просто его избегнет.Это более простая конфигурация, но не самый эффективный выбор, если сеть даже умеренно сложная.

Магистральные порты

В отличие от порта доступа, магистральный порт может передавать данные из нескольких VLAN. Если у вас есть дюжина VLAN на определенном коммутаторе, вам не нужны дополнительные кабели или коммутаторы для каждой VLAN — только одна ссылка. Магистральный порт позволяет отправлять все эти сигналы для каждого коммутатора или маршрутизатора по одному магистральному каналу. В отличие от порта доступа, магистральный порт должен использовать теги, чтобы сигналы могли попасть в нужную конечную точку.Магистральные порты обычно предлагают более высокую пропускную способность и меньшую задержку, чем порты доступа.

Что такое транкинг IP?

IP-транкинг — это метод передачи для широкомасштабного использования голосовой связи по Интернет-протоколу (VoIP). VoIP предполагает отправку голосов через Интернет в виде данных, а не в виде электрических сигналов (как в традиционных телефонных линиях). Когда организация хочет использовать VoIP, данные должны обрабатываться должным образом, особенно потому, что соединение между внутренней и внешней сетями обычно состоит только из одного канала.

Хотя VoIP используется миллионами людей по личным причинам, лишь немногим из них требуется транкинг IP. Однако предприятиям и более крупным организациям действительно требуется транкинг, поскольку им нужен способ обработки нескольких линий вызова и множества услуг, таких как ожидание вызова и голосовая почта, связанных с VoIP. Транкинг позволяет выполнять несколько вызовов одновременно, что является обязательным для многих организаций. Хотя одна и та же магистраль VoIP соединяет всех бизнес-пользователей (как офисных, так и удаленных), сигналы передаются по одному магистральному каналу, который позволяет каждому вызову достигать правильного пункта назначения.

IP-транкинг означает, что поставщик услуг использует транкинг как для отправки, так и для приема коммутаторов для каждого вызова. Типичной конфигурацией транкинга является Privacy Branch Exchange (PBX). Поскольку голоса преобразуются в IP-пакеты, система PBX может адресовать и направлять пакеты к принимающей конечной точке, то есть к другому вызывающему абоненту. Этот процесс передачи происходит по уникальному IP-адресу вызывающего абонента.

IP-транкинг может происходить на внутреннем сервере, но VoIP по-прежнему актуален для многих MSP.Если ваши клиенты могут быть заинтересованы в переносе своих телефонных услуг в сеть передачи данных, стоит понять, как IP-транкинг может сделать это возможным. В других случаях вы можете использовать транкинг VLAN для оптимизации сети клиента. При управлении этим множеством движущихся частей рассмотрите возможность использования SolarWinds ® RMM [https://www.solarwindsmsp.com/products/rmm], чтобы использовать полный набор инструментов удаленного мониторинга и управления на единой панели управления.

Дополнительные советы и пояснения по работе с сетью можно найти в нашем блоге.Также узнайте больше о нашем решении по предотвращению черного списка IP-адресов.

Что такое магистральный порт в коммутаторах Cisco?

Магистральный порт также называется магистральным каналом. Чтобы перемещать информацию о VLAN между коммутаторами, она должна быть включена на соответствующих портах.

Что такое магистральный порт?

В нашей предыдущей статье мы рассмотрели конфигурацию порта доступа в коммутаторах. Порты доступа принадлежат одной VLAN и не изменяют никаких кадров для информации VLAN, передаваемой между коммутаторами, а только для входящего трафика.

Все сети VLAN, настроенные с помощью магистрального порта , определенного на двух коммутаторах, перенаправляются. Информация VLAN инкапсулируется перед прохождением через порт, который является инкапсуляцией ISL или 802.1Q.

В двух коммутаторах, соединенных вместе, магистральное соединение должно быть настроено на двух интерфейсах для прохождения различных VLAN.

Что такое магистраль Cisco?

Метод инкапсуляции доступен только для продуктов Cisco. Если вы используете устройства Cisco Switch в сетевой среде, вы можете установить статус инкапсуляции на ISL.

Инкапсуляция 802.1Q была разработана для обеспечения совместимости всех коммутаторов.

802.1Q = Добавляет 4-байтовый тег после адреса источника в кадре.

ISL (Inter-Switch Link) = Только для Cisco. Добавляет во фрейм 26-байтовый заголовок и 4-байтовый трейлер.

Как настроить порт магистрали на коммутаторе Cisco

Чтобы активировать магистраль и изучить ее логику, откройте Packet Tracer и создайте топологию сети, как показано на следующем рисунке.

Шаг 1

Выполните создание VLAN на коммутаторе Cisco перед включением этого протокола. После создания VLAN нажмите Switch0, чтобы передать идентификатор VLAN между коммутаторами.

Шаг 2

В открывшемся окне щелкните вкладку CLI, а затем выполните следующие команды.

  Switch # conf t
Коммутатор (config) # interface gigabitethernet 0/1
Switch (config-if) # switchport mode trunk
Switch (config-if) # конец
Переключатель # wr
  

Шаг 3

Необходимо включить функцию магистрали на каждом порту устройства для передачи информации о различных VLAN между коммутаторами.

Теперь щелкните другой Switch2 и настройте интерфейс, подключенный к Switch0, как магистральный.

  Switch # conf t
Коммутатор (config) # interface gigabitethernet 0/1
Switch (config-if) # switchport mode trunk
Switch (config-if) # конец
Переключатель # wr
  

Шаг 4

Из командной строки ПК1 в рабочем пространстве Packet Tracer отправьте эхо-запрос на ПК2, который является членом VLAN5. На изображении ниже видно, что эхо-запрос прошел успешно.

Если магистраль не настроена в этом сценарии, компьютеры в VLAN5 не смогут взаимодействовать друг с другом!

Таким образом, сети VLAN в разных местах могут связываться друг с другом, используя метод инкапсуляции на портах.

Шаг 5

После применения команды show interfaces switchport на Switch0, вы можете проверить, что для интерфейса gigabitethernet 0/1 установлено значение Магистраль.

Шаг 6

Вы также можете проверить, что интерфейс gigabitethernet 0/2 установлен на магистраль после применения команды show interfaces switchport на Switch2.

Показать команды

  Switch0 # show running-config
Конфигурация здания...

Текущая конфигурация: 1118 байт
!
версия 12.2
нет меток времени службы журнал datetime мсек
нет меток времени службы отладки дата и время мс
нет сервисного шифрования паролей
!
переключатель имени хоста
!
!
режим связующего дерева pvst
!
интерфейс FastEthernet0 / 1
!
интерфейс FastEthernet0 / 2
коммутатор доступа vlan 5
доступ в режиме Switchport
!
интерфейс FastEthernet0 / 3
!
интерфейс FastEthernet0 / 4
!
интерфейс FastEthernet0 / 5
!
интерфейс FastEthernet0 / 6
!
интерфейс FastEthernet0 / 7
!
интерфейс FastEthernet0 / 8
!
интерфейс FastEthernet0 / 9
!
интерфейс FastEthernet0 / 10
!
интерфейс FastEthernet0 / 11
!
интерфейс FastEthernet0 / 12
!
интерфейс FastEthernet0 / 13
!
интерфейс FastEthernet0 / 14
!
интерфейс FastEthernet0 / 15
!
интерфейс FastEthernet0 / 16
!
интерфейс FastEthernet0 / 17
!
интерфейс FastEthernet0 / 18
!
интерфейс FastEthernet0 / 19
!
интерфейс FastEthernet0 / 20
!
интерфейс FastEthernet0 / 21
!
интерфейс FastEthernet0 / 22
!
интерфейс FastEthernet0 / 23
!
интерфейс FastEthernet0 / 24
!
интерфейс GigabitEthernet0 / 1
соединительная линия в режиме коммутационного порта
!
интерфейс GigabitEthernet0 / 2
!
интерфейс Vlan1
нет IP-адреса
неисправность
!
!
линия con 0
!
строка vty 0 4
авторизоваться
линия vty 5 15
авторизоваться
!
!
конец
Выключатель#
  
  Switch0 # показать краткое описание vlan

Имя VLAN Статус Порты
---- -------------------------------- --------- ----- --------------------------
1 активен по умолчанию Fa0 / 1, Fa0 / 3, Fa0 / 4, Fa0 / 5
Fa0 / 6, Fa0 / 7, Fa0 / 8, Fa0 / 9
Fa0 / 10, Fa0 / 11, Fa0 / 12, Fa0 / 13
Fa0 / 14, Fa0 / 15, Fa0 / 16, Fa0 / 17
Fa0 / 18, Fa0 / 19, Fa0 / 20, Fa0 / 21
Fa0 / 22, Fa0 / 23, Fa0 / 24, Gig0 / 2
5 IT активен Fa0 / 2
1002 fddi-default активен
1003 token-ring-default активен
1004 fddinet-default активен
1005 trnet-default активен
Выключатель#
  
  Switch0 # показать соединительную линию интерфейсов
Состояние инкапсуляции режима порта Собственный vlan
Gig0 / 1 на 802.1q транкинг 1

Порт Vlan разрешен на магистрали
Gig0 / 1 1-1005

Порт Vlan разрешен и активен в домене управления
Gig0 / 1 1,5

Порт Vlan в состоянии пересылки связующего дерева и не обрезан
Gig0 / 1 1,5

Выключатель#
  
  Switch2 # show running-config
Конфигурация здания ...

Текущая конфигурация: 1118 байт
!
версия 12.2
нет меток времени службы журнал datetime мсек
нет меток времени службы отладки дата и время мс
нет сервисного шифрования паролей
!
переключатель имени хоста
!
!
режим связующего дерева pvst
!
интерфейс FastEthernet0 / 1
коммутатор доступа vlan 5
доступ в режиме Switchport
!
интерфейс FastEthernet0 / 2
!
интерфейс FastEthernet0 / 3
!
интерфейс FastEthernet0 / 4
!
интерфейс FastEthernet0 / 5
!
интерфейс FastEthernet0 / 6
!
интерфейс FastEthernet0 / 7
!
интерфейс FastEthernet0 / 8
!
интерфейс FastEthernet0 / 9
!
интерфейс FastEthernet0 / 10
!
интерфейс FastEthernet0 / 11
!
интерфейс FastEthernet0 / 12
!
интерфейс FastEthernet0 / 13
!
интерфейс FastEthernet0 / 14
!
интерфейс FastEthernet0 / 15
!
интерфейс FastEthernet0 / 16
!
интерфейс FastEthernet0 / 17
!
интерфейс FastEthernet0 / 18
!
интерфейс FastEthernet0 / 19
!
интерфейс FastEthernet0 / 20
!
интерфейс FastEthernet0 / 21
!
интерфейс FastEthernet0 / 22
!
интерфейс FastEthernet0 / 23
!
интерфейс FastEthernet0 / 24
!
интерфейс GigabitEthernet0 / 1
!
интерфейс GigabitEthernet0 / 2
соединительная линия в режиме коммутационного порта
!
интерфейс Vlan1
нет IP-адреса
неисправность
!
!
линия con 0
!
строка vty 0 4
авторизоваться
линия vty 5 15
авторизоваться
!
конец
Выключатель#
  
  Switch2 # показать краткое описание vlan

Имя VLAN Статус Порты
---- -------------------------------- --------- ----- --------------------------
1 активен по умолчанию Fa0 / 2, Fa0 / 3, Fa0 / 4, Fa0 / 5
Fa0 / 6, Fa0 / 7, Fa0 / 8, Fa0 / 9
Fa0 / 10, Fa0 / 11, Fa0 / 12, Fa0 / 13
Fa0 / 14, Fa0 / 15, Fa0 / 16, Fa0 / 17
Fa0 / 18, Fa0 / 19, Fa0 / 20, Fa0 / 21
Fa0 / 22, Fa0 / 23, Fa0 / 24, Gig0 / 1
5 IT активен Fa0 / 1
1002 fddi-default активен
1003 token-ring-default активен
1004 fddinet-default активен
1005 trnet-default активен
Выключатель#
  
  Switch2 # показать соединительную линию интерфейсов
Состояние инкапсуляции режима порта Собственный vlan
Gig0 / 2 на 802.1q транкинг 1

Порт Vlan разрешен на магистрали
Gig0 / 2 1-1005

Порт Vlan разрешен и активен в домене управления
Gig0 / 2 1,5

Порт Vlan в состоянии пересылки связующего дерева и не обрезан
Gig0 / 2 1,5

Выключатель#
  
  Switch0 # показать интерфейсы switchport
Имя: Gig0 / 1
Switchport: Включено
Административный режим: ствол
Режим работы: ствол
Инкапсуляция административного транкинга: dot1q
Оперативная инкапсуляция транкинга: dot1q
Согласование транкинга: Вкл.
Режим доступа VLAN: 1 (по умолчанию)
Транкинг VLAN в собственном режиме: 1 (по умолчанию)
Голосовой VLAN: нет
Административная ассоциация хоста private-vlan: нет
Административное сопоставление частных vlan: нет
Административная собственная VLAN магистрали private-vlan: нет
Административная инкапсуляция магистрали private-vlan: dot1q
Административные частные магистрали vlan нормальные сети VLAN: нет
Административные частные магистральные сети VLAN с частными виртуальными локальными сетями: нет
Оперативный частный vlan: нет
Магистральные сети VLAN включены: все
Включено сокращение VLAN: 2-1001
Режим захвата отключен
Разрешено захватывать VLAN: ВСЕ
Защищено: ложь
Неизвестная одноадресная передача заблокирована: отключено
Неизвестная многоадресная рассылка заблокирована: отключено
Доверие устройства: нет  
  Switch2 # show interfaces switchport
Имя: Gig0 / 2
Switchport: Включено
Административный режим: ствол
Режим работы: ствол
Инкапсуляция административного транкинга: dot1q
Оперативная инкапсуляция транкинга: dot1q
Согласование транкинга: Вкл.
Режим доступа VLAN: 1 (по умолчанию)
Транкинг VLAN в собственном режиме: 1 (по умолчанию)
Голосовой VLAN: нет
Административная ассоциация хоста private-vlan: нет
Административное сопоставление частных vlan: нет
Административная собственная VLAN магистрали private-vlan: нет
Административная инкапсуляция магистрали private-vlan: dot1q
Административные частные магистрали vlan нормальные сети VLAN: нет
Административные частные магистрали vlan частные сети VLAN: нет
Оперативный частный vlan: нет
Магистральные сети VLAN включены: все
Включено сокращение VLAN: 2-1001
Режим захвата отключен
Разрешено захватывать VLAN: ВСЕ
Защищено: ложь
Неизвестная одноадресная передача заблокирована: отключено
Неизвестная многоадресная рассылка заблокирована: отключено
Доверие устройства: нет  

Использование транкинга в коммутаторе ⇒ Видео

Чтобы установить определенный порт на коммутаторе как транкинговый, вы можете посмотреть видео ниже, а также подписаться на наш канал YouTube, чтобы поддержать нас!

Final Word


Транкинг должен быть включен при настройке VLAN на Cisco или других фирменных SW.В противном случае устройства, принадлежащие к одной и той же VLAN, но расположенные в разных местах, не смогут взаимодействовать друг с другом. Спасибо, что подписались на нас!

Статьи по теме


♦ Что такое маршрутизатор Cisco?
♦ Cisco Security
♦ Статический маршрут
♦ Маршрут по умолчанию
♦ Динамический маршрут

Собственная VLAN | Транкинг VLAN | Switchport Mode Trunk

По умолчанию наши порты коммутатора будут передавать трафик только для одной виртуальной LAN или VLAN и одной VLAN. Какой это будет VLAN? Ну какой VLAN наши порты принадлежат по умолчанию? VLAN 1.Таким образом, по умолчанию мы передаем трафик только для одной VLAN. Но теперь мы сталкиваемся с проблемой, когда соединяем два переключателя вместе. Если я соединяю два коммутатора вместе и хочу передавать трафик для нескольких VLAN по одному единственному каналу, как мы это сделаем?

Магистральные операции

Нам нужно соединить эти переключатели вместе. Мы действительно изменим нашу инкапсуляцию. Мы немного изменим язык, на котором мы говорим по этой ссылке, и дополнительно определим VLAN для кадров, которые проходят по этой ссылке.Это багажник, хорошо? Теперь, если вы боретесь с этим, я хочу, чтобы вы подумали о проблеме — ссылка по умолчанию является ссылкой доступа, и в ней отсутствует этот механизм транкинга. И, следовательно, по одному каналу может передаваться трафик только одной VLAN, потому что мы не можем дискретно определить, частью какой VLAN будет фрейм. Так что подумайте о том факте, что несколько коммутаторов обычно будут частью широковещательного домена, в котором находится VLAN, и мы собираемся иметь потенциально сотни VLAN в одном заданном пространстве.Конечно, довольно часто можно увидеть от 15 до 50 VLAN в общем пространстве уровня доступа. Итак, теперь перед нами действительно серьезная задача. У нас может быть гигабитный канал или канал 10 Гб между нашими коммутаторами, и одной VLAN недостаточно, не так ли? Итак, мы решили сделать это магистральным каналом и вуаля, наша проблема с подключением решена. У нас все еще может быть узкое место, но тогда сети VLAN могут работать. Так что это большое дело, не так ли? И мы должны думать про себя, хорошо, соединения коммутатор-коммутатор, вероятно, должны быть магистральными, верно? Кроме того, переключитесь на многоуровневый коммутатор или переключитесь на маршрутизатор, потому что эти устройства должны будут завершать работу и маршрутизировать для разных VLAN.Так что при прочих равных, когда я смотрю на топологию, я думаю, что все ссылки, которые идут к ПК, будут портами доступа, а не магистралями. А затем ссылки между моими коммутаторами, теми, которые я собираюсь сделать транками.

Эта магистральная ссылка должна отслеживать, к какой VLAN принадлежит трафик, поэтому он будет тегировать. Но помечена ли каждая отдельная VLAN, когда мы отправляем трафик по этой магистрали?

Из каждого правила есть исключения, верно? По крайней мере, здесь это очень верно.Транкинговый протокол, который мы используем в современной Cisco, — это 802.1Q. Вы можете увидеть Inter-Switch Link или ISL, в этом нет ничего плохого, но мы говорим о 802.1Q — стандартизированной технологии транкинга. Институт инженеров по электротехнике и радиоэлектронике, или IEEE, который разработал его, встроил в немаркированную VLAN под названием native VLAN , по умолчанию VLAN 1, и ее можно изменить. Если вы меняете его, убедитесь, что вы изменили его на обеих сторонах магистрального канала, и это, по сути, проблема безопасности, поэтому мы предпочитаем часто менять его на 99 или 999.Итак, одна из 4094 VLAN, которые могут передавать поток, одна из них немаркирована. Это собственная VLAN, по умолчанию 1.

Switch # conf t
Switch (config) #int eth 1/1
Switch (config-if) #switchport mode trunk
Команда отклонена: интерфейс с инкапсуляцией магистрали «Авто» не может быть настроен в режим «магистрали».
Switch (config-if) #switchport trunk encapsulation dot1q
Switch (config-if) #switchport транк
Switch (config-if) #switchport trunk native vlan 99

Настройка соединительных линий

Здесь мы рассматриваем рекомендуемые Cisco передовые методы реализации магистральной линии.Посмотрите на интерфейс Ethernet 1/1, switchport mode trunk. Мы явно настраиваем этот порт, чтобы он стал транком. Это не конфигурация по умолчанию. Конфигурация по умолчанию на наших коммутаторах Catalyst будет либо динамической автоматической, либо желательной динамической, что является автоматическим методом транкинга. Мы обсудим это подробнее здесь в ближайшее время, но Cisco заявляет, что давайте установим это вручную. Теперь транк в режиме switchport будет работать, если мы также вручную установим метод инкапсуляции. Наши коммутаторы могут поддерживать как ISL, так и 802.1 кв. Большую часть времени мы используем 802.1Q в реальном мире. Это стандарт, к которому мы стремимся. Итак, чтобы мы могли установить режим транка, нам также нужно вручную установить наш метод инкапсуляции, и какая команда для этого?

Switch # conf t
Switch (config) #int eth 1/1
Switch (config-if) #switchport mode trunk
Команда отклонена: интерфейс с инкапсуляцией магистрали «Авто» не может быть настроен в режим «магистрали».
Switch (config-if) #switchport trunk encapsulation dot1q
Switch (config-if) #switchport транк
Switch (config-if) #switchport trunk native vlan 99

Да, на экране это видно.Итак, вы бы сказали «инкапсуляция магистрали порта коммутатора», а затем выбрали бы dot1q. Теперь, если я посмотрю на этот переключатель, единственный способ, которым эта магистраль режима коммутатора команды будет разрешена по умолчанию, — это если не будет возможности запуска ISL, как в случае с 2960. Это позволит вам выполнить эту команду и не лаять на тебя. Но не удивляйтесь, что если вы находитесь в реальном мире, в дикой природе, вы будете делать это, может быть, на своих 3750 или даже более дорогих устройствах, как на экране. И вы выполняете эту команду, и она говорит: нет, нет, нет, вам нужно выбрать инкапсуляцию, прежде чем она станет принудительной в конфигурации.Итак, мы скажем, switchport trunk encapsulation , выберите dot1q, то есть это будет dot1q. Это был бы параметр для указания IEEE 802.1Q в качестве технологии транкинга, после чего вы можете выполнять эти другие команды.

А как насчет нашей собственной VLAN ? Cisco выбрасывает 99 практически во всей своей документации. Это не то число, которое вы должны использовать, не то, что вы должны использовать. Как видите, мы изменили его, используя собственный vlan магистрали коммутатора, и указали этот номер VLAN.Допустим, вы попали в среду тестирования и хотите выяснить, какую VLAN они используют в качестве собственной VLAN, но вы настраиваете новые магистральные порты, поэтому это может быть не слишком очевидно. Есть вероятность, что кто-то напишет хорошую документацию, которую вы можете увидеть. Вы помните команду, в которой перечислены все ваши VLAN? Что ж, вы можете сделать это, чтобы увидеть, как названы VLAN, и в некоторых соглашениях будет собственная VLAN для всего домена, названного для вас в этом списке. Таким образом, вы можете точно понять, какую VLAN использовал исходный разработчик этой архитектуры.Сделайте бриф по шоу-влану, если у вас есть какие-то сомнения. Теперь имейте в виду, что вы должны убедиться, что обе стороны магистрального канала совпадают по отношению к собственной VLAN. Если вы этого не сделаете, вы повлияете на VLAN, которые неуместны в качестве собственной VLAN, хорошо, мы называем это объединенными VLAN. Мы не будем показывать вам это, но протокол Cisco Discovery Protocol, или CDP, даже иногда покажет вам, эй, ваши собственные VLAN не совпадают по магистральному каналу, если у вас работает CDP, хорошо. Поэтому убедитесь, что они совпадают с обеих сторон.

Итак, самая первая команда, с которой нам нужно ознакомиться, — это показать интерфейсы, конкретный интерфейс, который вы настроили как транк или вы ожидаете быть транком, а затем ключевое слово switchport. Не забывайте ключевое слово switchport. Если мы не включим это ключевое слово switchport, какой тип вывода мы получим? Мы просто видим результат уровня 2, например, сколько столкновений у нас было, это скорость, это дуплекс, он вверх / вверх. Но если я хочу увидеть выходные данные интерфейса, относящиеся к VLAN, мы выбираем порт коммутатора.Так что это действительно ключ, присоединяйтесь к команде, иначе этот вывод будет для вас довольно неуловимым.

Switch # показать интерфейс Ethernet 1/1 switchport
Имя: Et1 / 1
Switchport: Включено
Административный режим: магистраль
Рабочий режим: магистраль
Административная инкапсуляция транкинга: dot1q
Оперативная инкапсуляция транкинга: dot1q
Согласование транкинга: Доступ
Режим VLAN: 1 (по умолчанию)
Trunking Native Mode VLAN: 99 (Inactive)
Администрирование Native VLAN tagging: включено

Итак, мы видим здесь имя FastEthernet 0/11, Switchport: Enabled, ох, это важно.Switchport: Enabled означает, что мы являемся портом коммутатора уровня 2. Если он был отключен, это означает, что мы были портом уровня 3. Мы рассмотрим это в более продвинутых курсах. Итак, мы хотим, чтобы здесь был включен второй слой. Административный режим, это то, что мы настроили на нашем устройстве для транкингового режима. Здесь мы можем проверить значение по умолчанию. Помните, я сказал, что значение по умолчанию будет динамически автоматически или желательно динамически? Таким образом, мы увидим этот вывод по умолчанию здесь, в административном режиме. Если мы изменим его, как мы сделали транк в режиме switchport, то мы увидим его транк.Рабочий режим — это то, чем мы работаем. Так мы транк или статический порт доступа? Мы видим метод инкапсуляции 802.1Q. Мы можем проверить, есть ли у нас возможность динамически согласовывать нашу магистральную линию. Он говорит, что согласование транкинга включено. Это означает, что мы используем протокол динамического транкинга, или DTP, для отправки сообщений DTP, чтобы автоматически формировать этот транк между двумя коммутаторами.

Это необычная конфигурация и нежелательная конфигурация, но это магистральный канал.И когда я проверяю магистральные каналы на шасси, то, что я, вероятно, сделаю в первую очередь, это покажу соседей cdp и посмотрю, какие еще коммутаторы и, возможно, маршрутизаторы я подключил. прямо. И это даст мне некоторое представление о том, сколько магистральных каналов я ожидаю, от коммутатора к коммутатору или от коммутатора к маршрутизатору, я ожидаю, что они будут магистральными каналами.

Коммутатор # показать cdp соседи

Коды возможностей: R — Маршрутизатор, T — Трансмиссионный мост, B — Мост исходного маршрута

S — коммутатор, H — хост, I — IGMP, r — повторитель, P — телефон,

D — Дистанционное, C — CVTA, M — Двухпортовое реле Mac

Device ID Local Intrfce Holdtme Capability ID порта платформы

Маршрутизатор Eth 0/1 146 R Linux Uni Eth 0/0

Маршрутизатор Eth 0/2 158 R Linux Uni Eth 0/0

По крайней мере, я хочу, чтобы они были магистральными линиями связи, если я не вижу необходимости в чем-то еще.Итак, я сделаю шоу-интерфейс.

Коммутатор # Показать интерфейсы магистрали

Состояние инкапсуляции режима порта Собственный vlan

Et1 / 1 на транкинге 802.1q 99

Порт Vlan разрешен на магистрали

Et1 / 1 1-4094

Вланы портов разрешены и активны в домене управления

Et1 / 1 1-2

Port Vlan в состоянии пересылки связующего дерева и не обрезан

Et1 / 1 1-2

Я предпочитаю эту команду, и я бы посоветовал вам не указывать здесь магистраль Ethernet 1/1, просто скажите show interfaces trunk.Эта рекомендация не относится к параметру switchport, вам нужно сделать switchport вверху. Но, тем не менее, независимо от того, добавляете ли вы один интерфейс для команды trunk show или вообще опускаете интерфейс, вы получите тот же результат. Будет написано «Порт», затем «Режим». Mode on означает, что использовалась команда соединительной линии режима switchport. Мы видим инкапсуляцию. На некоторых коммутаторах вы увидите n-, а если вы увидите n-, это означает, что это было согласовано. Статус транкинговый, это хорошо. Собственный vlan 99, который должен совпадать с обеих сторон.Итак, по крайней мере, исходя из этого локального вывода, мы вполне довольны конфигурацией, которая у нас есть для нашего ствола.

Режим доступа Switchport против режима транка

В этой статье мы будем ссылаться только на коммутаторы платформы Cisco, такие как серия Catalyst .

Как правило, новички в области сетевых технологий (например, кандидаты CCNA и т. Д.), Как правило, сталкиваются с терминологией TRUNK и ACCESS в коммутации.

Связанные CCNA Routing & Switching Interview Questions

В большинстве коммутаторов Cisco порты коммутаторов по умолчанию настроены в режиме «, динамический желательный, ».Это означает, что если мы подключаем устройства, он будет согласовывать, чтобы сформировать магистраль .

Мы можем настроить порты коммутатора в качестве режима магистрали или доступа, поскольку при сохранении настроек по умолчанию («желательно динамическое») будет меньше контроля над поведением порта коммутатора.

Магистраль Порты обычно используются в коммутаторе для переключения связи или переключения на маршрутизатор (маршрутизатор на флешке). Магистрали несут несколько виртуальных локальных сетей между устройствами и поддерживают теги виртуальных локальных сетей в кадрах Ethernet для приема напрямую подключенных устройств, различающих разные виртуальные локальные сети.

Порты доступа являются частью только одной VLAN и обычно используются для оконечной нагрузки конечных устройств, таких как ПК, ноутбук и принтер.

Использование команды « Switchport mode access » заставляет порт быть портом доступа, в то время как любое устройство, подключенное к этому порту, сможет взаимодействовать только с другими устройствами, находящимися в той же VLAN.

При использовании команды «Switchport mode trunk» порт становится магистральным портом.

Сравнительная таблица: режим доступа и режим внешней линии

В таблице ниже описаны различия между режимом порта Trunk и режимом порта доступа на коммутаторах Cisco-

.

ПАРАМЕТР
РЕЖИМ ТРАНКА
РЕЖИМ ДОСТУПА
Терминология
Магистральный порт может передавать трафик в одной или нескольких VLAN по одному и тому же физическому каналу.Магистральные порты различают Vlan путем добавления тега к пакету (802.1Q) или инкапсуляции пакета (ISL).
Порты доступа являются частью только одной VLAN и обычно используются для оконечной нагрузки конечных устройств, таких как ПК, ноутбук и принтер.
Поведение по умолчанию (коммутаторы Cisco)
По умолчанию магистральный интерфейс может передавать трафик для всех VLAN.
По умолчанию порт доступа поддерживает только одну VLAN
Конфигурация
Для обозначения порта в режиме транка —
«Транк в режиме Switchport»
Для обозначения порта в режиме доступа —
«Доступ в режиме Switchport»
Вариант использования
Переключиться на подключение к коммутатору
Переключиться на маршрутизатор (при использовании маршрутизатора на Stick или транке dot1q)
Переключиться на сервер (в отдельных случаях, особенно в технологии VM)
Переключиться на ПК / ноутбук
Коммутатор на принтер
Переключитесь на маршрутизатор
Примечание.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *