Protokol STP (Spanning Tree protocol)
Kdysi dávno existovala společnost Digital Equipment Corporation (DEC), kterou později zakoupila firma Compaq. Před tím však společnost DEC stačila vytvořit původní verzi protokolu STP neboli Spanning Tree Protocol. Organizace IEEE později vyvinula svou vlastní verzi protokolu STP označovanou jako 802. 1 0. Špatná zpráva je, že přepínače Cisco standardně používají verzi IEEE 802. 10 protokolu STP, která není kompatibilní s verZÍ společnosti DEC. Dobrá zpráva však spočívá v tom, že společnost Cisco přechází u svých novějších přepínačů na jiný oborový standard, který se nazývá 802. 1 w. V této sekci se zaměříme právě na tuto verzi protokolu STP. Začneme však definicí důležitých principů protokolu STP.
Hlavní úkol protokolu STP je předejít síťovým smyčkám v síti vrstvy 2 (s mosty nebo přepínači). Protokol podrobně sleduje síť a vyhledává všechny linky. Přitom vypnutím všech redundantních linek zajišťuje, aby se nevyskytly žádné smyčky. Protokol STP pomocí algoritmu kostry grafu (STA - spanning-tree algorithm) nejdříve vytvoří topologickou databázi a poté vyhledá a zlikviduje redundantní linky. Když je protokol STP aktivní, jsou rámce předávány pouze po nejlepších spojích, které tento protokol vybere. V následujících sekcích přejdeme k podrobnostem protokolu STP.
Poznámka STP je protokol vrstvy 2, který umožňuje udržovat přepínanou síť bez smyček.
Protokol STP je nezbytný v sítích toho typu jako na obrázku 8. 10.
Na obrázku 8.10 vidíte přepínanou síť s redundantní topologií (smyčkami přepínání). Pokud by se na vrstvě 2 neuplatnil nějaký mechanismus předcházení síťovým smyčkám, nastaly by výše zmíněné problémy: všesměrové bouře a více kopií rámců.
Upozornění o Uvědomte si, že síť na obrázku 8.10 by v praxi do jisté míry fungovala, i když mimořádně pomalu. Tím se jasně projevuje nebezpečí smyček přepínání. Ke všemu může být velice těžké tento problém diagnostikovat, jakmile se objeví!
Pojmy z protokolu STP
Než se dostaneme k podrobnostem fungování protokolu STP v síti, musíte porozumět některým základním koncepcím a termínům a jejich vzájemným vztahům v přepínané síti vrstvy 2:
Kořenový most (root bridge) - most s nejlepší hodnotou ID mostu. Základní princip protokolu STP spočívá v tom, že všechny přepínače v síti zvolí kořenový most, který bude sloužit jako ústřední bod sítě. Veškeré další rozhodování v síti - například o tom, který port bude zablokován a jaký nastaven do režimu předávání - se přijímají z pohledu tohoto kořenového mostu.
Datová jednotka přemosťovacího protokolu - všechny přepínače si vyměňují informace, které se používají při výběru kořenového přepínače a také při následné konfiguraci sítě. Každý přepínač porovnává parametry v datové jednotce přemosťovacího protokolu (Bridge Protocol Data Unit - BPDU), kterou odesílá jednomu sousedovi, s jednotkou přijatou od jiného souseda.
ID mostu - pomocí hodnot ID mostu (bridge ID) protokol STP sleduje všechny přepínače v síti. Hodnota závisí na kombinaci priority mostu (u všech přepínačů Cisto standardně 32.768) a základní MAC adresy. Most s nejnižší hodnotou ID mostu se stává kořenovým mostem sítě.
Jiné než kořenové mosty - jedná se o všechny mosty, které nejsou kořenové. Jiné než kořenové mosty si vyměňují datové jednotky přemosťovacího protokolu se všemi ostatními mosty a aktualizují topologickou databázi protokolu STP všech přepínačů. Tím zabraňují vzniku smyček a zajišťují jednu z úrovní obrany před výpadky linek.
Náklady na port - ceny portu určují optimální trasu v případě použití více linek mezi dvěma přepínači, kdy žádná z těchto linek nevede ke kořenovému portu. Náklady na linku závisí na její šířce pásma.
Kořenový port - kořenový port vždy označuje linky připojené ke kořenovému mostu nebo nejkratší trasu ke kořenovému mostu. Pokud je ke kořenovému mostu připojeno více linek, zjišťují se náklady portu kontrolou šířky pásma každé linky. Port s nejnižšími náklady se stává kořenovým portem. Má-li stejné náklady více linek, použije se most s nižším zveřejněným ID mostu. Protože více linek může vycházet ze stejného zařízení, použije se nejnižší číslo portu.
Určený port (designated port) - port, u kterého byly zjištěny optimální (nejnižší) náklady. Určený port je označen jako port předávání.
Jiný než určený port - má vyšší náklady než určený port. Tyto porty jsou nastaveny do režimu blokování - neslouží jako porty předávání.
Port předávání (forwarding port) - předává rámce.
Blokovaný port - nepředává rámce, aby se neobjevily síťové smyčky. Blokovaný port však vždy naslouchá doručeným rámcům.
Činnost protokolu STP
Jak jsme již uvedli, má protokol STP za úkol najít všechny linky v síti a vypnout všechny redundantní. Tím zabraňuje výskytu síťových smyček. Protokol STP toho dosahuje tak, že nejdříve zvolí kořenový most, který předává přes všechny porty a slouží jako referenční bod pro všechna ostatní zařízení v doméně STP. Jakmile se všechny přepínače shodnou na tom, které zařízení bude fungovat jako kořenový most, musí všechny mosty najít svůj jediný přidělený kořenový port. Každá linka mezi dvěma přepínači musí mít právě jeden určený port, což je port na dané lince, který poskytuje největší šířku pásma ke kořeni. Rozhodně byste si měli pamatovat, že na cestě mostu ke kořeni může ležet mnoho jiných mostů. To znamená, že použitá cesta není vždy nejkratší, ale nejrychlejší (s nej větší šířkou pásma). Každý port kořenového přepínače je samozřejmě určeným portem, protože samotný kořen má ke kořeni nejkratší možnou vzdálenost. Jakmile jsou zjištěny všechny kořenové nebo určené porty, jsou všechny ostatní porty převedeny do stavu blokování, aby se přerušily smyčky přepínání. Pokud ve firmě rozhoduje jediná osoba, věci se řeší mnohem rychleji. Podobně může být v každé síti pouze jediný kořenový most. Proces volby kořenového mostu si podrobněji popíšeme v následující sekci.
Výběr kořenového mostu
Hodnota ID mostu slouží k volbě kořenového mostu v doméně STP a určení kořenového portu pro každé ze zbývajících zařízení v doméně STP. Toto ID má délku 8 bajtů a obsahuje prioritu i MAC adresu zařízení. Výchozí priorita všech zařízení, která používají protokol STP ve verzi IEEE, se rovná 32 768. Chcete-li určit kořenový most, musíte zkombinovat prioritu každého mostu s jeho MAC adresou. Pokud mají dva přepínače nebo mosty stejnou hodnotu priority, rozhodne o nejnižším (nejlepším) ID jejich MAC adresa. Funguje to takto: Pokud dva přepínače - říkejme jim A a B - používají výchozí prioritu 32 768, použije se místo priority MAC adresa. Jestliže má přepínač A MAC adresu OOOO.OcOO. 1111 a adresa MAC přepínače B je 0000.OcOO.2222, stane se kořenovým mostem přepínač A. Stačí si pamatovat, že při volbě kořenového mostu je lepší ta hodnota, která je nižší.
Ve výchozím nastavení se datové jednotky přemosťovacího protokolu odesílají každé dvě sekundy ze všech aktivních portů mostu nebo přepínače. Opět platí, že kořenovým mostem je zvolen most, který má nejnižší (nejlepší) hodnotu ID mostu. Hodnotu ID mostu lze změnit jeho prioritou, aby automaticky převzal roli kořenového mostu. Tato možnost je důležitá ve velké přepínané síti a zajišťuje, že budou zvoleny optimální trasy. Efektivita je základním cílem. Obrázek 8. 11 představuje typickou přepínanou síť s redundantními přepínanými trasami. Nejdříve zjistíme, který přepínač funguje jako kořenový. Poté změnou priority dosáhneme toho, aby se kořenem stal druhý most.
Při pohledu na obrázek 8. 11 je zřejmé, že přepínač A je kořenovým mostem, protože má nejnižší hodnotu ID mostu. Přepínač B musí vypnout jeden ze svých portů připojených k přepínači A, aby se v přepínané síti neobjevila smyčka. Pamatujte, že i když přepínač B z blokovaného portu nevysílá, stále na tomto portu přijímá data - včetně datových jednotek přemosťovacího protokolu. Protokol STP určuje vypnutý port přepínače B tak, že nejdříve zkontroluje šířku pásma každé linky a poté vypne linku s nejmenší hodnotou šířky pásma. Obě linky mezi přepínači A a B mají kapacitu 1 00 Mb/s, takže protokol STP obvykle vypne port s vyšším číslem, avšak není to pravidlem. V tomto příkladu je 12 více než l l, takže bude do blokovaného režimu přepnut port 12.
Kořenový most lze nejlépe zvolit změnou výchozí priority. Tato možnost je důležitá, protože je vhodné, aby jako kořenový most sítě sloužil přepínač v jejím jádru (co nejblíže centru sítě). Tím se zajistí rychlá konvergence protokolu STP. Pro zajímavost nyní nastavme jako kořenový most sítě přepínač B. Následuje výstup přepínače B, který informuje o výchozí prioritě. Použijeme příkaz show spanning-tree:
Zde jsou na první pohled patrné dvě věci: Přepínač B používá protokol verze IEEE 80 1 .d a první část výstupu (Root ID) popisuje kořenový most přepínané sítě. Nejde však o přepínač B. Port přepínače B (označovaný jako kořenový port) ke kořenovému mostu má číslo l. Část Bridge ID obsahuje vlastní informace kostry grafu sítě pro přepínač B a síť VLAN 1, která je uvedena jako VLANOOO 1. Každá síť VLAN může mít odlišný kořenový most, ačkoli to není běžné. Je zobrazena i MAC adresa přepínače B, která se evidentně liší od MAC adresy kořenového mostu.
Přepínač B má prioritu 32768. což je výchozí hodnota každého přepínače. Uvedena je hodnota 32 769. která však obsahuje vlastní ID sítě VLAN. V tomto případě je tedy zobrazeno 32769 pro síť VLAN I. VLAN 2 by měla prioritu 32770 atd. Jak jsme již uvedli. změnou priority lze vynutit. aby se přepínač stal kořenovým mostem sítě protokolu STP. Ukažme si to nyní na příkladu přepínače B. Následujícím příkazem změňme prioritu mostu u přepínače Catalyst:
Prioritu je možné nastavit na libovolnou hodnotu od O do 61440. Zadáte-li nulu (O). přepínač bude vždy kořenovým mostem. Priorita mostu se nastavuje v násobcích 4096. Pokud chcete zajistit. aby přepínač sloužil jako kořenový most pro každou síť VLAN v rámci lokální sítě. musíte změnit prioritu pro každou ze sítí VLAN. Nejnižší možná priorita se rovná o. Nastavení priority všech přepínačů na hodnotu O by nebylo příliš rozumné. Prohlédněte si následující výstup: změna priority přepínače B pro síť VLAN 1 na hodnotu 4096 zajistila. že se tento přepínač stal kořenovým mostem:
MAC adresa kořenového mostu a ID mostu přepínače B jsou nyní stejné. To znamená. že přepínač B nyní funguje jako kořenový most. Znalost příkazu s h ow spanning - t ree je velmi důležitá. K příkazu se vrátíme na konci této kapitoly.
Poznámka Věřte nebo ne, kořenový most lze nastavit ještě jedním příkazem. Dostaneme se k němu v souvislosti s příklady konfigurace přepínače dále v této kapitole.
Stavy portů protokolu STP
Porty mostu nebo přepínače s protokolem STP mohou přecházet mezi pěti různými stavy:
Blocking (Blokování) - blokovaný port nepředává rámce. pouze naslouchá datovým jednotkám přemosťovacího protokolu. Stav blokování zabraňuje vzniku smy
Listening (Naslouchání) - port naslouchá datovým jednotkám přemosťovacího protokolu, aby před předáním datových rámců zajistil, že se v síti neobjeví žádné smyčky. Port ve stavu naslouchání je připraven k předání datových rámců bez zaplnění tabulky MAC adres.
Learning (Zjišťování) - port naslouchá datovým jednotkám přemosťovacího protokolu a zjišťuje všechny trasy v přepínané síti. Port ve stavu zjišťování plní tabulku MAC adres, ale nepředává datové rámce. Zpoždění předávání znamená, jak dlouho trvá přechod portu z režimu naslouchání do režimu zjišťování. Standardně je toto zpoždění nastaveno na 15 sekund a můžete je zkontrolovat ve výstupu příkazu show spanning - tree.
Forwarding (Předávání) - port odesílá a přijímá všechny datové rámce na přemostěném portu. Pokud je port na konci stavu zjišťování nadále určeným nebo kořenovým portem, přejde do stavu předávání.
Disabled (Zakázáno) - port v zakázaném (administrativně) stavu se neúčastní na předávání rámců ani na fungování protokolu STP. Port v tomto stavu prakticky nefunguje.
Poznámka Přepínače plní tabulku MAC adres pouze v režimech zjišťování a předávání.
Porty přepínačů se nejčastěji nacházejí ve stavu blokování nebo předávání. U portu předávání bylo zjištěno, že má nejnižší (optimální) náklady na trasu ke kořenovému mostu. Když se však změní síťová topologie (kvůli výpadku spojení nebo přidání nového přepínače), přejdou porty přepínače do režimu naslouchání a zjišťování. Jak jsme již uvedli, představuje blokování portů strategii, jak předcházet síťovým smyčkám. Jakmile přepínač určí nejlepší trasu ke kořenovému mostu, budou všechny ostatní (redundantní) porty v režimu blokování. Blokované porty mohou i nadále přijímat datové jednotky přemosťovacího protokolu - pouze neodesílají žádné rámce.
Jestliže přepínač zjistí, že blokovaný port by měl být z důvodu změny topologie nastaven jako určený nebo kořenový port, přejde do režimu zjišťování a kontroluje všechny přijaté datové jednotky přemosťovacího protokolu, aby zajistil, že po přechodu portu do režimu předávání nevznikne žádná smyčka.
Konvergence
Ke konvergenci dochází, když všechny porty mostů a přepínačů přejdou do režimu předávání nebo blokování. Dokud není konvergence dokončena, nepředávají se žádná data. Aby bylo možné data znovu předávat, je také nutné všechna zařízení aktualizovat. Ano, rozumíte tomu správně: Když probíhá konvergence protokolu STP, zastaví se přenos všech hostitelských dat! Chcete-li tedy, aby s vámi uživatelé sítě nepřestali mluvit (nebo abyste náhodou brzy nepřišli o své místo), musíte mít naprostou jistotu, že je vaše síť fyzicky navržena tak dobře, aby mohl protokol STP rychle konvergovat. Obrázek 8. 12 dokumentuje některá důležitá hlediska při návrhu a implementaci přepínané sítě, která umožňují efektivní konvergenci protokolu STP.
Konvergence je mimořádně důležitá, protože zajišťuje, že všechna zařízení mají stejnou databázi. Jak jsme však již uvedli, vyžaduje určitý čas. Přechod z režimu blokování do režimu předávání obvykle trvá 50 sekund a výchozí časovače protokolu STP zpravidla není vhodné měnit. Oe-li to však nutné, můžete tyto časovače upravit.) Pokud vytvoříte hierarchický návrh fyzických přepínačů (viz obrázek 8. 1 2), můžete nastavit přepínač jádra sítě jako kořen protokolu STP. Tímto způsobem zajistíte účinnou a rychlou konvergenci tohoto protokolu. Vzhledem k tomu, že u typické topologie protokolu STP dosahuje čas konvergence z režimu blokování do režimu předávání u portu přepínače 50 sekund, mohou při tom nastat problémy s časovým limitem operací u serverů či hostitelů - například při jejich restartu. Tuto komplikaci lze vyřešit zakázáním protokolu STP u jednotlivých portů pomocí funkce PortFast.
Funkce PortFast protokolu STP
Pokud je k přepínači připojen server nebo jiné zařízení a jste si naprosto jisti, že při vypnutí protokolu STP nezpůsobí smyčku směrování, můžete na příslušných portech použít funkci zvanou port fa st. Tato funkce zajistí, že port během konvergence protokolu STP nestráví obvyklých 50 sekund přechodem do režimu předávání. Používají se následuj ící příkazy, které jsou docela jednoduché:
Zatím jsme se nedostali k trunkovým portům. Tyto porty se v zásadě používají k vzájemnému propojení přepínačů a předávání informací o sítích VLAN mezi nimi. Chcete-li povolit funkci portfast na trunkovém portu, musíte to explicitně uvést. Tato konfigurace není typická, protože porty mezi přepínači by obvykle měly používat protokol STP. Podívejte se tedy na zprávu, která se zobrazí při zapnutí funkce portfast na rozhraní:
Funkce portfast je aktivována na portu fO/I, ale všimněte si, že poměrně dlouhá zpráva upozorňuje, abyste byli opatrní. Poslední užitečný příkaz rozhraní, který si nyní uvedeme, se nazývá r ange. Umožňuje u přepínačů usnadnit konfiguraci více portů současně. Uveďme si příklad:
Předchozí příkaz range umožňuje nastavit 12 portů přepínače do režimu portfast. Stačí přitom zadat jediný příkaz a stisknout klávesu Enter. Musíme doufat, že přitom nevzniknou žádné smyčky! Opět je potřeba upozornit, že příkaz portfa st vyžaduje mimořádnou opatrnost. Dále se můžeme zmínit, že s libovolným příkazem lze kombinovat příkaz interface range. Ve výše uvedené ukázce se používá s příkazem portfast.
Funkce UplinkFast protokolu STP
UplinkFast je funkce navržená ve společnosti Cisco, která zkracuje čas konvergence protokolu STP v případě selhání linky. Obdobně jako u příkazu portfa st musíte být při použití tohoto příkazu velmi opatrní! Funkci UplinkFast lze uplatnit v přepínaném prostředí, kde má přepínač alespoň jeden alternativní nebo záložní kořenový port (port ve stavu blokování). Společnost Cisco z tohoto důvodu doporučuje funkci UplinkFast povolovat pouze u přepínačů s blokovanými porty a zpravidla na přístupové vrstvě.
Díky funkci UplinkFast může přepínač naj ít alternativní trasy ke kořenovému mostu před výpadkem primárního spojení. To znamená, že při selhání primárního spojení se sekundární spojení aktivuje rychleji - port nemusí čekat na uplynutí normálního času konvergence protokolu STP, tj. 50 sekund. Používáte-li tedy verzi 802. 1d protokolu STP a máte u svých přepínačů přístupové vrstvy redundantní linky, rozhodně je vhodné funkci UplinkFast zapnout. Nepoužívejte ji však u přepínačů bez implicitní znalosti topologie alternativní nebo záložní trasy ke kořeni, která se obvykle používá u distribučních a jádrových přepínačů ve vícevrstevném návrhu Cisco.
Funkce BackboneFast protokolu STP
Oproti funkci UplinkFast, která umožňuje zjistit a rychle napravit výpadky linek u lokálního přepínače, se jiné firemní rozšíření protokolu STP vyvinuté ve společnosti Cisco a zvané BackboneFast používá k urychlení konvergence v případě, že dojde k selhání linky, jež není přímo připojena k přepínači. Pokud přepínač s funkcí BackboneFast přijme z určeného mostu nekvalitní datovou jednotku přemosťovacího protokolu, odvodí z toho, že došlo k výpadku linky na trase ke kořeni. Na vysvětlenou: nekvalitní je taková datová jednotka přemosťovacího protokolu, která uvádí stejný přepínač pro kořenový i určený most.
Opět v porovnání s funkcí UplinkFast, která se konfiguruje pouze u přepínačů přístupové vrstvy nebo přepínačů s redundantními linkami a alespoň jednou linkou v režimu blokování, je vhodné funkci BackboneFast povolit u všech přepínačů Catalyst, protože umožňuje detekci nepřímých výpadků linky. Aktivace funkce BackboneFast je výhodná i tím, že urychluje začátek rekonfigurace protokolu STP - může ušetřit 20 sekund z výchozího 50sekundového intervalu konvergence tohoto protokolu.
Protokol RSTP (Rapid Spanning Tree Protocol) 802.1w
Líbilo by se vám, kdyby se ve vaší přepínané síti používala správná konfigurace protokolu STP (bez ohledu na značku přepínačů) a všechny právě uvedené funkce by byly integrovány a aktivovány v každém přepínači? Rozhodně ano! V tomto případě se seznamte s protokolem RSTP (Rapid Spanning Tree Protocol). Společnost Cisco vytvořila funkce PortFast, UplinkFast a BackboneFast proto, aby "napravila" mezery a nevýhody související se standardem IEEE 802. 1 d. Nevýhoda těchto vylepšení spočívá pouze v tom, že jsou specifické pro výrobky Cisco a vyžadují dodatečnou konfiguraci. Nový standard 802. 1 w (RSTP) však všechny tyto "problémy" komplexně řeší - stačí zapnout protokol RSTP a vše je hotovo. Aby protokol 802. 1 w fungoval správně, je potřeba zajistit, že jej používají všechny přepínače v síti.
Poznámka Možná vás to překvapí, ale protokol RSTP dokáže v praxi spolupracovat se staršími protokoly STP. Uvědomte si pouze, že při interakci se staršími mosty přijdete o mimořádně rychlou konvergenci protokolu 802.1 w.
Konfiguraci protokolu RSTP si ukážeme dále v této kapitole. V praxi je docela snadná.
EtherChannel
Místo toho, abyste používali redundantní linky a pomocí protokolu STP je nastavovali do režimu BLK (blokování), můžete linky zkompletovat a vytvořit logický agregát, aby se více linek zobrazovalo jako linka jediná. Tímto způsobem získáte stejnou redundanci jako v případě protokolu STP. Proč tedy redundantní linky nezkompletovat? Jako obvykle existuje verze funkce EtherChannel od společnosti Cisco a verze vyvinutá organizací IEEE - můžete si vybrat. Verze společnosti Cisco se označuje jako PAgP (Port Aggregation Protocol) a standard IEEE 802.3ad se nazývá LACP (Link Aggregation Control Protocol). Obě varianty fungují stejně dobře, ale liší se ve své konfiguraci. Na konci této kapitoly si cvičně ukážeme zkompletování několika linek. Žádné obavy - hned v následující sekci si rozebereme všechny konfigurace rozšíření protokolu STP.
Konfigurace přepínačů Catalyst
Přepínače Cisco Catalyst jsou k dispozici v mnoha verzích: některé fungují s rychlostí lO Mb/s a některé u přepínaných portů dosahují až 10 Gb/s kombinací kroucené dvoulinky a optických vláken. Tyto novější přepínače (konkrétně 2960s a 3560s) mají dokonalejší software, takže mohou urychlit přenos dat včetně služeb hlasu a videa. Je načase si ukázat, jak spustit a konfigurovat přepínač Cisco Catalyst pomocí rozhraní příkazového řádku (CLI - command-line interface). Jakmile se v této kapitole seznámíte se základními příkazy, předvedeme si v následující kapitole konfiguraci sítí VLAN (virtual LAN) včetně Inter-Switch Link, směrování 802. 1q a protokolu VTP (Virtual Trunk Protocol) společnosti Cisco. V této sekci se budeme zabývat následujícími základními úkoly:
• Funkce pro správu • Konfigurace IP adresy a masky podsítě • Nastavení výchozí brány IP • Nastavení zabezpečení portů • Nastavení funkce PortFast • Povolení příkazů BPDUGuard a BPDUFilter • Povolení funkce UplinkFast • Povolení funkce BackboneFast • Povolení protokolu RSTP (802.1w) • Povolení protokolu EtherChannel • Konfigurace kořenového přepínače STP • Konfigurace přepínače nástrojem CNA
Poznámka Kompletní informace o řadě přepínačů Catalyst od společnosti Cisco n
Konfigurace přepínače Catalyst
Stejně jako u směrovačů, které jsme konfigurovali v kapitolách 6 a 7, budeme v této a následující kapitole 9, "Virtuální sítě LAN (VLAN)", vycházet při konfiguraci z diagramu a nastavení přepínače. Obrázek 8. 13 představuje přepínanou síť, se kterou budeme pracovat.
Budeme používat nové přepínače 3560, 2960 a 3550. Pamatujte, že na konfiguraci hostitelů, telefonů a směrovače v síti na obrázku bude více záležet později v kapitole 9. Než se však dostaneme k vlastní konfiguraci jednoho z přepínačů Catalyst, musíme si vysvětlit proces spouštění těchto přepínačů, stejně jako jsme v kapitole 4 rozebrali obdobný proces u směrovačů. Obrázek 8.14 podrobně znázorňuje typický přepínač Cisco Catalyst. Nyní si popíšeme různá rozhraní a funkce tohoto produktu.
Nejdříve je nutné poznamenat, že port konzoly přepínačů Catalyst se obvykle nachází na jejich zadní straně. U menších přepínačů, jako je typ 3560 znázorněný na obrázku, je však konzola přímo vepředu, což usnadňuje její používání. (Model 2960 s osmi porty vypadá přesně stejně.) Pokud rutina POST skončí úspěšně, začne systémová dioda LED svítit zeleně. Jestliže rutina POST selže, dioda se rozsvítí oranžově. Oranžové světlo je velmi špatné znamení - obvykle to znamená kritickou chybu. Je tedy lepší mít po ruce náhradní přepínač. Oceníte to zejména v případě, že shoří produkční zařízení. Dolní tlačítko umožňuje zobrazit, které konektory poskytují napájení po Ethernetu (Power over Ethernet - PoE). Tuto informaci získáte stisknutím tlačítka Mode. PoE je velmi výhodná funkce těchto přepínačů. Umožúuje napájet přístupový bod a telefon pouhým připojením k přepínači pomocí kabelu Ethernet! Jakmile se přepínač spustí, můžete přejít na obrazovku Express Setup dostupnou pomocí protokolu HTTP. Obrázek 8. 15 znázofl'luje obrazovku, která je k dispozici, když připojíte nový přepínač a do pole adresy svého prohlížeče zadáte adresu 1 0.0.0. 1. Hostitel se pochopitelně musí nacházet ve stejné podsíti.
Na obrazovce jsou dostupné některé základní funkce. Konfigurace pomocí rozhraní příkazového řádku, kterou si ukážeme dále, může být snadnější. Přesto je tato možnost k dispozici. Lze konfigurovat IP adresu, masku a výchozí bránu přepínače spolu s hesly. Je také možné konfigurovat síť VLAN pro správu, ale do toho se zatím pouštět nebudeme a příslušný postup si ukážeme až v další kapitole. Volitelně můžete konfigurovat hostitelský název, systémový kontakt a umístění a nastavit přístup Telnet. Obrazovka Express Setup protokolu HTTP nakonec poskytuje jednoduchou nápovědu k nastavení protokolu SNMP u přepínače, aby jej mohl vyhledat systém NMS (Network Management System).
Chcete-li nyní přepínače vzájemně spojit, jak je znázorněno na obrázku 8. 1 3, potřebujete k tomu překřížený kabel. Přepínače 2960 a 3560 typ připojení automaticky detekují, takže lze použít přímý kabel. Přepínače 2950 či 3550 však automatickou detekci typu kabelu neposkytují. Různé přepínače mají odlišné požadavky a možnosti. Mějte to na paměti vždy, když budete spojovat více přepínačů dohromady.
Při prvním propojení portů přepínačů se indikátory linky rozsvítí oranžově a poté zeleně, což znamená normální provoz. Z toho je patrná konvergence protokolu STP a jak již víte, tento proces bez povolených rozšíření trvá asi 50 sekund. Jestliže se však připojíte k portu přepínače a jeho dioda LED střídavě svítí zeleně a oranžově, znamená to, že u portu dochází k chybám. V tomto případě zkontrolujte kartu síťového rozhraní hostitele nebo kabeláž.
S1
Začněme konfiguraci připojením ke každému přepínači a nastavením funkcí pro správu. Přiřadíme také každému přepínači IP adresu, ale tato akce v praxi není pro síťovou funkci nezbytná. Jediný důvod spočívá v tom, že lze poté přepínač spravovat. Použijeme jednoduché schéma IP adres typu 1 92. 1 68. 1 0.16/28. Tuto masku byste již měli dobře znát! Prohlédněte si následující výstup.
Jako první je potřeba si všimnout, že na rozhraních přepínače není nastavena žádná IP adresa. Vzhledem k tomu, že všechny porty přepínače jsou standardně povoleny, není zde příliš vlastností ke konfigurování. IP adresa se konfiguruje v rámci logického rozhraní, které se označuje jako doména nebo síť VLAN pro správu. Při správě přepínané sítě se obvykle používá výchozí síť VLAN 1 jako v tomto případě. Zbytek konfigurace v zásadě odpovídá procesu konfigurace směrovače. Nezapomeňte, že rozhraní přepínače nemají žádné IP adresy, žádné směrovací protokoly atd. V této fázi zajišťujeme přepínání vrstvy 2, nikoli směrování! Všimněte si také, že přepínače Cisco nemají žádný port aux.
S2
Uveďme si konfiguraci zařízení S2:
Položme si dvě otázky: Jak to, že lze příkazem ping kontaktovat přepínač Core, když není zatím nakonfigurován, a proč poskytly odpověď pouze čtyři příkazy ping z pěti? (První tečka [.j znamená vypršení časového limitu. Vykřičník [!j označuje úspěšný výsledek.) V obou případech se jedná o dobré otázky. Důvod: V prvé řadě není nutné přepínač konfigurovat, aby fungoval. Všechny porty jsou standardně povoleny, takže stačí přepínač zapnout a měl by zajistit komunikaci mezi hostiteli. Za druhé: první příkaz ping nebyl úspěšný, protože určitou dobu trvá, než protokol ARP přeloží IP adresu na hardwarovou MAC adresu.
Core
Následuje konfigurace přepínače Core:
není potřebný, protože v ní chybí směrovač. Jedná se o příkaz ip defaul t - gateway. Chcete-Ii své přepínače spravovat zvnějšku sítě LAN, musíte u nich nastavit výchozí bránu stejným způsobem jako u hostitelů. Provádí se to z globální konfigurace. Následuje příklad nastavení IP adres směrovače s využitím poslední IP adresy v rozsahu podsítě (směrovač použijeme v další kapitole o sítích VLAN):
Když mají nyní všechny tři přepínače základní konfiguraci, zkusme si s nimi trochu pohrát.
Zabezpečení portů
Jak jsme již uvedli v předchozí části kapitoly, obvykle není vhodné, aby se k přepínačům mohl kdokoli připojit a manipulovat s nimi. Požadujete přece zabezpečení bezdrátové sítě, takže je logické, že budete stejně tak chtít zabezpečit i přepínače. Pomocí zabezpečení portů můžete omezit počet MAC adres, které lze dynamicky přidělit portu, nastavit statickou MAC adresu a dokonce stanovit tresty pro uživatele, kteří zásady zabezpečení poruší. Osobně například trvám na tom, aby se port při porušení zásady zabezpečení vypnul a pachatelé mi poté museli přinést vysvětlení svého nadřízeného, proč zásady zabezpečení přestoupili. Teprve potom jejich port znovu povolím. Obvykle si pak velmi dobře zapamatují, jak se mají chovat! Zabezpečený port přepínače může být přidružen k 1 až 8 1 92 MAC adresám. Přepínače řady 50 sice podporují pouze 192 adres, ale tento počet zpravidla postačuje. Můžete se rozhodnout, že přepínač bude tyto hodnoty zjišťovat dynamicky, nebo můžete nastavit statickou adresu pro každý port pomocí příkazu switchport port - security mac - add ress MACadresa. Nastavme tedy nyní zabezpečení přepínače Sl. K portům faO/3 a faO/4 je v ukázkové síti připojeno pouze jedno zařízení. Pomocí zabezpečení portů lze bezpečně zajistit, aby po připojení hostitele k portu faO/2 a telefonu k portu faO/3 nebylo možné připojit žádné jiné zařízení. Postup vypadá takto:
Předchozí příkaz nastaví zabezpečení portů faO/3 a faO/4, aby bylo možné přidružit nejvýše jednu MAC adresu. Odesílat rámce prostřednictvím přepínače přitom bude možné pouze z první MAC adresy přidružené k portu. Jestliže by se druhé zařízení s odlišnou MAC adresou pokusilo odeslat rámec do přepínače, port by se vypnul kvůli příkazu v i 01 a t i on. Díky příkazu sticky není nutné zadávat všechny MAC adresy každého zařízení ručně.
Místo vypnutí portu je možné použít dva další režimy. Režim "protect" znamená, že jiný hostitel se může připojit, ale jeho rámce budou prostě zahozeny. Také režim "restrict" je velice efektní - pomocí protokolu SNMP odešle oznámení, že na portu došlo k narušení zásad. Poté můžete narušiteli zavolat a varovat jej, že o všem víte a že je v pěkném průšvihu! Některá spojení mezi přepínači v testovací síti jsou redundantní, takže je lepší u těchto linek aktivovat protokol STP (prozatím). V případě přepínačů Sl a S2 jsou však také k portům faO/3 a faO/4 připojeni hostitelé (neplatí to pro přepínač Core). U těchto portů tedy bude lepší protokol STP vypnout.
Poznámka Pamatujte si, že hostitelé se mohou přímo fyzicky připojit k telefonům z jejich zadní strany, protože telefony jsou obvykle vybaveny konektorem Ethernet. Pro obě zařízení tedy u přepínače postačuje jen jediný port. Podrobněji se tím budeme zabývat v sekci o telefonování v kapitole 9.
PortFast
Pokud u přepínačů zadáme příkaz portfa s t, předejdeme možnému problému, kdy hostitelé nemusí dostat adresu DHCP, když konvergence protokolu STP trvá příliš dlouho a časový limit požadavku DHCP mezitím vyprší. Použijeme tedy příkaz PortFast na portech faO/3 a faO/4 u přepínačů Sl i S2:
Když jsme nyní nakonfigurovali přepínač Sl, vynecháme zatím další výstup, ale přejdeme k přepínači S2, kde rovněž povolíme funkci PortFast na rozhraní faO/3-4. Opět připomeňme, že při práci s funkcí PortFast je nutné dbát opatrnosti - v žádném případě by neměla vzniknout síťová smyčka! Proč? Pokud k tomu totiž dojde, může síť i nadále fungovat (do určité míry), data se budou přenášet mimořádně pomalu a co je nejhorší: odhalení zdroje problémů může trvat velmi dlouho, takže správci tuto situaci nemají vůbec rádi. Postupujte tedy s rozvahou. Bylo by dobré vědět, že lze při práci s funkcí PortFast použít určité bezpečnostní příkazy, které by vyřešily situaci, kdy někdo při konfiguraci portu s povolenou funkcí PortFast neúmyslně vytvoří smyčku. Takové příkazy existují a jejich popis naleznete v následujících odstavcích.
BPDUGuard
Již jsme se tím zabývali: Pokud zapnete funkci PortFast u portu přepínače, lze rozhodně doporučit aktivaci příkazu BPDUGuard. Jestliže port přepínače s povolenou funkcí PortFast přijme datovou jednotku přemosťovacího protokolu, převede daný port do stavu zakázaných chyb. Správce tak k portu přepínače, který má nakonfigurovánu funkci PortFast, nemůže náhodně připojit jiný port přepínače nebo rozbočovače. Tato vlastnost slouží jako prevence (ochrana) před takovou situací, kdy by síť přestala fungovat, nebo by její činnost byla minimálně značně ochromena. Tento příkaz se konfiguruje pouze u přepínačů přístupové vrstvy - přepínačů, ke kterým jsou přímo připojeni uživatelé - takže jej nebudeme konfigurovat u přepínače Core.
BPDUFilter
Další užitečný příkaz související s funkcí PortFast se nazývá BPDUFilter. Port přepínače s povolenou funkcí PortFast ve výchozím nastavení i nadále přijímá datové jednotky přemosťovacího protokolu. Pomocí příkazu BPDUFilter lze proto kompletně zastavit příjem či odesílání těchto datových jednotek na daném portu. Filtrování příkazem BPDUFilter při přijetí datové jednotky přemosťovacího protokolu okamžitě odstaví port funkce PortFast a vynutí, aby se port znovu zapojil do topologie protokolu STP. Oproti příkazu BPDUGuard, který převede port do stavu blokování chyb, ponechá příkaz BPDUFilter port aktivní, ale bez spuštěné funkce PortFast. Jednoduše neexistuje žádný důvod, proč by rozhraní nakonfigurované s funkcí PortFast mělo přijímat datové jednotky přemosťovacího protokolu. Po pravdě řečeno je zvláštní, že příkazy BPDUGuard nebo BPDUFilter nejsou při povolení funkce PortFast zapnuty standardně. Nastavme tedy nyní rozhraní přepínačů Sl a S2, kde je již nakonfigurována funkce PortFast, také s příkazy BPDUGuard a BPDUFilter - nic na tom není:
Uvědomte si, že obvykle se používá buď jeden, nebo druhý příkaz, protože příkazy bpdug ua rd i bpdufi 1 ter mají stejný efekt. Konfigurace obou z nich je proto poněkud nadbytečná. Nastavíme také několik dalších rozšíření protokolu STP B02. 1 d, která lze při jeho konfiguraci použít.
UplinkFast
Uveďme si postup konfigurace funkce UplinkFast u přepínačů přístupové vrstvy (Sl a S2):
Příkaz uplink fast je globální příkaz a je povolen na každém portu.
BackboneFast
Funkci BackboneFast lze u přepínače konfigurovat takto:
Všimněte si, že oproti funkci UplinkFast jsme funkci BackboneFast nastavili u všech přepínačů v síti, nikoli pouze u přepínačů přístupové vrstvy. Pamatujte, že funkce BackboneFast slouží ke zjišťování výpadků linky u vzdáleného přepínače, oproti funkci UplinkFast, která umožňuje zjistit a rychle napravit výpadky linek u lokálního přepínače.
RSTP (802.1 w)
Konfigurace protokolu RSTP je v praxi stejně snadná jako nastavení libovolného jiného rozšíření 802. 1 d. S ohledem na to, nakolik je verze 802. 1 d dokonalejší, byste mohli očekávat složitější konfiguraci, ale tato úměra naštěstí neplatí. Zapněme tedy tuto možnost u přepínače Core a sledujme, co se stane:
Zajímavé ... zdá se, že se prakticky nic nestalo. U obou zbývajících přepínačů je zřejmé, že všechny porty konvergovaly. Po spuštění vše vypadalo stejně. Protokoly 802. 1d a 802. 1w zjevně bez problémů spolupracují. Pokud bychom se pak podívali na technické podrobnosti, zjistili bychom, že přepínač protokolu 802. 1 w zaměnil datové jednotky přemosťovacího protokolu verze 802. 1 w na jednotky verze 802. 1d u portů připojených k jiným přepínačům s protokolem 802. 1d (což platí pro všechny).
Přepínače Sl a S2 předpokládají, že přepínač Core používá verzi protokolu 802. 1 d, protože tento přepínač jim kvůli kompatibilitě opět posílá datové jednotky verze 802. 1 d. Ačkoli přepínače Sl a S2 přijímají datové jednotky přemosťovacího protokolu verze 802. 1 w, nedokáží je zpracovat a jednoduše je zahazují. Přepínač Core však přijímá datové jednotky verze 802. 1d z přepínačů Sl a S2 a pracuje s nimi, protože již ví, na kterých portech má používat verzi protokolu 802. 1 d. Jinými slovy: zapnete-li verzi 802. 1w pouze u jediného přepínače, nijak tím síti nepomůžete!
Malá nepříjemnost spočívá v tom, že jakmile přepínač Core zjistí, že má portům připojeným k přepínačům Sl a S2 posílat datové jednotky přemosťovacího protokolu verze 802.1d, automaticky toto nastavení nezmění ani poté, kdy je později u přepínačů Sl a S2 rovněž nakonfigurována verze 802. 1 w. Aby přepínač Core přestal odesílat datové jednotky verze 802. 1 d, je potřeba jej restartovat.
EtherChannel
Funkci EtherChannel lze nejsnáze nakonfigurovat pomocí nástroje Cisco Network Assistant, což si ukážeme v samém závěru kapitoly. Prozatím zůstaneme u rozhraní příkazového řádku, protože příslušné příkazy potřebujete znát také. Pamatujte, že existují dvě verze funkce EtherChannel - od společnosti Cisco a organizace IEEE. Budeme používat verzi společnosti Cisco a zkompletujeme linky mezi přepínači S 1 a Core. Použijeme při tom globální příkaz interface port - channel a příkazy rozhraní channel group a channel - protocol přepínačů Sl a Core. Postup vypadá takto:
Doplněný příkaz swi tchport nonegot i ate zabrání přepínačům, aby automaticky detekovaly typy linky a automaticky nastavily trunking. Místo toho jsou trunkové linky nakonfigurovány staticky. Dvě linky mezi přepínači S 1 a Core jsou nyní zkompletovány pomocí protokolu PAgP, což je verze funkce EtherChannel vyvinutá společností Cisco. To ale není všechno: ještě musíme konfiguraci přepínačů zkontrolovat a vyzkoušet kořenový most. Teprve poté se můžeme pustit do další kapitoly o sítích VLAN.
Kontrola konfigurace přepínače Catalyst
u každého směrovače nebo přepínače je vhodné nejdříve projít konfiguraci pomocí příkazu show running-config. Proč? Tímto způsobem lze totiž získat dokonalý přehled o vlastnostech každého zařízenÍ. Postup je však časově náročný a výpis všech konfiguračních příkazů by zabral mnoho tištěných stránek. Kromě toho lze spustit jiné příkazy, které poskytují opravdu užitečné informace.
Chcete-li například zkontrolovat IP adresu nastavenou u přepínače, můžete zadat příkaz show interface. Příkaz poskytne tento výstup:
Poznámka Nezapomínejte, že přepínače nevyžadují konfiguraci IP adres. IP adresa, maska a výchozí brána se nastavuje výhradně kvůli správě.
show mac address-table
Určitě si pamatujete, že jsme si tento příkaz již ukázali v předchozí části kapitoly. Příkaz zobrazí tabulku předávání a filtrování, která se také označuje jako tabulka CAM (content addressable memory). Přepínač Sl poskytuje následující výstup:
Přepínače používají takzvané základní MAC adresy přiřazené k procesorům a u přepínače řady 2960s je nastavena hodnota 20. Z předchozího výstupu je zřejmé, že je portu 1 funkce EtherChannel dynamicky přiděleno sedm MAC adres. Portům FaO/3, FaO/8 a FaO/4 je přiřazena pouze jedna MAC adresa a všechny porty jsou při druženy k síti VLAN 1.
Podívejme se, co lze zjistit v tabulce CAM přepínače S2. Pamatujte, že u přepínače S2 není nakonfigurována funkce EtherChannel jako u přepínače Sl, takže protokol STP vypne jednu z redundantních linek k přepínači Core:
Z předchozího výstupu je patrné, že jsou k rozhraní FaO/l přiřazeny čtyři MAC adresy. Samozřejmě je také vidět, že je na portech 3 a 4 k dispozici jedno připojení ke každému hostiteli. Kde je však port 2? Vzhledem k tomu, že port 2 je redundantní spojení, protokol STP umístil rozhraní FaO/2 do režimu blokování. K této záležitosti se hned vrátíme podrobněji.
Přiřazení statických MAC adres
V tabulce MAC adres můžete nastavit statickou MAC adresu, ale podobně jako u statického zabezpečení portů pomocí MAC adres se jedná o spoustu práce. Pokud však chcete, můžete postupovat takto:
show spanning-tree
Nyní již víte, jak důležitý je příkaz s h ow spanning-tree. Pomocí tohoto příkazu lze zjistit kořenový most a nastavené priority pro jednotlivé sítě VLAN. Měli byste vědět, že přepínače Cisco používají funkci zvanou PVST (Per-VLAN Spanning Tree), která v zásadě znamená, že každá síť VLAN pracuje s vlastní instancí protokolu STP. Pokud bychom zadali příkaz s h ow spann i ng-tree, dostali bychom informace o každé síti VLAN počínaje sítí VLAN 1. Řekněme tedy, že máme více sítí VLAN a chceme zjistit, co se děje se sítí VLAN 2. V tomto případě použijeme příkaz show spann i ng- tree v l an 2. Následuje výstup příkazu show spanni ng - t ree z přepínače Sl. Vzhledem k tomu, že používáme pouze síť VLAN I, není nutné v příkazu doplňovat číslo sítě VLAN:
Protože je nakonfigurována pouze síť VLAN I, neposkytuje tento příkaz delší výstup. Kdyby však sítí bylo více, zobrazila by se další stránka pro každou síť VLAN nastavenou u přepínače. Výchozí priorita se rovná 32768, ale existuje hodnota zvaná rozšíření ID systému (sys-idext), která slouží jako identifikátor sítě VLAN. Priorita ID mostu se zvyšuje o číslo dané sítě VLAN. Vzhledem k tomu, že existuje pouze síť VLAN I, dostaneme po přičtení jednotky hodnotu 32769. Mějte však na paměti, že ve výchozím nastavení funkce BackboneFast zvyšuje výchozí prioritu na 49 1 52, aby se daný most nemohl stát kořenovým mostem.
Na začátku výstupu je patrné, které zařízení funguje jako kořenový most:
Kořenovým portem je port 1 funkce EtherChannel. Jedná se tedy o zvolenou trasu ke kořenovému mostu s identifikátorem OOOd.29bd.4b80. To nemůže být nic jiného než přepínač Core nebo S2. Konkrétní zařízení ihned zjistíme. Poslední výstup z příkazu zobrazuje porty s funkčním protokolem STP, které jsou připojeny k jinému zařízení. Protože se používá funkce EtherChannel, nejsou žádné porty blokovány. Chcete-li určit, zda příslušný most funguje jako kořen, můžete například zkontrolovat, zda některé porty nemají uveden stav Altn BLK (což znamená blokované alternativní porty). Kořenový most by nikdy na žádném rozhraní neměl blokovaný port. Všechny porty přepínače Sl však vzhledem ke konfiguraci funkce EtherChannel vykazují stav předávání (FWD).
Určení kořenového mostu
Chceme-li zjistit kořenový most, pochopitelně pOUZl)eme příkaz s how spann i ng· t ree. Podívejme se na další dva přepínače a zkontrolujme, který funguje jako výchozí kořenový most. Všimněte si MAC adresy ID mostu a také priority přepínače Sl. výstup přepínače S2 vypadá takto:
Port FaO/2 je zjevně blokovaný, takže se nemůže jednat o požadovaný kořenový most. Kořenový most nemůže mít žádné blokované porty. Opět věnujte mimořádnou pozornost MAC adrese ID mostu a prioritě. Následuje výstup přepínače Core:
Zamyslete se však nad touto otázkou: proč má přepínač Core výchozí hodnotu 32768 a nikoli 49 1 52 jako jiné přepínače? Používá totiž verzi 802. 1 w protokolu STP a funkce BackBoneFast je ve výchozím nastavení zakázána.
Podívejme se na MAC adresy mostu u jednotlivých přepínačů:
• Adresa S1:00Ib.2b55.7500 • Adresa S2:001a.e2ce.ff00 • Adresa Care: 000d.29bd.4b80
Když zkontrolujete MAC adresy a budete předpokládat, že jsou všechny přepínače nastaveny na výchozí prioritu, který přepínač bude podle vašeho názoru sloužit jako kořenový? Adresy MAC čtěte postupně zleva doprava. Přepínač Core má zjevně nejnižší MAC adresu a při pohledu na výstup příkazu show spanning-tree je patrné, že se skutečně jedná o kořenový most (i když by všechny přepínače měly stejnou prioritu). Doporučuje se porovnáním MAC adres přepínačů čas od času kořenový most kontrolovat.
Nastavení kořenového mostu
Je docela výhodné, že přepínač Core standardně funguje jako kořenový most, protože je z hlediska potenciálního kořene zapojen na optimálním místě. Čistě cvičně však toto nastavení změňme. Postup vypadá takto:
Když snížíte prioritu přepínače Sl na 1 6384, převezme toto zařízení okamžitě roli kořenového mostu. Priority lze nastavit na libovolnou hodnotu v intervalu od O do 61440. Nula (O) znamená, že přepínač bude vždy sloužit jako kořenový most. Hodnota 61440 oproti tomu zajistí, že přepínač se kořenovým mostem nestane nikdy.
Ještě je zde poslední příkaz, se kterým byste se měli seznámit, chcete-li přeskočit na konec této části o kontrole a konfigurace kořenových mostů. Chcete-li však uspět u zkoušky Cisco, rozhodně byste nic vynechávat neměli! Následuje jednoduchý příkaz, kterým můžete přepínač nastavit jako kořenový most:
Uvědomte si, že tento příkaz nezmění nízkou prioritu přepínače - funguje pouze v případě, že všechny přepínače mají nastavenu stejnou nebo vyšší prioritu. Je také potřeba dodat, že toto nastavení je potřeba provést pro každou síť VLAN a že jako kořenové mosty lze nastavit primární a sekundární přepínače. Opravdu je to možné a příslušný postup je rozhodně snazší než ten, který jsme si předvedli v této kapitole. Tato kniha však v prvé řadě slouží jako příprava na zkoušku CCNA, kterou chcete nepochybně složit. Určitě se tedy naučte postup, který jsme si ukázali, i když je obtížnější.