Switching, Routing, and Wireless Essentials - Darhaq/WikiOpgave GitHub Wiki
Cisco Catalyst 2960 switch:
Mode-knappen (7 i figuren) bruges til at skifte mellem portstatus, portduplex, porthastighed og, hvis understøttet, Power over Ethernet (PoE)-status for port-LED'erne (8 i figuren).
- SYST - System LED
- Viser, om systemet modtager strøm og fungerer korrekt. Hvis LED'en er slukket, betyder det, at systemet ikke er tændt. Hvis LED'en er grøn, fungerer systemet normalt. Hvis LED'en er gul, modtager systemet strøm, men fungerer ikke korrekt.
- RPS - Redundant Power System (RPS) LED
- Viser RPS-status. Hvis LED'en er slukket, er RPS'en slukket, eller den er ikke korrekt tilsluttet. Hvis LED'en er grøn, er RPS'en tilsluttet og klar til at levere backup-strøm. Hvis LED'en blinker grønt, er RPS'en tilsluttet, men ikke tilgængelig, fordi den leverer strøm til en anden enhed. Hvis LED'en lyser gult, er RPS'en i standby mode eller i en fejltilstand. Hvis LED'en blinker gult, er den interne strømforsyning i switchen gået ned, og RPS'en leverer strøm.
- STAT - Port Status LED
- Angiver, at port status mode er valgt, når LED'en er grøn. Dette er standardtilstanden (default mode). Når den er valgt, vil port-LED'erne vise farver med forskellige betydninger. Hvis LED'en er slukket, er der ikke noget link, eller porten er blevet lukket administrativt ned. Hvis LED'en er grøn, er der et link. Hvis LED'en blinker grønt, er der aktivitet, og porten sender eller modtager data. Hvis LED'en skiftevis lyser grønt og gult, er der en linkfejl. Hvis LED'en lyser gult, er porten blokeret for at sikre, at der ikke findes et loop i forwarding-domænet, og den sender ikke data videre (typisk forbliver porte i denne tilstand i de første 30 sekunder efter aktivering). Hvis LED'en blinker gult, er porten blokeret for at forhindre et muligt loop i forwarding-domænet.
- DUPLX - Port Duplex LED
- Indikerer, at portens duplextilstand er valgt, når LED'en er grøn. Når det er valgt, er port-LED'er, der er slukkede, i halv-duplex-tilstand. Hvis port-LED'en er grøn, er porten i fuld-duplex-tilstand.
- SPEED - Port Speed LED
- Angiver, at porthastighedstilstanden er valgt. Når den er valgt, vil port-LED'erne vise farver med forskellige betydninger. Hvis LED'en er slukket, fungerer porten ved 10 Mbps. Hvis LED'en er grøn, arbejder porten ved 100 Mbps. Hvis LED'en blinker grønt, kører porten med 1000 Mbps.
- PoE - Power over Ethernet (PoE) Mode LED
- Hvis PoE understøttes, vil der være en LED for PoE-tilstand. Hvis LED'en er slukket, betyder det, at PoE-tilstanden ikke er valgt, og at ingen af portene er blevet nægtet strøm eller er i en fejltilstand. Hvis LED'en blinker gult, er PoE-tilstanden ikke valgt, men mindst én af portene er blevet nægtet strøm eller har en PoE-fejl. Hvis LED'en er grøn, betyder det, at PoE-tilstanden er valgt, og port-LED'erne vil vise farver med forskellige betydninger. Hvis port-LED'en er slukket, er PoE slået fra. Hvis port-LED'en er grøn, er PoE tændt. Hvis port-LED'en skiftevis lyser grønt og gult, er PoE afvist, fordi strømforsyningen til den strømforsynede enhed vil overskride switchens strømkapacitet. Hvis LED'en blinker gult, er PoE slået fra på grund af en fejl. Hvis LED'en lyser gult, er PoE for porten blevet deaktiveret.
For at forberede en switch til fjernadministrationsadgang, skal switchen have et virtuelt interface (SVI) konfigureret med en IPv4-adresse og subnetmaske eller en IPv6-adresse og en præfikslængde for IPv6. SVI er en virtuel grænseflade, ikke en fysisk port på switchen. Husk, at for at administrere switchen fra et fjernnetværk (remote network) skal switchen konfigureres med en default gateway. Dette svarer meget til at konfigurere IP-adresseoplysningerne på værtsenheder.
Som standard er switchen konfigureret til at have sin management kontrolleret gennem VLAN 1. Alle porte er som standard tildelt VLAN 1. Af sikkerhedshensyn anses det for at være bedste praksis at bruge et andet VLAN end VLAN 1 til management-VLAN, f.eks. VLAN 99 i eksemplet.
Trin 1
Konfigurer administrationsgrænsefladen (Management Interface):
Fra VLAN-grænsefladekonfigurationstilstand anvendes en IPv4-adresse og subnetmaske på switchens management SVI. Specifikt vil SVI VLAN 99 blive tildelt IPv4-adressen 172.17.99.11/24 og IPv6-adressen 2001:db8:acad:99::1/64 som vist.
Bemærk: SVI'en for VLAN 99 vises ikke som "up/up", før VLAN 99 er oprettet, og der er en enhed forbundet til en switchport, der er forbundet med VLAN 99.
Bemærk: Det kan være nødvendigt at konfigurere switchen til IPv6. Før du f.eks. kan konfigurere IPv6-adressering på en Cisco Catalyst 2960, der kører IOS version 15.0, skal du indtaste den globale konfigurationskommando sdm prefer dual-ipv4-and-ipv6 default og derefter genindlæse switchen.
| Task | IOS Commands |
|---|---|
| Enter global configuration mode. | S1# configure terminal |
| Enter interface configuration mode for the SVI. | S1(config)# interface vlan 99 |
| Configure the management interface IPv4 address. | S1(config-if)# ip address 172.17.99.11 255.255.255.0 |
| Configure the management interface IPv6 address | S1(config-if)# ipv6 address 2001:db8:acad:99::11/64 |
| Enable the management interface. | S1(config-if)# no shutdown |
| Return to the privileged EXEC mode. | S1(config-if)# end |
| Save the running config to the startup config. | S1# copy running-config startup-config |
Trin 2
Konfigurer default gatewayen
Switchen skal konfigureres med en default gateway, hvis den skal fjernadministreres fra netværk, der ikke er direkte forbundet.
Bemærk: Da den modtager oplysninger om sin default gateway fra en RA-meddelelse (router advertisement), behøver switchen ikke en IPv6-default gateway.
| Task | IOS Commands |
|---|---|
| Enter global configuration mode. | S1# configure terminal |
| Configure the default gateway for the switch. | S1(config)# ip default-gateway 172.17.99.1 |
| Return to the privileged EXEC mode. | S1(config)# end |
| Save the running config to the startup config. | S1# copy running-config startup-config |
Trin 3:
Bekræft (verify) konfiguration
Kommandoerne show ip interface brief og show ipv6 interface brief er nyttige til at bestemme status for både fysiske og virtuelle interfaces. Det viste output bekræfter, at interface VLAN 99 er blevet konfigureret med en IPv4- og IPv6-adresse.
Bemærk: En IP-adresse, der anvendes til SVI, er kun til fjernadministrationsadgang til switchen; dette tillader ikke switchen at route Layer 3-pakker.
Switchporte kan konfigureres manuelt med specifikke duplex- og hastighedsindstillinger. Brug kommandoen duplex interface configuration mode til manuelt at angive duplex mode for en switchport. Brug kommandoen speed interface configuration mode til manuelt at angive hastigheden. For eksempel skal begge switche i topologien altid fungere i fuld duplex ved 100 Mbps.
Tabellen viser kommandoerne for S1. De samme kommandoer kan anvendes på S2.
| Task | IOS Commands |
|---|---|
| Enter global configuration mode. | S1# configure terminal |
| Enter interface configuration mode. | S1(config)# interface FastEthernet 0/1 |
| Configure the interface duplex. | S1(config-if)# duplex full |
| Configure the interface speed. | S1(config-if)# speed 100 |
| Return to the privileged EXEC mode. | S1(config-if)# end |
| Save the running config to the startup config. | S1# copy running-config startup-config |
Ved fejlfinding af problemer med switchporte er det vigtigt at kontrollere indstillingerne for duplex og hastighed.
Bemærk: Uoverensstemmende indstillinger for switchportenes duplex mode og hastighed kan forårsage forbindelsesproblemer. Autonegotiation-fejl skaber uoverensstemmende indstillinger.
Alle fiberoptiske porte, såsom 1000BASE-SX-porte, fungerer kun med én forudindstillet hastighed og er altid fuld duplex.
Tabellen opsummerer nogle af de mere nyttige switch-verifikationskommandoer.
| Task | IOS Commands |
|---|---|
| Display interface status and configuration. | S1# show interfaces [interface-id] |
| Display current startup configuration. | S1# show startup-config |
| Display current running configuration. | S1# show running-config |
| Display information about flash file system. | S1# show flash |
| Display system hardware and software status. | S1# show version |
| Display history of command entered. | S1# show history |
| Display IP information about an interface. | S1# show ip interface [interface-id]ORS1# show ipv6 interface [interface-id] |
| Display the MAC address table. | S1# show mac-address-tableORS1# show mac address-table |
Show running-config-kommandoen kan bruges til at kontrollere, at switchen er konfigureret korrekt. Fra det forkortede output på S1 er der nogle vigtige oplysninger, som vises i figuren:
Fast Ethernet 0/18 interface er konfigureret med management VLAN 99 VLAN 99 er konfigureret med en IPv4-adresse på 172.17.99.11 255.255.255.0 Default gatewayen er indstillet til 172.17.99.1
Show interfaces-kommandoen er en anden ofte brugt kommando, som viser status- og statistikinformation på switchens netværksinterfaces. Show interfaces-kommandoen bruges ofte, når man konfigurerer og overvåger netværksenheder.
Den første linje i outputtet for kommandoen show interfaces fastEthernet 0/18 viser, at FastEthernet 0/18-interfacet er up/up, hvilket betyder, at det er i drift. Længere nede viser outputtet, at duplex er fuld, og hastigheden er 100 Mbps.
Før du konfigurerer SSH, skal switchen være minimalt konfigureret med et unikt hostname og de korrekte indstillinger for netværksforbindelse.
Trin 1:
Bekræft SSH-understøttelse.
Brug kommandoen show ip ssh til at kontrollere, at switchen understøtter SSH. Hvis switchen ikke kører en IOS, der understøtter kryptografiske funktioner, genkendes denne kommando ikke.
Trin 2:
Konfigurer IP-domænet.
Konfigurer IP-domænenavnet for netværket ved hjælp af kommandoen ip domain-name domain-name global configuration mode. I figuren er værdien for domain-name cisco.com.
Trin 3
Generer RSA-nøglepar.
Ikke alle versioner af IOS er standard til SSH version 2, og SSH version 1 har kendte sikkerhedsbrister. For at konfigurere SSH version 2 skal du bruge kommandoen ip ssh version 2 global configuration mode. Generering af et RSA-nøglepar aktiverer automatisk SSH. Brug kommandoen crypto key generate rsa global configuration mode til at aktivere SSH-serveren på switchen og generere et RSA-nøglepar. Når der genereres RSA-nøgler, bliver administratoren bedt om at indtaste en modullængde. Eksempelkonfigurationen i figuren bruger en modulusstørrelse på 1.024 bits. En længere moduluslængde er mere sikker, men det tager længere tid at generere og bruge den.
Note: For at slette RSA-nøgleparret skal du bruge kommandoen crypto key zeroize rsa global configuration mode. Når RSA-nøgleparret er slettet, deaktiveres SSH-serveren automatisk.
Trin 4:
Konfigurer user authentication.
SSH-serveren kan autentificere brugere lokalt eller ved hjælp af en autentificeringsserver. For at bruge den lokale authentication metode skal du oprette et brugernavn og en adgangskode ved hjælp af kommandoen username username secret password global configuration mode. I eksemplet er brugeren admin tildelt adgangskoden ccna.
Trin 5
Konfigurer vty-linjerne.
Aktivér SSH-protokollen på vty-linjerne ved at bruge kommandoen transport input ssh line configuration mode. Catalyst 2960 har vty-linjer, der spænder fra 0 til 15. Denne konfiguration forhindrer ikke-SSH-forbindelser (f.eks. Telnet) og begrænser switchen til kun at acceptere SSH-forbindelser. Brug kommandoen line vty global configuration mode og derefter kommandoen login local line configuration mode for at kræve lokal authentication af SSH-forbindelser fra den lokale username database.
Trin 6
Aktivér SSH version 2.
Som standard understøtter SSH både version 1 og 2. Når begge versioner understøttes, vises dette i show ip ssh -output som understøttelse af version 2. Aktivér SSH-version ved hjælp af kommandoen ip ssh version 2 global configuration.
følgende konfigurationer skal altid udføres. Navngiv enheden for at skelne den fra andre routere, og konfigurer adgangskoder, som vist i eksemplet.
Konfigurer et banner til at give juridisk besked om uautoriseret adgang, som vist i eksemplet.
Gem ændringerne på en router, som vist i eksemplet.
Et kendetegn ved switche og routere er typen af interfaces, de hver især understøtter. For eksempel understøtter Layer 2-switche LAN'er, og de har derfor flere FastEthernet- eller Gigabit Ethernet-porte. Dual stack-topologien i figuren bruges til at demonstrere konfigurationen af routerens IPv4- og IPv6-grænseflader.
For at være tilgængelig skal et interface være:
- Konfigureret med mindst én IP-adresse - Brug grænsefladekonfigurationskommandoerne ip address ip-address subnet-mask og ipv6 address ipv6-address/prefix.
- Aktiveret - Som standard er LAN- og WAN-interfaces ikke aktiveret (shutdown). For at aktivere et interface skal det aktiveres ved hjælp af kommandoen no shutdown. (Det svarer til at tænde for grænsefladen.) Grænsefladen skal også være forbundet til en anden enhed (en hub, en switch eller en anden router), for at det fysiske lag kan være aktivt. Beskrivelse (description) - Interfacet kan også konfigureres med en kort beskrivelse på op til 240 tegn. Det er god praksis at konfigurere en beskrivelse på hvert interface. På produktionsnetværk indser man hurtigt fordelene ved grænsefladebeskrivelser, da de er nyttige til fejlfinding og til at identificere en tredjepartsforbindelse og kontaktoplysninger.
Følgende eksempel viser konfigurationen for grænsefladerne på R1.
En anden almindelig konfiguration af Cisco IOS-routere er aktivering af et loopback-interface.
Loopback-interfacet er et logisk interface, der er internt i routeren. Det er ikke tildelt en fysisk port og kan aldrig forbindes til nogen anden enhed. Det betragtes som et software-interface, der automatisk placeres i en "op"-tilstand, så længe routeren fungerer.
Loopback-interfacet er nyttigt til test og administration af en Cisco IOS-enhed, fordi det sikrer, at mindst ét interface altid vil være tilgængeligt. Det kan f.eks. bruges til testformål, såsom test af interne routingprocesser, ved at emulere netværk bag routeren.
Loopback-interfaces bruges også ofte i lab miljøer til at oprette ekstra interfaces. Du kan f.eks. oprette flere loopback-interfaces på en router for at simulere flere netværk til konfigurationsøvelser og testformål. I dette pensum bruger vi ofte et loopback-interface til at simulere et link til internettet.
Det er nemt at aktivere og tildele en loopback-adresse:
Flere loopback-interfaces kan aktiveres på en router. IPv4-adressen for hvert loopback-interface skal være unik og ikke bruges af noget andet interface, som vist i eksemplet på konfiguration af loopback-interface 0 på R1.
VLANs bruges af forskellige årsager i moderne netværk. Nogle VLAN-typer er defineret af trafikklasser. Andre typer VLAN er defineret af den specifikke funktion, de tjener.
Default VLAN
default-VLAN på en Cisco-switch er VLAN 1. Derfor er alle switchporte på VLAN 1, medmindre de udtrykkeligt er konfigureret til at være på et andet VLAN. Som standard er al Layer 2-kontroltrafik forbundet med VLAN 1.
Vigtige fakta at huske om VLAN 1 inkluderer følgende:
- Alle porte er som standard tildelt VLAN 1.
- Det oprindelige VLAN er som standard VLAN 1.
- Management VLAN er som standard VLAN 1.
- VLAN 1 kan ikke omdøbes eller slettes.
I show vlan brief-outputtet er alle porte f.eks. i øjeblikket tildelt standard-VLAN 1. Intet oprindeligt VLAN er eksplicit tildelt, og ingen andre VLAN'er er aktive; derfor er netværket designet med det oprindelige VLAN det samme som administrations-VLAN'et. Dette betragtes som en sikkerhedsrisiko.
