Spiegazione della configurazione della porta dello switch di rete GB

 

Perché le negoziazioni sulla velocità delle porte falliscono (e cosa puoi effettivamente fare)

 

Ecco cosa nessuno ti dice quando inizi: la negoziazione automatica- sulle porte Gigabit funziona in modo diverso rispetto alle interfacce 10/100. La specifica IEEE 802.3ab richiede che le connessioni 1000BASE-T funzionino esclusivamente in modalità full-duplex. Non esiste un'opzione half{9}}duplex a velocità gigabit. Periodo.

Quindi, quando vedi una porta bloccata a 100 Mbps e ti chiedi cosa è andato storto, il colpevole è solitamente una delle tre cose:

Il cavo. Cat5 potrebbe tecnicamente supportare gigabit su brevi tirature, ma ho visto ingegneri sprecare ore nella risoluzione dei problemi prima che qualcuno finalmente passasse a Cat5e o Cat6. Tutte e quattro le coppie devono essere terminate correttamente-non solo due come potresti farla franca alle velocità Fast Ethernet.

Un'impostazione forzata da un lato. Se qualcuno configura la velocità su 100 sullo switch di uplink mentre la tua porta è in modalità automatica, passerai una brutta giornata. Il lato della negoziazione automatica- ricorre al rilevamento parallelo e tale meccanismo non risolve i parametri con garbo nel modo sperato.

Moduli SFP difettosi. In particolare con gli uplink in fibra. Non tutti i ricetrasmettitori si adattano bene a tutti i fornitori-alcuni switch diventano veramente esigenti riguardo a ciò che accettano in quegli slot.

 

Entrare nella configurazione dell'interfaccia

 

Il percorso verso la modalità di configurazione dell'interfaccia è abbastanza semplice su Cisco IOS. Si inizia digitando abilita al prompt iniziale, quindi si immette il terminale di configurazione per raggiungere la modalità di configurazione globale. Da lì, specificando l'interfaccia GigabitEthernet0/1 si accede al contesto di configurazione dell'interfaccia per quella porta specifica.

Una volta che sei lì, impostare la velocità e il duplex è semplice. Il comando speed 1000 blocca la porta per il funzionamento gigabit, mentre il duplex full garantisce la trasmissione simultanea bidirezionale. La maggior parte degli amministratori lascia entrambi i parametri su auto, il che funziona correttamente per le porte di accesso che si connettono alle workstation degli utenti finali-. I NIC moderni gestiscono la negoziazione senza drammi. Ma i collegamenti tra-switch meritano più attenzione-alcuni team di rete li codificano per eliminare un'altra variabile durante la risoluzione dei problemi di interruzione.

Vale la pena notare: una volta bloccata la velocità 1000, la porta rifiuta qualsiasi cosa più lenta. Un laptop con una scheda NIC instabile non tornerà a 100 Mbps; semplicemente non si collegherà affatto. A volte è il comportamento che desideri. Spesso non lo è.

 

 

Assegnazione VLAN: porte e trunk di accesso

 

È qui che la configurazione diventa interessante-e dove gli errori si accumulano più velocemente.

Una porta di accesso appartiene esattamente a una VLAN. I frame in arrivo arrivano senza tag; lo switch li associa a qualunque VLAN tu abbia specificato. A tale scopo, accedere all'interfaccia, emettere l'accesso in modalità switchport per definire il tipo di porta, quindi accedere a switchport vlan 10 (o qualunque numero VLAN applicabile) per effettuare l'assegnazione.

Le porte trunk trasportano il traffico per più VLAN contemporaneamente. Ogni frame riceve un'intestazione 802.1Q che identifica a quale VLAN appartiene. L'eccezione è la VLAN nativa-i cui frame attraversano il trunk senza tag. La configurazione prevede l'impostazione del trunk in modalità switchport, quindi la definizione della VLAN nativa con la vlan nativa del trunk switchport 99 e infine la limitazione delle VLAN che attraversano il collegamento utilizzando la vlan consentita del trunk switchport seguita dall'elenco di ID VLAN separati da virgole-.

Ciò ha consentito che le specifiche VLAN siano più importanti di quanto si creda. I trunk consentono tutte le VLAN per impostazione predefinita-ognuna da 1 a 4094. Raramente è quello che desideri. Potare in modo aggressivo.

 

Mancate corrispondenze VLAN native

Quando il trunk dello Switch A utilizza la VLAN nativa 1 mentre lo Switch B utilizza la VLAN nativa 99, i frame senza tag arrivano in VLAN diverse su ciascun lato. I calcoli sugli alberi di copertura vengono confusi. I dispositivi perdono la connettività in modi che sembrano quasi casuali.

CDP lo rileva e registra un avviso, ma è necessario esaminare effettivamente i registri. E CDP deve essere abilitato, cosa vietata da alcune policy di sicurezza. Quindi la discrepanza rimane lì, causando stranezze intermittenti, finché qualcuno non pensa finalmente a confrontare le configurazioni.

 

Fondamenti di sicurezza portuale

 

La sicurezza della porta limita quali indirizzi MAC possono inviare traffico attraverso un'interfaccia. Lo scenario classico: impedire a qualcuno di scollegare il desktop assegnato e connettere invece un dispositivo personale.

La configurazione inizia con l'abilitazione della funzionalità tramite la sicurezza della porta switchport-sull'interfaccia. Quindi definisci quanti indirizzi MAC la porta deve tollerare-porta switchport-sicurezza massimo 2 consente due dispositivi. Successivamente viene specificata la risposta alla violazione; porta switchport-l'arresto per violazione di sicurezza indica allo switch di disattivare completamente la porta quando vengono visualizzati MAC non autorizzati. Infine, switchport port-security mac-address sticky ordina allo switch di apprendere dinamicamente gli indirizzi e di scriverli nella configurazione in esecuzione.

L'opzione adesiva è davvero utile. Lo switch apprende dinamicamente gli indirizzi MAC e li scrive nella configurazione in esecuzione. Dopo il salvataggio, tali indirizzi sopravvivono ai riavvii senza immissione manuale.

Le modalità di violazione determinano cosa succede quando viene visualizzato un MAC non autorizzato:

Lo spegnimento mette la porta nello stato err-disabilitato. Il traffico si ferma completamente. Qualcuno deve ripristinarlo manualmente oppure è necessario uno script EEM che gestisca il ripristino automatico.

Limita elimina il traffico dal MAC incriminato ma mantiene operativa la porta. Un messaggio syslog registra l'evento. Il dispositivo legittimo continua a funzionare.

La protezione funziona come la limitazione ma non genera alcun registro. Fallimento silenzioso. Non sono un fan-non saprai che è successo qualcosa finché qualcuno non si lamenta.

Un mal di testa ricorrente: telefoni IP con PC collegati in catena-dietro di essi. Sono due indirizzi MAC attraverso una porta. Se hai impostato il massimo su 1, la porta si spegne nel momento in cui il PC invia un frame. Tenere conto degli scenari VLAN voce quando si impostano questi limiti.

 

 

Discordanze duplex: il killer silenzioso delle prestazioni

 

Le configurazioni errate full-duplex e half-duplex non interrompono completamente la connettività. Lo degradano gradualmente. I pacchetti entrano in collisione quando non dovrebbero. I contatori delle collisioni tardive aumentano. Le ritrasmissioni si accumulano. Gli utenti segnalano che "la rete è lenta", ma il ping funziona correttamente e nulla di evidente sembra rotto.

Controllare i contatori dell'interfaccia utilizzando il comando show Interface seguito dall'identificatore di porta specifico. Cerca collisioni tardive, errori di input, errori CRC, runts. Una porta gigabit funzionante in esecuzione full-duplex mostra zeri in questi campi. Tutto il resto necessita di indagine.

Il tipico scenario di mancata corrispondenza: un lato codificato in full-duplex, l'altro lato lasciato in modalità automatica. Il lato automatico non è in grado di determinare correttamente la modalità duplex perché l'estremità remota non partecipa alla negoziazione. Il valore predefinito è half-duplex come fallback di sicurezza. Ora hai una parte che trasmette e riceve simultaneamente mentre l'altra parte pensa di dover attendere il silenzio prima di inviare. Le collisioni avvengono costantemente.

La soluzione è semplice: abbina le impostazioni su entrambe le estremità. Entrambi automatici o entrambi configurati esplicitamente sugli stessi valori.

 

Trasmetti il ​​controllo della tempesta

 

Una tempesta di trasmissione appiattirà assolutamente una rete. Un dispositivo configurato in modo errato o un loop di commutazione con lo spanning tree disabilitato inondano la struttura con traffico broadcast. Ogni interruttore lo replica. Ogni porto lo inoltra. L'utilizzo della CPU aumenta in tutta l'infrastruttura.

Il controllo Storm fornisce throttling. Nella modalità di configurazione dell'interfaccia, specifichi il livello di trasmissione di controllo Storm- seguito da una percentuale-diciamo 20,00-per limitare il traffico di trasmissione a quella soglia. Esistono comandi simili per il traffico multicast e unicast. La direttiva di arresto dell'azione Storm-Control indica allo switch di disabilitare la porta quando vengono superate le soglie; in alternativa, trap genera un avviso SNMP mantenendo attiva la porta.

Il livello rappresenta una percentuale della larghezza di banda della porta. Quando il traffico di trasmissione supera il 20% di un collegamento gigabit-ovvero 200 Mbps di trasmissione-la porta entra in azione. Lo spegnimento è aggressivo ma efficace.

Non configuro il controllo Storm su ogni singola porta. Aggiunge complessità operativa. Ma per i livelli di accesso in ambienti imprevedibili-pavimenti di produzione, residenze universitarie, sale conferenze-ha dimostrato la sua validità più di una volta.

 

PortFast e Guardia BPDU

 

Lo spanning tree impiega dai 30 ai 50 secondi per far passare una porta dal blocco all'inoltro. Questo ritardo protegge dai loop nelle connessioni switch-a-switch in cui le modifiche alla topologia sono importanti. Per le porte degli utenti finali-a cui qualcuno vuole semplicemente collegarsi e ottenere un indirizzo IP, è frustrante.

PortFast ignora gli stati di ascolto e di apprendimento. Lo abiliti su un'interfaccia con spanning-tree portfast e la porta inizia l'inoltro immediatamente dopo la creazione del collegamento.

Il rischio: se qualcuno collega uno switch non gestito a quella porta, hai potenzialmente creato un loop. PortFast non disabilita lo spanning tree-la porta elabora ancora le BPDU. Ma inoltra immediatamente il traffico invece di aspettare.

BPDU Guard aggiunge protezione. Abilitarlo tramite spanning-tree bpduguard abilita sull'interfaccia significa che qualsiasi BPDU ricevuta attiva immediatamente err-disable. Se arriva una BPDU su questa porta, c'è qualcosa che non va-non dovrebbe esserci un altro switch lì. Riceverai un avviso, ma la rete rimane intatta.

Le impostazioni predefinite globali applicano automaticamente queste funzionalità a tutte le porte di accesso. Nella modalità di configurazione globale, lo spanning-tree portfast default abilita PortFast universalmente, mentre lo spanning-tree portfast bpduguard default attiva BPDU Guard su quelle stesse porte. Le porte del trunk sono escluse da queste impostazioni predefinite. Si tratta di una linea di base ragionevole per i livelli di accesso aziendale.

 

 

EtherChannel: collegamenti aggregati

 

Quando una singola connessione gigabit non fornisce una larghezza di banda sufficiente tra gli switch, EtherChannel raggruppa più porte fisiche in un'unica interfaccia logica. Due, quattro o otto porte aggregate insieme, apparendo come un unico collegamento ai calcoli dello spanning tree.

LACP gestisce la negoziazione utilizzando lo standard 802.3ad. Seleziona le interfacce fisiche-utilizzando l'intervallo di interfacce GigabitEthernet0/1 - 4 per configurare più porte contemporaneamente-quindi assegnale a un gruppo di canali con la modalità canale-gruppo 1 attiva. Dopo essere usciti dalla configurazione dell'intervallo, configura l'interfaccia logica stessa inserendo la porta dell'interfaccia-canale1 e applicando le impostazioni desiderate, in genere trunk in modalità switchport per i collegamenti inter-switch.

L'estremità remota necessita di una configurazione corrispondente. Attivo-lavori attivi. Opere attive-passive. Passivo-passivo non-entrambe le parti aspettano per sempre che sia l'altra a iniziare.

La distribuzione del traffico tra i collegamenti dei membri utilizza un algoritmo hash, in genere basato sugli indirizzi MAC o IP di origine-destinazione. I flussi individuali attraversano ancora singoli collegamenti fisici; lo switch non suddivide le sessioni TCP su più percorsi. Un trasferimento di file di grandi dimensioni tra due server utilizza un collegamento membro indipendentemente da quanti ne hai raggruppati.

 

Configurazione VLAN vocale

 

I telefoni IP aggiungono complessità. Il telefono deve essere posizionato su una VLAN vocale per il trattamento QoS, mentre il PC connesso tramite la porta passthrough deve accedere alla VLAN dati. Entrambi i dispositivi condividono una porta dello switch fisico.

La configurazione prevede l'impostazione della porta come porta di accesso con accesso in modalità switchport, l'assegnazione della VLAN dati tramite switchport access vlan 10 e quindi la specifica della VLAN vocale separatamente utilizzando switchport voice vlan 50. Il telefono riceve l'assegnazione della VLAN tramite CDP o LLDP-MED e contrassegna il traffico di conseguenza. Il PC invia frame senza tag che arrivano nella VLAN dati. Tutto funziona attraverso un unico cavo.

Ciò significa due indirizzi MAC su una porta. Le impostazioni di sicurezza della porta devono soddisfare entrambe le esigenze, altrimenti perderai tempo a ripristinare le interfacce errate-disabilitate ogni volta che le strutture spostano una scrivania.

 

MDIX automatico-

 

Un tempo i cavi incrociati anziché quelli diritti-contavano. Collega l'interruttore per passare con un cavo diretto-su apparecchiature meno recenti e il collegamento non funzionava-era necessario un crossover.

Le moderne interfacce Gigabit Ethernet con auto-MDIX rilevano il cablaggio richiesto e lo compensano internamente. La funzionalità è controllata tramite mdix auto in modalità di configurazione dell'interfaccia ed è abilitata per impostazione predefinita sulla maggior parte dell'hardware Cisco attuale. Alcuni dispositivi legacy e alcune apparecchiature non-Cisco non dispongono di questa funzionalità. Se un collegamento si rifiuta di stabilirsi e hai escluso un danno al cavo, prova a passare a un crossover prima di presumere un guasto alla porta.

 

Comandi di verifica utili

 

Comandi che eseguo costantemente:

Il comando show interfacce status fornisce una rapida panoramica-connected rispetto a notconnect, assegnazione VLAN, velocità, duplex su tutte le porte in un'unica visualizzazione.

L'esecuzione di interfacce di visualizzazione seguite da un identificatore di porta specifico fornisce contatori dettagliati: pacchetti di input/output, errori, interruzioni della coda, ultimo tempo di cancellazione.

Il comando show mac address-table Interface seguito da port rivela quali indirizzi MAC sono stati appresi su quell'interfaccia.

Per lo stato dello spanning tree, mostra l'interfaccia spanning-tree visualizza il ruolo STP della porta e il costo del percorso.

Il comando show interfacce trunk elenca tutti i trunk attivi con le relative VLAN attive e consentite.

Lo stato di sicurezza della porta deriva dall'interfaccia mostra porta-sicurezza, che riporta il numero di violazioni e gli indirizzi attualmente appresi.

È possibile reindirizzare l'output tramite include per il filtraggio. L'esecuzione del comando status con una pipe per includere le porte connesse visualizza solo le porte con collegamenti attivi. Evita lo scorrimento delle pagine delle interfacce disabilitate.

 

Ripristino Err-Porte disabilitate

 

Una porta mostra err-disabilitato. Prima di rimbalzarlo, capisci perché. Il comando show interfacce status rivela lo stato corrente, mentre show errdisable recovery mostra quali meccanismi di ripristino sono configurati e i relativi timer.

I fattori scatenanti più comuni includono violazioni della sicurezza della porta, attivazione della protezione BPDU, eccessivo sbattimento dei collegamenti e errori UDLD che rilevano problemi di fibra unidirezionale.

Il ripristino automatico è configurabile in modalità di configurazione globale. Il comando cause all di recupero errori abilita il ripristino automatico per tutti i tipi di trigger, mentre l'intervallo di ripristino errori 300 imposta il timer dei tentativi su 300 secondi.

Senza il ripristino automatico configurato, è necessario l'intervento manuale. Immettere il contesto di configurazione dell'interfaccia, eseguire l'arresto per disabilitare amministrativamente la porta, quindi nessun arresto per ripristinarla.

La riattivazione cieca-senza accertamenti garantisce che lo rifarai a breve. Se la protezione BPDU si è attivata, qualcuno ha collegato un interruttore. Se è stata attivata la sicurezza della porta, è apparso un dispositivo non autorizzato. La causa sottostante deve essere affrontata.

 

Osservazioni conclusive

 

La configurazione delle porte GB non è concettualmente complessa, ma i dettagli si accumulano. Una mancata assegnazione della VLAN, un'impostazione errata del trunk, un limite di sicurezza della porta che non tiene conto del telefono IP-piccole sviste si traducono in interruzioni significative.

Documenta le tue configurazioni. Etichettare chiaramente le porte fisiche. Crea modelli per scenari comuni e applicali in modo coerente.

Testare le modifiche durante le finestre di manutenzione quando possibile. Questo è un consiglio ovvio. È anche un consiglio che ho ignorato alle 15:00 di un martedì casuale, con risultati del tutto prevedibili.