Сетевые комутаторы

port security

port security max-mac-count 1

port security action shutdown

port security action trap

Команды для включения  режима защиты портов на коммутаторах 2950 и 3500

немного различаются.

interface FastEthernet 0/2

! Включение защиты порта 

switchport port-security

! Задание числа mac-адресов

switchport port-security maximum 1

! Выбор действия shutdown (также доступны варианты protect и restrict)

switchport port-security violation shutdown

Протокол VLAN-транкинга

Протокол транкинга виртуальной локальной сети (VLAN Trunking Protocol, VTP)

позволяет" коммутаторам обмениваться информацией о VLAN-сетях  через 

порты транкинга (рис. 14.6), существенно упрощая администрирование нескольких

коммутаторов. После того как коммутатор для VTP-домена настроен и для него

выбран режим (клиент или  сервер), коммутаторы автоматически  начинают 

совместно использовать VLAN-информацию с сервера.

Рис. 14.6. Транки между коммутаторами и VTP-администрирование

Транкинг

375

VTP-режимы 

Коммутаторы, настроенные  с использованием протокола VTP, могут  работать

в трех режимах: серверном (server), клиентском (client) или прозрачном 

(transparent). При первой настройке протокола VTP для всех коммутаторов по 

умолчанию выбирается серверный  режим. VTP-сервер может добавлять, удалять  и 

изменять сведения о VLAN в  базе данных VLAN-сети. После того как  на VTP-

сервере зарегистрируется какое-либо изменение, информация об этом 

отправляется на все VTP-коммутаторы  в VTP-домене.

Клиентский VTP-коммутатор просто делает то, что ему приказывает

серверный VTP-коммутатор, если, конечно, сервер находится в том  же VTP-домене.

Клиент не может добавлять, удалять или изменять сведения о VLAN в базе 

данных VLAN-сети.

В прозрачном режиме коммутатор выполняет функции посредника. Он 

передает VTP-обновления, полученные серверными коммутаторами, но не 

обрабатывает их. Прозрачному  коммутатору разрешено добавлять, модифицировать и 

удалять сведения о VLAN, но эти  изменения не выходят за пределы 

конкретного коммутатора  и не отправляются другим членам VTP-домена.

База данных VLAN-сети

Для доступа к базе данных VLAN-сети и настройки протокола VTP 

используйте глобальную команду VLAN database, которая включает режим VLAN-конфигу-

рирования. Другими словами, она выполняется на глобальном командном

уровне, а не в режиме конфигурирования, как показано в следующем примере:

switch1#VLAN database

switchl(VLAN)#?

VLAN database editing buffer manipulation commands:

abort Exit mode without applying the changes

apply Apply current changes and bump revision number

exit Apply changes, bump revision number, and exit mode

no Negate a command or set its defaults

reset Abandon current changes and reread current database

show Show database information

VLAN Add, delete, or modify values assoicated with a single VLAN

vtp Perform VTP adminsitrative functions.

switchl(VLAN)#

switchl(VLAN)#exit

APPLY completed.

Exiting...

switchl#

В этом примере следует  обратить внимание на две важные вещи. Во-первых,

как только мы выходим из режима VLAN-конфигурирования, изменения 

немедленно вступают в  силу. Во-вторых, команда выполняется  в глобальном 

командном (рабочем) режиме, а не в режиме конфигурирования.

Почему на глобальном командном  уровне? В двух словах, я не понимаю, 

почему разработчики Cisco выбрали этот вариант. Возможно, по той же причине,

по которой команды конфигурирования базы данных VLAN-сети хранятся

376

Глава 14. Коммутаторы и  виртуальные локальные сети

отдельно от остальных  команд конфигурирования маршрутизатора. Особого 

смысла в этом нет, просто не забывайте о данной особенности.

Как я уже сказал, команды  конфигурирования базы данных VLAN-сети 

хранятся отдельно от обычных  команд конфигурирования, которые выполняются 

при запуске. На маршрутизаторе серии 2900 в отчете команды dir для 

содержимого флэш-памяти можно  увидеть файл VLAN.dat:

switchl#dir flash:

Directory of flash:

2 -rwx 4388 Mar 01 2004 00:31:53 VLAN.dat

8 -rwx 656 Mar 01 2004 00:29:08 config.text

Также здесь присутствует файл config.text — это конфигурация запуска

коммутатора. В файле VLAN.dat хранятся фактические VLAN-конфигурации.

Такое состояние дел несколько  путает ситуацию, но все постепенно 

меняется. На новых устройствах  и в новых версиях IOS разработчики Cisco 

переместили команды VTP-настройки  в обычный конфигурационный режим. Например,

если выполнить команду  vl an database на новых коммутаторах серии 3550, то вы

увидите такое сообщение:

% Warning: It is recommended to configure VLAN from config mode, as VLAN database mode

is being deprecated.

Конфигурирование протокола VTP

Далее перечислены наиболее часто используемые команды VTP-конфигуриро-

вания. Вы встретите все эти команды в примере, представленном в этом разделе

далее.

Настройка VTP-режима

Первоначально каждое устройство считает, что оно является VTP-сервером, и вам 

надо сообщить ему, каким  коммутатором оно будет — клиентским, серверным или 

прозрачным, выполнив команду vtp server, vtp client или vtp transparent.

Настройка VTP-домена

Все VTP-устройства работают только в пределах своих доменов. Чтобы 

клиенты и серверы могли  обмениваться данными друг с другом, необходимо 

настроить VTP-домен при  помощи команды vtp domain.

Настройка VTP-пароля

Настраивать VTP-пароль не обязательно, однако он обеспечивает некоторую

дополнительную защиту, чтобы  пользователь в сети не мог подключиться к 

коммутатору Cisco и навести беспорядок в базах данных протокола VTP. Команда

для установки пароля —  vtp password.

Создание VLAN-сети

Создать VLAN-сеть можно, просто применив команду VLAN номер name имя, где

номер — это номер VLAN-сети, а имя — имя, которое вы хотели бы присвоить 

данной VLAN-сети.

Транкинг

377

Пример конфигурирования

В нашей сети на рис. 14.4 был  только один коммутатор, однако предположим,

что у нас возникла необходимость  подсоединить к сети еще один коммутатор — 

коммутатор 2. Коммутатор 2 будет  входить в сети VLAN 3 и VLAN 4. Мы 

соединим устройства через  порты 0/8 обоих коммутаторов, а затем  настроим эти 

два порта как транки.

Конфигурирование транкинга на портах 0/8 обоих коммутаторов:

int fastethernet 0/8

switchport mode trunk

no shutdown

На коммутаторе 2 настроим интерфейс сети VLAN 1:

switch2(config)#interface VLAN1

switch2(config-if)#ip address 192.168.1.2 255.255.255.0

switch2(config-if)#no shutdown

Когда мы впервые соединяем  коммутаторы, оба они считают, что  являются

VTP-серверами. Мы сделаем  коммутатор 1 сервером (а он уже  сервер) и  

настроим VTP-домен:

switchl#VLAN database

switchl(VLAN)#vtp server

Device mode already VTP SERVER.

switchl(VLAN)#vtp domain xyzcorp

Changing VTP domain name from NULL to xyzcorp

switchl(VLAN)#vtp password vtppass

Setting device VLAN database password to vtppass.

switchl(VLAN)#exit

APPLY completed.

Exiting...

Теперь настроим и присвоим имена VLAN-сетям на VTP-сервере, которым 

является коммутатор 1:

switchl#VLAN database

switchl(VLAN)#VLAN 2 name HR

VLAN 2 modified:

Name: HR

switchl(VLAN)#VLAN 3 name Development

VLAN 3 modified:

Name: Development

switchl(VLAN)#VLAN 4 name Sales

VLAN 4 modified:

Name: Sales

switchl(VLAN)#exit

APPLY completed.

Exiting...

После настройки виртуальных  локальных сетей в базе данных назначенные 

нами имена можно увидеть  в отчете команды show VLAN brief:

switchl#show VLAN brief

VLAN Name Status Ports

1 default active FaO/7. FaO/9, Fa0/10. FaO/11.

FaO/12

378

Глава 14. Коммутаторы и  виртуальные локальные сети

2 HR active FaO/1

3 Development active FaO/2

4 Sales active FaO/4. FaO/5. FaO/6

Теперь настроим коммутатор 2 как VTP-клиент, используя практически  те

же команды, что и для коммутатора 1. Единственное существенное различие 

состоит в том, что данный коммутатор является клиентом.

switch2#VLAN database

switch2(VLAN)#vtp client

Setting device to VTP CLIENT mode.

switch2(VLAN)#vtp domain xyzcorp

Changing VTP domain name from NULL to xyzcorp

switch2(VLAN)#vtp password vtppass

Setting device VLAN database password to vtppass.

switch2(VLAN)#exit

In CLIENT state, no apply attempted.

Exiting

Теперь выполним команду  show VLAN brief на коммутаторе 2 и увидим, что он

также знает имена виртуальных  локальных сетей:

Switch2#show VLAN brief

VLAN Name Status Ports

1 default active FaO/1. FaO/2, FaO/3. FaO/4,

FaO/5. FaO/6. FaO/7. FaO/9,

FaO/10. FaO/11. FaO/12

2 HR active

3 Development active

4 Sales active

Протокол VTP работает только поверх транков; таким образом, если вы 

увидите, что виртуальные  локальные сети распространяются также  и на второй

коммутатор, то будете знать, что транк работает правильно. Команда show VLAN

brief — лучшая проверка конфигурации транкинга. Кроме того, как можно

видеть в отчете, мы пока не настраивали порты для VLAN-сетей, поэтому на 

данном этапе все принадлежит сети VLAN 1.

Теперь старая добрая команда VTP show:

switch2#show vtp counters

VTP statistics:

Summary advertisements received : 3

Subset advertisements received : 2

Reuqest advertisements received : 0

Summary advertisements transmitted : 4

Subset advertisements transmitted : 2

Request advertisements transmitted : 2

Number of config revision errors : 0

Number of config digest errors : 0

Number of VI summary errors : 0

VTP pruning statistics:

Trunk Join Transmitted Join Received Summary advts received from

non-pruning-capable device

FaO/8 0 0 0

Мониторинг портов коммутатора 

379

Архивация базы данных VLAN-сети

Ранее я уже говорил, что  база данных VLAN-сети хранится отдельно от 

конфигурации запуска  устройства в файле VLAN.dat. Даже несмотря на то, что эта 

ситуация в будущем, вероятнее  всего, изменится, можно воспользоваться 

некоторыми ее преимуществами уже сейчас. Если необходимо, перед  тем, как вносить 

какие-либо изменения, можно  создать резервную копию базы данных 

VLAN-сети. В нашей предыдущей  конфигурации можно было бы  использовать 

следующие команды.

Для архивации базы данных VLAN-сети:

switch2#copy flash:VLAN.dat flash:VLAN.bak

Source filename [VLAN.dat]?

Destination filename [VLAN.bak]?

4388 bytes copied in 0.131 sees

Для восстановления резервной  копии:

switch2#copy flash:VLAN.bak flash:VLAN.dat

Source filename [VLAN.bak]?

Destination filename [VLAN.dat]?

4388 bytes copied in 0.131 sees

switch2#reload

Мониторинг портов коммутатора 

Чтобы настроить на коммутаторе  систему обнаружения вторжений (Intrusion

Detection System, IDS), такую как Snort (http://www.snort.org), необходимо 

выбрать интерфейсы или VLAN-сети, за которыми будет вестись наблюдение. 

Мониторинг выполняется  при помощи анализатора портов коммутатора (Switch

Port Analyzer, SPAN).

Хотя варианты настройки SPAN различаются в зависимости  от модели, для

всех коммутаторов характерны одни и те же концепции — нужно  выбрать 

интерфейсы или виртуальные  локальные сети, за которыми должен «наблюдать» 

текущий порт. Любой трафик, отправляемый и получаемый через  проверяемые

интерфейсы или VLAN-сети, также  должен отправляться на порт мониторинга.

Предположим, что вы хотите подключить IDS-блок к порту fastethernetO/9

коммутатора. Входящее подключение  к Интернету, идущее от брандмауэра, 

соединено с портом fastethernetO/1. Это означает, что входящий и исходящий

трафик для fastethernetO/1 нужно целиком отправлять также на IDS-блок, то есть

на интерфейс fastethernetO/9.

На устройствах серии 2900x1/3500x1 настройка осуществляется довольно

просто:

interface FastEthernetO/9

port monitor FastEthernetO/1

С такой конфигурацией  любой пакет, переданный или полученный 

интерфейсом fastethernetO/1, копируется (отображается) на интерфейс fastethernetO/9.

Таким образом, наш IDS-блок может прослушивать все входящие и исходящие

пакеты, проверяя наличие  признаков вторжения.

380

Глава 14. Коммутаторы и  виртуальные локальные сети

Проверить конфигурацию можно  при помощи команды show port monitor:

switch2#show port monitor

Monitor Port Port Being Monitored

FastEthernetO/9 FastEthernetO/1

На коммутаторах серий 2940, 2950, 2955, 2970, 3550, 3560, 3750 и 

большинства других необходимо добавить глобальную команду monitor:

! Настройка fastEthernet 0/1 как порта ИСТОЧНИКА

monitor session l source interface fastEthernet 0/1

! Настройка fastEtherent 0/9 как порта НАЗНАЧЕНИЯ

monitor session 1 destination interface fastethernet 0/9

На коммутаторах серии 2950 одновременно может работать только один 

сеанс мониторинга и только для интерфейсов-источников.

Для проверки конфигурации мониторинга  используйте команду show monitor:

# show monitor session 1

Session 1

Source Ports:

RX Only: None

TX Only: None

Both: FaO/1

Destination Ports: FaO/9

Устранение неполадок  с коммутаторами 

Далее перечислено несколько  распространенных приемов устранения 

неполадок, которые полезно  применять при настройке виртуальных  локальных сетей.

Проверьте физические соединения и уровень 2 (канальный уровень).

Подключен ли кабель к нужному  порту?

Горит ли индикатор связи? Какого он цвета? (Зеленый означает состояние

передачи, желтый — состояние блокировки, желтый мигающий — ошибку.)

Выполните команду show interface для проверки состояния связи (работает

или не работает).

Проверьте настройку дуплексной передачи и скорости (помните, что 

автоматическое определение  очень ненадежно).

Используйте протокол CDP, чтобы  проверить, могут ли устройства от

Cisco видеть друг друга (подробнее об этом см. главу 3).

Проверьте, что сеть VLAN 1 настроена  и шлюз по умолчанию задан.

Если виртуальные локальные  сети не видят друг друга или пограничные 

маршрутизаторы, проверьте  конфигурации коммутаторов.

Является ли маршрутизатор  членом всех VLAN-сетей?

Необходим ли транкинг?

Если в каждой VLAN-сети есть маршрутизатор, проверьте конфигурацию

маршрутизатора.

Устранение неполадок  с коммутаторами 

381

Проверьте конфигурацию VLAN-сети.

Относится ли порт к нужной VLAN-сети?

Есть ли еще команды  allowed в конфигурации транкинга?

Выполните команду show VLAN.

Выполните команду show interface switchport.

Выполните команду show spanning-tree.

Если два коммутатора  не могут совместно использовать информацию о 

виртуальной локальной сети или не пересылают кадры, то проверьте VTP-koh-

фигурацию.

Включен ли транкинг между двумя коммутаторами?

Используется ли на обоих  коммутаторах один и тот же протокол 

инкапсуляции транкинга (ISL, 802.1Q и т. п.)?

Выполните команду show interface fastethernetO/1 switchport, чтобы 

проверить протокол инкапсуляции транкинга.