KAPlTOLA 8 Přepínání vrstvy 2 a protokol STP (Spanning Tree Protocol)
Když odborníci ze společnosti Cisco mluví o přepínání, mají obvykle na mysli přepínání vrstvy 2. Přepínání vrstvy 2 je proces, který segmentuje síť na základě hardwarových adres zařízení v síti LAN. Vzhledem k tomu, že se musíte seznámit se základními koncepcemi, zaměříme se nyní na podrobnosti přepínání vrstvy 2 a vysvětlíme si, jak funguje. Již víte, že přepínání rozděluje velké kolizní domény na menší. Kolizní doména je přitom síťový segment se dvěma nebo více zařízeními, která sdílejí stejnou šířku pásma. Typickým příkladem tohoto typu technologie je síť s rozbočovači. Vzhledem k tomu, že každý port přepínače v praxi vytváří svou vlastní kolizní doménu, můžete však vytvořit mnohem lepší lokální síť Ethernet jen tím, že rozbočovače nahradíte přepínači.
Přepínače zásadně změnily způsob návrhu a implementace sítí. Pokud je čistě přepínaný návrh implementován správně, jednoznačně vede k přehledné, ekonomické a odolné síti. V této kapitole prozkoumáme a porovnáme postupy návrhu sítí před příchodem technologií přepínání a poté. Směrovací protokoly (jako např. RIP, se kterým jste se setkali v kapitole 6, "Směrování IP") mají funkce, jež předcházejí vzniku síťových smyček na síťové vrstvě. Pokud však mezi přepínači existují redundantní fyzické spoje, směrovací protokoly nijak nezabrání, aby se smyčky objevily na linkové vrstvě. Právě z toho důvodu vznikl protokol STP (Spanning Tree Protocol) - aby se neobjevovaly smyčky v přepínané síti vrstvy 2. V této kapitole ZÍskáte základní informace o tomto protokolu a dozvíte se, jak funguje v přepínané síti. Konfigurace ukázkové přepínané sítě bude založena na třech přepínačích a v jejich nastavení budeme pokračovat v kapitole 9, "Virtuální sítě LAN (VLAN)".
Když ještě přepínání vrstvy 2 nebylO
Přenesme s e n a chvíli zpět v čase a podívejme se, jak vypadaly sítě před příchodem přepínačů. Lépe tak pochopíme, jak přepínače usnadnily segmentaci podnikových sítí LAN. Než se objevilo přepínání sítí LAN, vypadal obvyklý návrh sítě přibližně jako na obrázku 8. 1. Návrh 8. 1 se označoval jako sbalená páteřní síť (collapsed backbone), protože všichni hostitelé museli k libovolným síťovým službám přistupovat přes podnikovou páteřní síť - jak LAN, tak typu mainframe. Ještě dříve, než měly sítě jako na obrázku 8. 1 fyzická segmentační zařízení typu směrovačů a rozbočovačů, používaly se sítě typu mainframe. Tyto sítě obsahovaly počítač třídy mainframe (IBM, Honeywell, Sperry, DEC atd.), řadiče a jednoduché terminály, které se připojovaly k řadiči. Všechny vzdálené lokality se k počítači mainframe připojovaly pomocí mostů. Později začal raketový vzestup počítačů PC a počítače mainframe se připOjovaly k lokální síti Ethernet nebo Token Ring, kde se instalovaly servery. Na těchto serverech se obvykle používal systém OS/2 nebo LAN Manager, protože se jednalo o éru "před příchodem Windows NT".
V každém patře budovy procházely buď koaxiální kabely nebo kroucené dvoulinky, které měly připojení k podnikové páteřní síti a následně směrovači. V počítačích PC fungoval emulační software, který jim dovoloval připojení ke službám počítačů mainframe. Tato PC tím získávala souběžný přístup ke službám systému mainframe i sítě LAN. Počítače PC nakonec získaly dostatečnou robustnost, aby vývojáři aplikací mohli aplikace portovat efektivněji, než to bylo možné kdykoli dříve. Tento vývoj vedl ke dramatickému poklesu cen sítí a dovolil firmám, aby se mnohem rychleji rozvíjely. Když se koncem 80. a začátkem 90. let více prosadila společnost Novell, začaly servery systémů OS/2 a LAN Manager značně ustupovat serverům NetWare. Díky tomu se ještě zvýšila přitažlivost sítí Ethernet, protože tuto síť používaly servery se systémem Novell 3.x při komunikaci se softwarem typu klient/server.
Taková je tedy historie vzniku sítí na obrázku 8. 1. Byl zde pouze jeden problém: podniková páteřní síť se zvětšovala a zvětšovala a s jejím růstem se zpomalovaly síťové služby. Hlavní důvod spočíval v tom, že zároveň s tímto mimořádně prudkým růstem potřebovaly služby LAN dále zvýšit svou rychlost a sítě již byly plně saturovány. Všichni uživatelé dávali před počítači Mac a jednoduchými terminály, které se používaly pro připojení ke službám mainframe, přednost těm lákavým novým PC, s nimiž se mohli mnohem lépe připojit k podnikové páteřní síti a síťovým službám. Tento vývoj probíhal ještě dříve, než získal svou současnou popularitu Internet. Všichni pracovníci firmy tedy potřebovali přístup ke službám podnikové sítě. Proč? Bez Internetu byly totiž všechny síťové služby interní a omezené výhradně na podnikovou síť. Vzhledem k tomu bylo naléhavě nutné pustit se do segmentace obrovské a těžkopádné podnikové sítě, kterou připojovaly líné staré směrovače. Společnost Cisco nejdříve jen vyvinula rychlejší směrovače (o tom není pochyb), ale potřeba segmentace stejně nezmizela, zejména v lokálních sítích Ethernet. Také vznik technologie FastEthernet byl velmi vítaný a užitečný, ale potřebu síťové segmentace vůbec neřešil.
Tento úkol však převzala zařízení zvaná mosty, která se nejdříve začala používat v sítích k rozdělení kolizních domén. Mosty měly zásadní omezení počtu portů a dalších síťových služeb, které mohly poskytovat. Záchranou se staly přepínače vrstvy 2. Tyto přepínače vyřešily problematickou situaci tím, že rozdělily kolizní domény na každém jednotlivém portu (jako mosty). Přepínače přitom mohly poskytovat stovky portů! Tyto rané přepínané sítě LAN vypadaly podobně jako síť na obrázku 8.2 .
Každý rozbočovač byl zapojen do portu přepínače a tato inovace značně zdokonalila fungování sítě. Místo toho, aby byla celá budova nacpaná do jedné kolizní domény, se nadále každý rozbočovač změnil na vlastní samostatnou kolizní doménu. Byl v tom ale háček - porty přepínače byly horkou novinkou, a proto byly extrémně drahé. Z tohoto důvodu rozhodně nehrozilo (alespoň zatím), že by se na každém patře budovy objevil nový přepínač. Ať už je to zásluha kohokoli, ceny výrazně poklesly, takže nyní můžete zcela dobře zapojit každého uživatele do samostatného portu přepínače. Taková je tedy situace - chcete-li vytvořit a implementovat návrh sítě, neobejdete se bez přepínaných služeb. Typický současný návrh sítě by zhruba odpovídal obrázku 8.3, kde vidíte implementaci kompletního návrhu přepínané sítě.
Určitě říkáte: "Ale pořád tam vidím směrovač." To není nic divného - síť obsahuje i směrovač. Jeho úkol se však změnil. Místo toho, aby zajišťoval fyzickou segmentaci, nyní vytváří a obsluhuje logickou segmentaci. Tyto logické segmenty se nazývají sítě VLAN a pečlivě si je rozebereme - jak v této kapitole, tak v kapitole 9, která je jim věnována.
Služby přepínání
Na rozdíl od mostů, které vytvářejí a spravují filtrovací tabulku pomocí softwaru, používají přepínače k vytváření a údržbě svých filtrovacích tabulek aplikačně specifické integrované obvody (ASIC). I přesto si však můžete přepínač vrstvy 2 představit jako most s více porty, protože plní stejný základní účel: dělit kolizní domény. Přepínače a mosty vrstvy 2 jsou rychlejší než směrovače, protože neztrácejí čas analýzou informací hlaviček síťové vrstvy. Místo toho kontrolují hardwarové adresy rámců a podle nich se rozhodují, zda rámec předají dál, hromadně rozešlou nebo zahodí. Přepínače oproti rozbočovačům vytvářejí privátní a vyhrazené kolizní domény a poskytují nezávislou šířku pásma pro každý port. Obrázek 8.4 představuje pět hostitelů připojených
k přepínači. Všichni jsou k serveru připojeni polovičním duplexem 10 Mb/s. Na rozdíl od rozbočovače má každý hostitel k dispozici vyhrazený komunikační kanál k serveru s kapacitou 10 Mb/s.
Přepínání vrstvy 2 poskytuje následující funkce:
• Hardwarové přemostění (ASIC) • Rychlost kabelu • Nízká latence • Nízké náklady
Přepínání vrstvy 2 je tak efektivní proto, že se při něm nijak nemění pakety. Zařízení pouze načte rámec, ve kterém je paket zapouzdřen. Díky tomu je proces přepínání značně rychlejší a odolnější k chybám, než mohou být procesy směrování. Pokud navíc používáte přepínání vrstvy 2 pro připojení pracovní skupiny i segmentaci sítě (rozdělení kolizních domén), můžete vytvořit plošší návrh sítě s více síťovými segmenty než u tradičních směrovaných sítí. Přepínání vrstvy 2 navíc poskytuje větší šířku pásma pro každého uživatele. Jak již bylo uvedeno, každé připojení (rozhraní) přepínače odpovídá vlastní kolizní doméně. Díky této funkci je možné k rozhraní připojit více zařízení. V následujících sekcích se budeme technologií přepínání vrstvy 2 zabývat podrobněji.
Limity přepínání vrstvy 2
Přepínání vrstvy 2 se často zařazuje do stejné kategorie jako přemostění sítí. Proto je běžné se domnívat, že má stejné nevýhody a problémy jako přemostěné sítě. Nezapomeňte, že mosty jsou užitečné a nápomocné, pokud je síť navržena správně s ohledem na jejich funkce i omezení. Jestliže chcete vytvořit kvalitní návrh s mosty, musíte vzít v úvahu zejména dvě hlediska:
• Rozhodně je nutné správně rozdělit kolizní domény. • Chcete-Ii správně navrhnout funkční přemostěnou síť, musíte zajistit, že uživatelé stráví 80 procent času ve svém místním segmentu.
Přemostěné sítě dělí kolizní domény, ale nezapomínejte, že celá síť tvoří i nadále jedinou velkou všesměrovou doménu. Ani přepínače vrstvy 2, ani mosty ve výchozím nastavení nerozdělují všesměrové domény. Kromě toho, že to omezuje velikost sítě a její růstový potenciál, může to také omezit její celkový výkon. Všesměrová a vícesměrová vysílání spolu s pomalou konvergencí protokolu STP mohou při růstu sítě způsobovat značné nepříjemnosti. Jedná se o zásadní důvody, proč přepínače a mosty vrstvy 2 nemohou v datové síti kompletně nahradit směrovače (zařízení vrstvy 3).
Přemosťování a přepínání v síti LAN
Skutečně - přepínače vrstvy 2 jsou v zásadě pouhé mosty, které poskytují mnohem více portů. Přesto zde existují důležité rozdíly, které byste měli mít neustále na paměti:
• Mosty jsou založeny na softwaru, kdežto přepínače fungují na hardwarovém principu, protože se při filtrování rozhodují pomocí čipů ASIe. • Přepínač lze přirovnat k víceportovému mostu. • Jeden most může mít pouze jednu instanci kostry grafu, zatímco přepínače mohou používat mnoho instancí. (Ke kostrám grafu sítě se brzy dostaneme.) • Přepínače mají více portů než většina mostů. • Mosty i přepínače předávají všesměrová vysílání vrstvy 2. • Mosty a přepínače zjišťují MAC adresy podle zdrojové adresy každého přijatého rámce. • Mosty i přepínače přijímají rozhodnutí o předávání paketů na základě adres vrstvy 2.
Tři funkce přepínačů na vrstvě 2
Přepínání vrstvy 2 má tři odlišné funkce (je nutné, abyste si je pamatovali!): zjišťování adresy, rozhodování o předávání a filtrování a předcházení smyčkám.
Zjišťování adresy - přepínače a mosty vrstvy 2 si pamatují zdrojovou hardwarovou adresu každého rámce přijatého na rozhraní a tuto informaci ukládají do databáze MAC adres, která se označuje jako tabulka předávání a filtrování.
Rozhodování o předávání a filtrování - jakmile je na rozhraní přijat rámec, přepínač zjistí jeho cílovou hardwarovou adresu a vyhledá výstupní rozhraní v databázi MAC adres. Rámec je předán dál pouze z uvedeného cílového portu.
Předcházení smyčkám - pokud mezi přepínači kvůli redundanci existuje více spojení, mohou se objevit síťové smyčky. Protokol STP (Spanning Tree Protocol) smyčkám předchází a zároveň umožňuje zachovat redundanci. Podrobné informace o zjišťování adresy, rozhodování o předávání a filtrování a předcházení smyčkám naleznete v dalších sekcích.
Zjišťování adresy
Při prvním zapnutí přepínače je jeho tabulka MAC adres pro předávání a filtrování prázdná, jak je patrné na obrázku 8.5. Když rozhraní přijme rámec vyslaný zařízením, umístí přepínač zdrojovou adresu rámce do tabulky adres MAC pro předávání a filtrování. Díky tomu udržuje informace o tom, na kterém rozhraní je odesílající zařízení umístěno. Přepínač pak nemá jinou možnost než zaplavit síť tímto rámcem odeslaným z každého kromě zdrojového portu, protože nemá žádné informace o tom, kde se cílové zařízení skutečně nachází. Pokud zařízení na tento hromadně vyslaný paket odpoví a odešle jej zpět, přepínač načte zdrojovou adresu tohoto rámce a také umístí MAC adresu do své databáze. Tím je příslušná adresa přidružena k rozhraní, které rámec přijalo. V tabulce filtrování přepínače jsou nyní uloženy obě relevantní MAC adresy, takže obě zařízení mohou nyní navázat dvoubodové připojení. Přepínač již nemusí hromadně odesílat rámec jako poprvé, protože rámce nyní lze (a také se tak děje) předávat pouze mezi dvěma zařízeními. Přesně tato funkce zajišťuje, že jsou přepínače vrstvy 2 lepší než rozbočovače. V síti rozbočovačů jsou všechny rámce bez ohledu na okolnosti pokaždé předávány ze všech portů. Obrázek 8.6 znázorňuje procesy, které se uplatňují při vytváření databáze MAC adres.
Na tomto obrázku je patrné, že k přepínači jsou připojeni čtyři hostitelé. Při zapnutí přepínače je tabulka MAC adres pro předávání a filtrování prázdná, stejně jako na obrázku 8.5. Když však hostitelé začnou komunikovat, přepínač uloží zdrojovou hardwarovou adresu každého rámce do tabulky spolu s portem, kterému adresa rámce odpovídá. Následující příklad ukazuje, jak dochází k naplnění tabulky předávání a filtrování:
1. Hostitel A odešle rámec hostiteli B. MAC adresa hostitele A je 0000.8cO 1 .000A a hostitel B má MAC adresu 0000.8c01.000B.
2. Přepínač přijme rámec na rozhraní EO/O a umístí zdrojovou adresu do tabulky MAC adres.
3. Vzhledem k tomu, že cílová adresa není v databázi MAC adres, je rámec předán ze všech rozhraní s výjimkou zdrojového portu.
4. Hostitel B přijme rámec a odpoví hostiteli A. Přepínač přijme tento rámec na rozhraní EO/1 a uloží zdrojovou hardwarovou adresu do databáze MAC adres.
5. Hostitelé A a B mohou nyní navázat dvoubodové spojení a rámce budou přijímat pouze tato dvě zařízení. Hostitelé CaD rámce nedostanou a jejich MAC adresy se ani neobjeví v databázi, protože přepínači zatím neodeslaly žádný rámec.
Pokud hostitelé A a B s přepínačem po určitou dobu znovu nekomunikují, přepínač jejich položky z databáze vymaže, aby byla co nejaktuálnější.
Rozhodování o předávání a filtrování
Když je na rozhraní přepínače doručen rámec, je cílová hardwarová adresa porovnána s databází MAC adres pro předávání a filtrování. Jestliže je cílová hardwarová adresa známa a uvedena v databázi, je rámec odeslán pouze ze správného výstupního rozhraní. Přepínač nevysílá rámec z žádného rozhraní s výjimkou cílového rozhraní. Tímto způsobem, který se označuje jako filtrování rámců (frame filtering), se šetří šířka pásma v jiných síťových segmentech. Pokud však cílová hardwarová adresa není v databázi MAC adres uvedena, je rámec hromadně odeslán ze všech aktivních rozhraní kromě toho rozhraní, na kterém byl přijat. Jestliže zařízení na hromadně odeslaný rámec odpoví, je databáze MAC adres aktualizována s použitím umístění zařízení (rozhraní).
Pokud hostitel nebo server odešle do sítě LAN všesměrové vysílání, přepínač ve výchoZÍm nastavení hromadně rozešle rámec ze všech aktivních portů kromě zdrojového portu. Pamatujte, že přepínače vytvářejí menší kolizní domény, ale standardně tvoří jednu velkou všesměrovou doménu. Na obrázku 8.7 odesílá hostitel A datový rámec hostiteli D. Co přepínač udělá, když přijme rámec od hostitele A? V zhledem k tomu, že MAC adresa hostitele A není uložena v tabulce předávání a filtrování, přidá přepínač zdrojovou adresu a port do tabulky MAC adres a poté rámec předá hostiteli D. Pokud by v tabulce předávání a filtrování neexistoval záznam s MAC adresou hostitele D, musel by přepínač hromadně rozeslat rámec ze všech svých portů s výjimkou portu FaO/3.
Podívejme se nyní na výstup příkazu show mac address-table:
Jak přepínač tento rámec zpracuje? Odpověď: Cílová MAC adresa je nalezena v tabulce MAC adres a rámec bude předán pouze z rozhraní FaO/3. Vzpomeňte si, že pokud není cílová MAC adresa nalezena v tabulce předávání a filtrování, přepínač vyhledá cílové zařízení tak, že rámec předá ze všech portů. Ukázali jsme si tabulku MAC adres a způsob, jakým přepínače přidávají hostitelské adresy do tabulky předávání a filtrování. Jak lze ale tuto tabulku zabezpečit před neautorizovanými uživateli?
Zabezpečení portů
Jak tedy zabráníte tomu, aby někdo jednoduše nepřipojil hostitelské zařízení k jednomu z portů přepínače - nebo dokonce nepřidal do své kanceláře další rozbočovač, přepínač nebo přístupový bod? MAC adresy se ve výchozím nastavení dynamicky objevují v databázi MAC adres pro předávání a filtrování. Toto automaticky
Z předchozího výstupu je jasně patrné, že příkaz switchport port - security lze použít se čtyřmi možnostmi. Příkaz port - securi ty je výhodný tím, že umožňuje snadno kontrolovat uživatele v síti. Pomocí příkazu switchport port - security macaddres s f1ACadresa lze přiřazovat jednotlivé MAC adresy každému portu přepínače. Pokud se však rozhodnete pro toto řešení, musíte mít spoustu volného času! Chcete-li nastavit port přepínače tak, aby umožňoval připojení pouze jediného hostitele, a v případě porušení tohoto pravidla se vypnul, zadejte následující příkazy:
Tyto příkazy jsou asi nejoblíbenější, protože uživatelům znemožňují, aby se připojili k přepínači nebo přístupovému bodu v jejich kanceláři. Nastavení parametru maximum na hodnotu 1 znamená, že lze u daného portu použít pouze jednu MAC adresu. Jestliže se uživatel pokusí v příslušném segmentu přidat další hostitelské zařízení, přepínač se vypne. V tomto případě musíte přejít k tomuto přepínači a ručně port povolit příkazem no shutdown. Mezi velmi praktické příkazy patří parametr sticky. Tento parametr je dostupný v rámci příkazu mac - address:
V zásadě tím získáte statické zabezpečení MAC adres, aniž by bylo nutné zadávat všechny MAC adresy, které se v síti používají. Opravdu výhodná funkce. V předchozím příkladu se první dvě MAC adresy zachytí (stick) jako statické a jejich záznam zůstane v platnosti tak dlouho, jak nastavíte příkaz stárnutí. Proč je zde nastavena hodnota 2? Jedna adresa je totiž potřeba pro Pc/data a jedna pro telefon. Tento typ konfigurace si podrobně popíšeme v další kapitole, která je věnována sítím VLAN.
Poznámka K zabezpečení portů se vrátíme v příkladech konfigurace dále v této kapitole.
PředCházení smyčkám
Redundantní spojení mezi přepínači jsou výhodná, protože slouží jako prevence kompletního výpadku sítě v případě, že jedno spojení přestane fungovat. To zní sice skvěle, ale i když mohou být redundantní linky mimořádně užitečné, často způsobUjí více problémů, než kolik jich řeší. Důvod spočívá v tom, že rámce mohou být hromadně odesílány po všech redundantních linkách současně, což vede k síťovým smyčkám a dalším potížím. Uveďme si seznam těch nejhorších komplikací:
• Pokud se neuplatňují žádná schémata předcházení smyčkám, přepínače neustále rozesílají všesměrová vysílání po celé datové síti. Někdy se to označuje jako všesměrová bouře (broadcast storm). (Většinou se však tato situace charakterizuje výrazy, které nelze otisknout.) Obrázek 8.8 dokládá, jak se všesměrové vysílání může šířit v síti. Sledujte, jak je rámec opakovaně rozesílán po fyzickém médiu datové sítě.
• Zařízení může přijmout více kopií stejného rámce, protože daný rámec může současně dorazit z odlišných segmentů. Obrázek 8.9 ukazuje, jak může být zároveň doručena celá sada rámců z více segmentů. Server na obrázku odešle rámec jednosměrového vysílání směrovači C. Vzhledem k tomu, že se jedná o rámec jednosměrového vysílání, přepínač A rámec předá a přepínač B poskytne stejnou službu - předá všesměrové vysílání. To je chyba, protože kvůli tomu směrovač C přijme daný rámec jednosměrového vysílání dvakrát, což zvyšuje zátěž sítě.
• Zamyslete se také nad touto situací: Z tabulky MAC adres pro filtrování nemusí být vůbec jasné, kde je zařízení umístěno. Přepínač totiž může rámec přijmout z více než jedné linky. Zmatený přepínač se poté navíc může dostat do cyklu neustálých aktualizací tabulky MAC adres pro filtrování, že rámec vůbec nepředá dál! • Mezi nejzáludnější problémy patří generování vícenásobných smyček v síti. To znamená, že se mohou objevovat smyčky v rámci jiných smyček. Pokud by zároveň došlo k všesměrové bouři, síť by vůbec nedokázala zajistit přepínání rámců.
Všechny uvedené problémy jsou velmi nebezpečné (nebo minimálně riskantní) a příslušným situacím je nutné předejít, nebo je alespoň nějak napravit. Zde vstupuje na scénu protokol STP (Spanning Tree Protocol). Cílem jeho návrhu je vyřešit všechny problémy, které jsme uvedli výše.
Protokol STP (Spanning Tree protocol)
Kdysi dávno existovala společnost Digital Equipment Corporation (DEC), kterou později zakoupila firma Compaq. Před tím však společnost DEC stačila vytvořit původní verzi protokolu STP neboli Spanning Tree Protocol. Organizace IEEE později vyvinula svou vlastní verzi protokolu STP označovanou jako 802. 1 0. Špatná zpráva je, že přepínače Cisco standardně používají verzi IEEE 802. 10 protokolu STP, která není kompatibilní s verZÍ společnosti DEC. Dobrá zpráva však spočívá v tom, že společnost Cisco přechází u svých novějších přepínačů na jiný oborový standard, který se nazývá 802. 1 w. V této sekci se zaměříme právě na tuto verzi protokolu STP. Začneme však definicí důležitých principů protokolu STP.
Hlavní úkol protokolu STP je předejít síťovým smyčkám v síti vrstvy 2 (s mosty nebo přepínači). Protokol podrobně sleduje síť a vyhledává všechny linky. Přitom vypnutím všech redundantních linek zajišťuje, aby se nevyskytly žádné smyčky. Protokol STP pomocí algoritmu kostry grafu (STA - spanning-tree algorithm) nejdříve vytvoří topologickou databázi a poté vyhledá a zlikviduje redundantní linky. Když je protokol STP aktivní, jsou rámce předávány pouze po nejlepších spojích, které tento protokol vybere. V následujících sekcích přejdeme k podrobnostem protokolu STP.
Poznámka STP je protokol vrstvy 2, který umožňuje udržovat přepínanou síť bez smyček.
Protokol STP je nezbytný v sítích toho typu jako na obrázku 8. 10.
Na obrázku 8.10 vidíte přepínanou síť s redundantní topologií (smyčkami přepínání). Pokud by se na vrstvě 2 neuplatnil nějaký mechanismus předcházení síťovým smyčkám, nastaly by výše zmíněné problémy: všesměrové bouře a více kopií rámců.
Upozornění o Uvědomte si, že síť na obrázku 8.10 by v praxi do jisté míry fungovala, i když mimořádně pomalu. Tím se jasně projevuje nebezpečí smyček přepínání. Ke všemu může být velice těžké tento problém diagnostikovat, jakmile se objeví!
Pojmy z protokolu STP
Než se dostaneme k podrobnostem fungování protokolu STP v síti, musíte porozumět některým základním koncepcím a termínům a jejich vzájemným vztahům v přepínané síti vrstvy 2:
Kořenový most (root bridge) - most s nejlepší hodnotou ID mostu. Základní princip protokolu STP spočívá v tom, že všechny přepínače v síti zvolí kořenový most, který bude sloužit jako ústřední bod sítě. Veškeré další rozhodování v síti - například o tom, který port bude zablokován a jaký nastaven do režimu předávání - se přijímají z pohledu tohoto kořenového mostu.
Datová jednotka přemosťovacího protokolu - všechny přepínače si vyměňují informace, které se používají při výběru kořenového přepínače a také při následné konfiguraci sítě. Každý přepínač porovnává parametry v datové jednotce přemosťovacího protokolu (Bridge Protocol Data Unit - BPDU), kterou odesílá jednomu sousedovi, s jednotkou přijatou od jiného souseda.
ID mostu - pomocí hodnot ID mostu (bridge ID) protokol STP sleduje všechny přepínače v síti. Hodnota závisí na kombinaci priority mostu (u všech přepínačů Cisto standardně 32.768) a základní MAC adresy. Most s nejnižší hodnotou ID mostu se stává kořenovým mostem sítě.
Jiné než kořenové mosty - jedná se o všechny mosty, které nejsou kořenové. Jiné než kořenové mosty si vyměňují datové jednotky přemosťovacího protokolu se všemi ostatními mosty a aktualizují topologickou databázi protokolu STP všech přepínačů. Tím zabraňují vzniku smyček a zajišťují jednu z úrovní obrany před výpadky linek.
Náklady na port - ceny portu určují optimální trasu v případě použití více linek mezi dvěma přepínači, kdy žádná z těchto linek nevede ke kořenovému portu. Náklady na linku závisí na její šířce pásma.
Kořenový port - kořenový port vždy označuje linky připojené ke kořenovému mostu nebo nejkratší trasu ke kořenovému mostu. Pokud je ke kořenovému mostu připojeno více linek, zjišťují se náklady portu kontrolou šířky pásma každé linky. Port s nejnižšími náklady se stává kořenovým portem. Má-li stejné náklady více linek, použije se most s nižším zveřejněným ID mostu. Protože více linek může vycházet ze stejného zařízení, použije se nejnižší číslo portu.
Určený port (designated port) - port, u kterého byly zjištěny optimální (nejnižší) náklady. Určený port je označen jako port předávání.
Jiný než určený port - má vyšší náklady než určený port. Tyto porty jsou nastaveny do režimu blokování - neslouží jako porty předávání.
Port předávání (forwarding port) - předává rámce.
Blokovaný port - nepředává rámce, aby se neobjevily síťové smyčky. Blokovaný port však vždy naslouchá doručeným rámcům.
Činnost protokolu STP
Jak jsme již uvedli, má protokol STP za úkol najít všechny linky v síti a vypnout všechny redundantní. Tím zabraňuje výskytu síťových smyček. Protokol STP toho dosahuje tak, že nejdříve zvolí kořenový most, který předává přes všechny porty a slouží jako referenční bod pro všechna ostatní zařízení v doméně STP. Jakmile se všechny přepínače shodnou na tom, které zařízení bude fungovat jako kořenový most, musí všechny mosty najít svůj jediný přidělený kořenový port. Každá linka mezi dvěma přepínači musí mít právě jeden určený port, což je port na dané lince, který poskytuje největší šířku pásma ke kořeni. Rozhodně byste si měli pamatovat, že na cestě mostu ke kořeni může ležet mnoho jiných mostů. To znamená, že použitá cesta není vždy nejkratší, ale nejrychlejší (s nej větší šířkou pásma). Každý port kořenového přepínače je samozřejmě určeným portem, protože samotný kořen má ke kořeni nejkratší možnou vzdálenost. Jakmile jsou zjištěny všechny kořenové nebo určené porty, jsou všechny ostatní porty převedeny do stavu blokování, aby se přerušily smyčky přepínání. Pokud ve firmě rozhoduje jediná osoba, věci se řeší mnohem rychleji. Podobně může být v každé síti pouze jediný kořenový most. Proces volby kořenového mostu si podrobněji popíšeme v následující sekci.
Výběr kořenového mostu
Hodnota ID mostu slouží k volbě kořenového mostu v doméně STP a určení kořenového portu pro každé ze zbývajících zařízení v doméně STP. Toto ID má délku 8 bajtů a obsahuje prioritu i MAC adresu zařízení. Výchozí priorita všech zařízení, která používají protokol STP ve verzi IEEE, se rovná 32 768. Chcete-li určit kořenový most, musíte zkombinovat prioritu každého mostu s jeho MAC adresou. Pokud mají dva přepínače nebo mosty stejnou hodnotu priority, rozhodne o nejnižším (nejlepším) ID jejich MAC adresa. Funguje to takto: Pokud dva přepínače - říkejme jim A a B - používají výchozí prioritu 32 768, použije se místo priority MAC adresa. Jestliže má přepínač A MAC adresu OOOO.OcOO. 1111 a adresa MAC přepínače B je 0000.OcOO.2222, stane se kořenovým mostem přepínač A. Stačí si pamatovat, že při volbě kořenového mostu je lepší ta hodnota, která je nižší.
Ve výchozím nastavení se datové jednotky přemosťovacího protokolu odesílají každé dvě sekundy ze všech aktivních portů mostu nebo přepínače. Opět platí, že kořenovým mostem je zvolen most, který má nejnižší (nejlepší) hodnotu ID mostu. Hodnotu ID mostu lze změnit jeho prioritou, aby automaticky převzal roli kořenového mostu. Tato možnost je důležitá ve velké přepínané síti a zajišťuje, že budou zvoleny optimální trasy. Efektivita je základním cílem. Obrázek 8. 11 představuje typickou přepínanou síť s redundantními přepínanými trasami. Nejdříve zjistíme, který přepínač funguje jako kořenový. Poté změnou priority dosáhneme toho, aby se kořenem stal druhý most.
Při pohledu na obrázek 8. 11 je zřejmé, že přepínač A je kořenovým mostem, protože má nejnižší hodnotu ID mostu. Přepínač B musí vypnout jeden ze svých portů připojených k přepínači A, aby se v přepínané síti neobjevila smyčka. Pamatujte, že i když přepínač B z blokovaného portu nevysílá, stále na tomto portu přijímá data - včetně datových jednotek přemosťovacího protokolu. Protokol STP určuje vypnutý port přepínače B tak, že nejdříve zkontroluje šířku pásma každé linky a poté vypne linku s nejmenší hodnotou šířky pásma. Obě linky mezi přepínači A a B mají kapacitu 1 00 Mb/s, takže protokol STP obvykle vypne port s vyšším číslem, avšak není to pravidlem. V tomto příkladu je 12 více než l l, takže bude do blokovaného režimu přepnut port 12.
Kořenový most lze nejlépe zvolit změnou výchozí priority. Tato možnost je důležitá, protože je vhodné, aby jako kořenový most sítě sloužil přepínač v jejím jádru (co nejblíže centru sítě). Tím se zajistí rychlá konvergence protokolu STP. Pro zajímavost nyní nastavme jako kořenový most sítě přepínač B. Následuje výstup přepínače B, který informuje o výchozí prioritě. Použijeme příkaz show spanning-tree:
Zde jsou na první pohled patrné dvě věci: Přepínač B používá protokol verze IEEE 80 1 .d a první část výstupu (Root ID) popisuje kořenový most přepínané sítě. Nejde však o přepínač B. Port přepínače B (označovaný jako kořenový port) ke kořenovému mostu má číslo l. Část Bridge ID obsahuje vlastní informace kostry grafu sítě pro přepínač B a síť VLAN 1, která je uvedena jako VLANOOO 1. Každá síť VLAN může mít odlišný kořenový most, ačkoli to není běžné. Je zobrazena i MAC adresa přepínače B, která se evidentně liší od MAC adresy kořenového mostu.
Přepínač B má prioritu 32768. což je výchozí hodnota každého přepínače. Uvedena je hodnota 32 769. která však obsahuje vlastní ID sítě VLAN. V tomto případě je tedy zobrazeno 32769 pro síť VLAN I. VLAN 2 by měla prioritu 32770 atd. Jak jsme již uvedli. změnou priority lze vynutit. aby se přepínač stal kořenovým mostem sítě protokolu STP. Ukažme si to nyní na příkladu přepínače B. Následujícím příkazem změňme prioritu mostu u přepínače Catalyst:
Prioritu je možné nastavit na libovolnou hodnotu od O do 61440. Zadáte-li nulu (O). přepínač bude vždy kořenovým mostem. Priorita mostu se nastavuje v násobcích 4096. Pokud chcete zajistit. aby přepínač sloužil jako kořenový most pro každou síť VLAN v rámci lokální sítě. musíte změnit prioritu pro každou ze sítí VLAN. Nejnižší možná priorita se rovná o. Nastavení priority všech přepínačů na hodnotu O by nebylo příliš rozumné. Prohlédněte si následující výstup: změna priority přepínače B pro síť VLAN 1 na hodnotu 4096 zajistila. že se tento přepínač stal kořenovým mostem:
MAC adresa kořenového mostu a ID mostu přepínače B jsou nyní stejné. To znamená. že přepínač B nyní funguje jako kořenový most. Znalost příkazu s h ow spanning - t ree je velmi důležitá. K příkazu se vrátíme na konci této kapitoly.
Poznámka Věřte nebo ne, kořenový most lze nastavit ještě jedním příkazem. Dostaneme se k němu v souvislosti s příklady konfigurace přepínače dále v této kapitole.
Stavy portů protokolu STP
Porty mostu nebo přepínače s protokolem STP mohou přecházet mezi pěti různými stavy:
Blocking (Blokování) - blokovaný port nepředává rámce. pouze naslouchá datovým jednotkám přemosťovacího protokolu. Stav blokování zabraňuje vzniku smy
Listening (Naslouchání) - port naslouchá datovým jednotkám přemosťovacího protokolu, aby před předáním datových rámců zajistil, že se v síti neobjeví žádné smyčky. Port ve stavu naslouchání je připraven k předání datových rámců bez zaplnění tabulky MAC adres.
Learning (Zjišťování) - port naslouchá datovým jednotkám přemosťovacího protokolu a zjišťuje všechny trasy v přepínané síti. Port ve stavu zjišťování plní tabulku MAC adres, ale nepředává datové rámce. Zpoždění předávání znamená, jak dlouho trvá přechod portu z režimu naslouchání do režimu zjišťování. Standardně je toto zpoždění nastaveno na 15 sekund a můžete je zkontrolovat ve výstupu příkazu show spanning - tree.
Forwarding (Předávání) - port odesílá a přijímá všechny datové rámce na přemostěném portu. Pokud je port na konci stavu zjišťování nadále určeným nebo kořenovým portem, přejde do stavu předávání.
Disabled (Zakázáno) - port v zakázaném (administrativně) stavu se neúčastní na předávání rámců ani na fungování protokolu STP. Port v tomto stavu prakticky nefunguje.
Poznámka Přepínače plní tabulku MAC adres pouze v režimech zjišťování a předávání.
Porty přepínačů se nejčastěji nacházejí ve stavu blokování nebo předávání. U portu předávání bylo zjištěno, že má nejnižší (optimální) náklady na trasu ke kořenovému mostu. Když se však změní síťová topologie (kvůli výpadku spojení nebo přidání nového přepínače), přejdou porty přepínače do režimu naslouchání a zjišťování. Jak jsme již uvedli, představuje blokování portů strategii, jak předcházet síťovým smyčkám. Jakmile přepínač určí nejlepší trasu ke kořenovému mostu, budou všechny ostatní (redundantní) porty v režimu blokování. Blokované porty mohou i nadále přijímat datové jednotky přemosťovacího protokolu - pouze neodesílají žádné rámce.
Jestliže přepínač zjistí, že blokovaný port by měl být z důvodu změny topologie nastaven jako určený nebo kořenový port, přejde do režimu zjišťování a kontroluje všechny přijaté datové jednotky přemosťovacího protokolu, aby zajistil, že po přechodu portu do režimu předávání nevznikne žádná smyčka.
Konvergence
Ke konvergenci dochází, když všechny porty mostů a přepínačů přejdou do režimu předávání nebo blokování. Dokud není konvergence dokončena, nepředávají se žádná data. Aby bylo možné data znovu předávat, je také nutné všechna zařízení aktualizovat. Ano, rozumíte tomu správně: Když probíhá konvergence protokolu STP, zastaví se přenos všech hostitelských dat! Chcete-li tedy, aby s vámi uživatelé sítě nepřestali mluvit (nebo abyste náhodou brzy nepřišli o své místo), musíte mít naprostou jistotu, že je vaše síť fyzicky navržena tak dobře, aby mohl protokol STP rychle konvergovat. Obrázek 8. 12 dokumentuje některá důležitá hlediska při návrhu a implementaci přepínané sítě, která umožňují efektivní konvergenci protokolu STP.
Konvergence je mimořádně důležitá, protože zajišťuje, že všechna zařízení mají stejnou databázi. Jak jsme však již uvedli, vyžaduje určitý čas. Přechod z režimu blokování do režimu předávání obvykle trvá 50 sekund a výchozí časovače protokolu STP zpravidla není vhodné měnit. Oe-li to však nutné, můžete tyto časovače upravit.) Pokud vytvoříte hierarchický návrh fyzických přepínačů (viz obrázek 8. 1 2), můžete nastavit přepínač jádra sítě jako kořen protokolu STP. Tímto způsobem zajistíte účinnou a rychlou konvergenci tohoto protokolu. Vzhledem k tomu, že u typické topologie protokolu STP dosahuje čas konvergence z režimu blokování do režimu předávání u portu přepínače 50 sekund, mohou při tom nastat problémy s časovým limitem operací u serverů či hostitelů - například při jejich restartu. Tuto komplikaci lze vyřešit zakázáním protokolu STP u jednotlivých portů pomocí funkce PortFast.
Funkce PortFast protokolu STP
Pokud je k přepínači připojen server nebo jiné zařízení a jste si naprosto jisti, že při vypnutí protokolu STP nezpůsobí smyčku směrování, můžete na příslušných portech použít funkci zvanou port fa st. Tato funkce zajistí, že port během konvergence protokolu STP nestráví obvyklých 50 sekund přechodem do režimu předávání. Používají se následuj ící příkazy, které jsou docela jednoduché:
Zatím jsme se nedostali k trunkovým portům. Tyto porty se v zásadě používají k vzájemnému propojení přepínačů a předávání informací o sítích VLAN mezi nimi. Chcete-li povolit funkci portfast na trunkovém portu, musíte to explicitně uvést. Tato konfigurace není typická, protože porty mezi přepínači by obvykle měly používat protokol STP. Podívejte se tedy na zprávu, která se zobrazí při zapnutí funkce portfast na rozhraní:
Funkce portfast je aktivována na portu fO/I, ale všimněte si, že poměrně dlouhá zpráva upozorňuje, abyste byli opatrní. Poslední užitečný příkaz rozhraní, který si nyní uvedeme, se nazývá r ange. Umožňuje u přepínačů usnadnit konfiguraci více portů současně. Uveďme si příklad:
Předchozí příkaz range umožňuje nastavit 12 portů přepínače do režimu portfast. Stačí přitom zadat jediný příkaz a stisknout klávesu Enter. Musíme doufat, že přitom nevzniknou žádné smyčky! Opět je potřeba upozornit, že příkaz portfa st vyžaduje mimořádnou opatrnost. Dále se můžeme zmínit, že s libovolným příkazem lze kombinovat příkaz interface range. Ve výše uvedené ukázce se používá s příkazem portfast.
Funkce UplinkFast protokolu STP
UplinkFast je funkce navržená ve společnosti Cisco, která zkracuje čas konvergence protokolu STP v případě selhání linky. Obdobně jako u příkazu portfa st musíte být při použití tohoto příkazu velmi opatrní! Funkci UplinkFast lze uplatnit v přepínaném prostředí, kde má přepínač alespoň jeden alternativní nebo záložní kořenový port (port ve stavu blokování). Společnost Cisco z tohoto důvodu doporučuje funkci UplinkFast povolovat pouze u přepínačů s blokovanými porty a zpravidla na přístupové vrstvě.
Díky funkci UplinkFast může přepínač naj ít alternativní trasy ke kořenovému mostu před výpadkem primárního spojení. To znamená, že při selhání primárního spojení se sekundární spojení aktivuje rychleji - port nemusí čekat na uplynutí normálního času konvergence protokolu STP, tj. 50 sekund. Používáte-li tedy verzi 802. 1d protokolu STP a máte u svých přepínačů přístupové vrstvy redundantní linky, rozhodně je vhodné funkci UplinkFast zapnout. Nepoužívejte ji však u přepínačů bez implicitní znalosti topologie alternativní nebo záložní trasy ke kořeni, která se obvykle používá u distribučních a jádrových přepínačů ve vícevrstevném návrhu Cisco.
Funkce BackboneFast protokolu STP
Oproti funkci UplinkFast, která umožňuje zjistit a rychle napravit výpadky linek u lokálního přepínače, se jiné firemní rozšíření protokolu STP vyvinuté ve společnosti Cisco a zvané BackboneFast používá k urychlení konvergence v případě, že dojde k selhání linky, jež není přímo připojena k přepínači. Pokud přepínač s funkcí BackboneFast přijme z určeného mostu nekvalitní datovou jednotku přemosťovacího protokolu, odvodí z toho, že došlo k výpadku linky na trase ke kořeni. Na vysvětlenou: nekvalitní je taková datová jednotka přemosťovacího protokolu, která uvádí stejný přepínač pro kořenový i určený most.
Opět v porovnání s funkcí UplinkFast, která se konfiguruje pouze u přepínačů přístupové vrstvy nebo přepínačů s redundantními linkami a alespoň jednou linkou v režimu blokování, je vhodné funkci BackboneFast povolit u všech přepínačů Catalyst, protože umožňuje detekci nepřímých výpadků linky. Aktivace funkce BackboneFast je výhodná i tím, že urychluje začátek rekonfigurace protokolu STP - může ušetřit 20 sekund z výchozího 50sekundového intervalu konvergence tohoto protokolu.
Protokol RSTP (Rapid Spanning Tree Protocol) 802.1w
Líbilo by se vám, kdyby se ve vaší přepínané síti používala správná konfigurace protokolu STP (bez ohledu na značku přepínačů) a všechny právě uvedené funkce by byly integrovány a aktivovány v každém přepínači? Rozhodně ano! V tomto případě se seznamte s protokolem RSTP (Rapid Spanning Tree Protocol). Společnost Cisco vytvořila funkce PortFast, UplinkFast a BackboneFast proto, aby "napravila" mezery a nevýhody související se standardem IEEE 802. 1 d. Nevýhoda těchto vylepšení spočívá pouze v tom, že jsou specifické pro výrobky Cisco a vyžadují dodatečnou konfiguraci. Nový standard 802. 1 w (RSTP) však všechny tyto "problémy" komplexně řeší - stačí zapnout protokol RSTP a vše je hotovo. Aby protokol 802. 1 w fungoval správně, je potřeba zajistit, že jej používají všechny přepínače v síti.
Poznámka Možná vás to překvapí, ale protokol RSTP dokáže v praxi spolupracovat se staršími protokoly STP. Uvědomte si pouze, že při interakci se staršími mosty přijdete o mimořádně rychlou konvergenci protokolu 802.1 w.
Konfiguraci protokolu RSTP si ukážeme dále v této kapitole. V praxi je docela snadná.
EtherChannel
Místo toho, abyste používali redundantní linky a pomocí protokolu STP je nastavovali do režimu BLK (blokování), můžete linky zkompletovat a vytvořit logický agregát, aby se více linek zobrazovalo jako linka jediná. Tímto způsobem získáte stejnou redundanci jako v případě protokolu STP. Proč tedy redundantní linky nezkompletovat? Jako obvykle existuje verze funkce EtherChannel od společnosti Cisco a verze vyvinutá organizací IEEE - můžete si vybrat. Verze společnosti Cisco se označuje jako PAgP (Port Aggregation Protocol) a standard IEEE 802.3ad se nazývá LACP (Link Aggregation Control Protocol). Obě varianty fungují stejně dobře, ale liší se ve své konfiguraci. Na konci této kapitoly si cvičně ukážeme zkompletování několika linek. Žádné obavy - hned v následující sekci si rozebereme všechny konfigurace rozšíření protokolu STP.
Konfigurace přepínačů Catalyst
Přepínače Cisco Catalyst jsou k dispozici v mnoha verzích: některé fungují s rychlostí lO Mb/s a některé u přepínaných portů dosahují až 10 Gb/s kombinací kroucené dvoulinky a optických vláken. Tyto novější přepínače (konkrétně 2960s a 3560s) mají dokonalejší software, takže mohou urychlit přenos dat včetně služeb hlasu a videa. Je načase si ukázat, jak spustit a konfigurovat přepínač Cisco Catalyst pomocí rozhraní příkazového řádku (CLI - command-line interface). Jakmile se v této kapitole seznámíte se základními příkazy, předvedeme si v následující kapitole konfiguraci sítí VLAN (virtual LAN) včetně Inter-Switch Link, směrování 802. 1q a protokolu VTP (Virtual Trunk Protocol) společnosti Cisco. V této sekci se budeme zabývat následujícími základními úkoly:
• Funkce pro správu • Konfigurace IP adresy a masky podsítě • Nastavení výchozí brány IP • Nastavení zabezpečení portů • Nastavení funkce PortFast • Povolení příkazů BPDUGuard a BPDUFilter • Povolení funkce UplinkFast • Povolení funkce BackboneFast • Povolení protokolu RSTP (802.1w) • Povolení protokolu EtherChannel • Konfigurace kořenového přepínače STP • Konfigurace přepínače nástrojem CNA
Poznámka Kompletní informace o řadě přepínačů Catalyst od společnosti Cisco n
Konfigurace přepínače Catalyst
Stejně jako u směrovačů, které jsme konfigurovali v kapitolách 6 a 7, budeme v této a následující kapitole 9, "Virtuální sítě LAN (VLAN)", vycházet při konfiguraci z diagramu a nastavení přepínače. Obrázek 8. 13 představuje přepínanou síť, se kterou budeme pracovat.
Budeme používat nové přepínače 3560, 2960 a 3550. Pamatujte, že na konfiguraci hostitelů, telefonů a směrovače v síti na obrázku bude více záležet později v kapitole 9. Než se však dostaneme k vlastní konfiguraci jednoho z přepínačů Catalyst, musíme si vysvětlit proces spouštění těchto přepínačů, stejně jako jsme v kapitole 4 rozebrali obdobný proces u směrovačů. Obrázek 8.14 podrobně znázorňuje typický přepínač Cisco Catalyst. Nyní si popíšeme různá rozhraní a funkce tohoto produktu.
Nejdříve je nutné poznamenat, že port konzoly přepínačů Catalyst se obvykle nachází na jejich zadní straně. U menších přepínačů, jako je typ 3560 znázorněný na obrázku, je však konzola přímo vepředu, což usnadňuje její používání. (Model 2960 s osmi porty vypadá přesně stejně.) Pokud rutina POST skončí úspěšně, začne systémová dioda LED svítit zeleně. Jestliže rutina POST selže, dioda se rozsvítí oranžově. Oranžové světlo je velmi špatné znamení - obvykle to znamená kritickou chybu. Je tedy lepší mít po ruce náhradní přepínač. Oceníte to zejména v případě, že shoří produkční zařízení. Dolní tlačítko umožňuje zobrazit, které konektory poskytují napájení po Ethernetu (Power over Ethernet - PoE). Tuto informaci získáte stisknutím tlačítka Mode. PoE je velmi výhodná funkce těchto přepínačů. Umožúuje napájet přístupový bod a telefon pouhým připojením k přepínači pomocí kabelu Ethernet! Jakmile se přepínač spustí, můžete přejít na obrazovku Express Setup dostupnou pomocí protokolu HTTP. Obrázek 8. 15 znázofl'luje obrazovku, která je k dispozici, když připojíte nový přepínač a do pole adresy svého prohlížeče zadáte adresu 1 0.0.0. 1. Hostitel se pochopitelně musí nacházet ve stejné podsíti.
Na obrazovce jsou dostupné některé základní funkce. Konfigurace pomocí rozhraní příkazového řádku, kterou si ukážeme dále, může být snadnější. Přesto je tato možnost k dispozici. Lze konfigurovat IP adresu, masku a výchozí bránu přepínače spolu s hesly. Je také možné konfigurovat síť VLAN pro správu, ale do toho se zatím pouštět nebudeme a příslušný postup si ukážeme až v další kapitole. Volitelně můžete konfigurovat hostitelský název, systémový kontakt a umístění a nastavit přístup Telnet. Obrazovka Express Setup protokolu HTTP nakonec poskytuje jednoduchou nápovědu k nastavení protokolu SNMP u přepínače, aby jej mohl vyhledat systém NMS (Network Management System).
Chcete-li nyní přepínače vzájemně spojit, jak je znázorněno na obrázku 8. 1 3, potřebujete k tomu překřížený kabel. Přepínače 2960 a 3560 typ připojení automaticky detekují, takže lze použít přímý kabel. Přepínače 2950 či 3550 však automatickou detekci typu kabelu neposkytují. Různé přepínače mají odlišné požadavky a možnosti. Mějte to na paměti vždy, když budete spojovat více přepínačů dohromady.
Při prvním propojení portů přepínačů se indikátory linky rozsvítí oranžově a poté zeleně, což znamená normální provoz. Z toho je patrná konvergence protokolu STP a jak již víte, tento proces bez povolených rozšíření trvá asi 50 sekund. Jestliže se však připojíte k portu přepínače a jeho dioda LED střídavě svítí zeleně a oranžově, znamená to, že u portu dochází k chybám. V tomto případě zkontrolujte kartu síťového rozhraní hostitele nebo kabeláž.
S1
Začněme konfiguraci připojením ke každému přepínači a nastavením funkcí pro správu. Přiřadíme také každému přepínači IP adresu, ale tato akce v praxi není pro síťovou funkci nezbytná. Jediný důvod spočívá v tom, že lze poté přepínač spravovat. Použijeme jednoduché schéma IP adres typu 1 92. 1 68. 1 0.16/28. Tuto masku byste již měli dobře znát! Prohlédněte si následující výstup.
Jako první je potřeba si všimnout, že na rozhraních přepínače není nastavena žádná IP adresa. Vzhledem k tomu, že všechny porty přepínače jsou standardně povoleny, není zde příliš vlastností ke konfigurování. IP adresa se konfiguruje v rámci logického rozhraní, které se označuje jako doména nebo síť VLAN pro správu. Při správě přepínané sítě se obvykle používá výchozí síť VLAN 1 jako v tomto případě. Zbytek konfigurace v zásadě odpovídá procesu konfigurace směrovače. Nezapomeňte, že rozhraní přepínače nemají žádné IP adresy, žádné směrovací protokoly atd. V této fázi zajišťujeme přepínání vrstvy 2, nikoli směrování! Všimněte si také, že přepínače Cisco nemají žádný port aux.
S2
Uveďme si konfiguraci zařízení S2:
Položme si dvě otázky: Jak to, že lze příkazem ping kontaktovat přepínač Core, když není zatím nakonfigurován, a proč poskytly odpověď pouze čtyři příkazy ping z pěti? (První tečka [.j znamená vypršení časového limitu. Vykřičník [!j označuje úspěšný výsledek.) V obou případech se jedná o dobré otázky. Důvod: V prvé řadě není nutné přepínač konfigurovat, aby fungoval. Všechny porty jsou standardně povoleny, takže stačí přepínač zapnout a měl by zajistit komunikaci mezi hostiteli. Za druhé: první příkaz ping nebyl úspěšný, protože určitou dobu trvá, než protokol ARP přeloží IP adresu na hardwarovou MAC adresu.
Core
Následuje konfigurace přepínače Core:
není potřebný, protože v ní chybí směrovač. Jedná se o příkaz ip defaul t - gateway. Chcete-Ii své přepínače spravovat zvnějšku sítě LAN, musíte u nich nastavit výchozí bránu stejným způsobem jako u hostitelů. Provádí se to z globální konfigurace. Následuje příklad nastavení IP adres směrovače s využitím poslední IP adresy v rozsahu podsítě (směrovač použijeme v další kapitole o sítích VLAN):
Když mají nyní všechny tři přepínače základní konfiguraci, zkusme si s nimi trochu pohrát.
Zabezpečení portů
Jak jsme již uvedli v předchozí části kapitoly, obvykle není vhodné, aby se k přepínačům mohl kdokoli připojit a manipulovat s nimi. Požadujete přece zabezpečení bezdrátové sítě, takže je logické, že budete stejně tak chtít zabezpečit i přepínače. Pomocí zabezpečení portů můžete omezit počet MAC adres, které lze dynamicky přidělit portu, nastavit statickou MAC adresu a dokonce stanovit tresty pro uživatele, kteří zásady zabezpečení poruší. Osobně například trvám na tom, aby se port při porušení zásady zabezpečení vypnul a pachatelé mi poté museli přinést vysvětlení svého nadřízeného, proč zásady zabezpečení přestoupili. Teprve potom jejich port znovu povolím. Obvykle si pak velmi dobře zapamatují, jak se mají chovat! Zabezpečený port přepínače může být přidružen k 1 až 8 1 92 MAC adresám. Přepínače řady 50 sice podporují pouze 1 92 adres, ale tento počet zpravidla postačuje. Můžete se rozhodnout, že přepínač bude tyto hodnoty zjišťovat dynamicky, nebo můžete nastavit statickou adresu pro každý port pomocí příkazu switchport port - security mac - add ress MACadresa. Nastavme tedy nyní zabezpečení přepínače Sl. K portům faO/3 a faO/4 je v ukázkové síti připojeno pouze jedno zařízení. Pomocí zabezpečení portů lze bezpečně zajistit, aby po připojení hostitele k portu faO/2 a telefonu k portu faO/3 nebylo možné připojit žádné jiné zařízení. Postup vypadá takto:
Předchozí příkaz nastaví zabezpečení portů faO/3 a faO/4, aby bylo možné přidružit nejvýše jednu MAC adresu. Odesílat rámce prostřednictvím přepínače přitom bude možné pouze z první MAC adresy přidružené k portu. Jestliže by se druhé zařízení s odlišnou MAC adresou pokusilo odeslat rámec do přepínače, port by se vypnul kvůli příkazu v i 01 a t i on. Díky příkazu sticky není nutné zadávat všechny MAC adresy každého zařízení ručně.
Místo vypnutí portu je možné použít dva další režimy. Režim "protect" znamená, že jiný hostitel se může připojit, ale jeho rámce budou prostě zahozeny. Také režim "restrict" je velice efektní - pomocí protokolu SNMP odešle oznámení, že na portu došlo k narušení zásad. Poté můžete narušiteli zavolat a varovat jej, že o všem víte a že je v pěkném průšvihu! Některá spojení mezi přepínači v testovací síti jsou redundantní, takže je lepší u těchto linek aktivovat protokol STP (prozatím). V případě přepínačů Sl a S2 jsou však také k portům faO/3 a faO/4 připojeni hostitelé (neplatí to pro přepínač Core). U těchto portů tedy bude lepší protokol STP vypnout.
Poznámka Pamatujte si, že hostitelé se mohou přímo fyzicky připojit k telefonům z jejich zadní strany, protože telefony jsou obvykle vybaveny konektorem Ethernet. Pro obě zařízení tedy u přepínače postačuje jen jediný port. Podrobněji se tím budeme zabývat v sekci o telefonování v kapitole 9.
PortFast
Pokud u přepínačů zadáme příkaz portfa s t, předejdeme možnému problému, kdy hostitelé nemusí dostat adresu DHCP, když konvergence protokolu STP trvá příliš dlouho a časový limit požadavku DHCP mezitím vyprší. Použijeme tedy příkaz PortFast na portech faO/3 a faO/4 u přepínačů Sl i S2:
Když jsme nyní nakonfigurovali přepínač Sl, vynecháme zatím další výstup, ale přejdeme k přepínači S2, kde rovněž povolíme funkci PortFast na rozhraní faO/3-4. Opět připomeňme, že při práci s funkcí PortFast je nutné dbát opatrnosti - v žádném případě by neměla vzniknout síťová smyčka! Proč? Pokud k tomu totiž dojde, může síť i nadále fungovat (do určité míry), data se budou přenášet mimořádně pomalu a co je nejhorší: odhalení zdroje problémů může trvat velmi dlouho, takže správci tuto situaci nemají vůbec rádi. Postupujte tedy s rozvahou. Bylo by dobré vědět, že lze při práci s funkcí PortFast použít určité bezpečnostní příkazy, které by vyřešily situaci, kdy někdo při konfiguraci portu s povolenou funkcí PortFast neúmyslně vytvoří smyčku. Takové příkazy existují a jejich popis naleznete v následujících odstavcích.
BPDUGuard
Již jsme se tím zabývali: Pokud zapnete funkci PortFast u portu přepínače, lze rozhodně doporučit aktivaci příkazu BPDUGuard. Jestliže port přepínače s povolenou funkcí PortFast přijme datovou jednotku přemosťovacího protokolu, převede daný port do stavu zakázaných chyb. Správce tak k portu přepínače, který má nakonfigurovánu funkci PortFast, nemůže náhodně připojit jiný port přepínače nebo rozbočovače. Tato vlastnost slouží jako prevence (ochrana) před takovou situací, kdy by síť přestala fungovat, nebo by její činnost byla minimálně značně ochromena. Tento příkaz se konfiguruje pouze u přepínačů přístupové vrstvy - přepínačů, ke kterým jsou přímo připojeni uživatelé - takže jej nebudeme konfigurovat u přepínače Core.
BPDUFilter
Další užitečný příkaz související s funkcí PortFast se nazývá BPDUFilter. Port přepínače s povolenou funkcí PortFast ve výchozím nastavení i nadále přijímá datové jednotky přemosťovacího protokolu. Pomocí příkazu BPDUFilter lze proto kompletně zastavit příjem či odesílání těchto datových jednotek na daném portu. Filtrování příkazem BPDUFilter při přijetí datové jednotky přemosťovacího protokolu okamžitě odstaví port funkce PortFast a vynutí, aby se port znovu zapojil do topologie protokolu STP. Oproti příkazu BPDUGuard, který převede port do stavu blokování chyb, ponechá příkaz BPDUFilter port aktivní, ale bez spuštěné funkce PortFast. Jednoduše neexistuje žádný důvod, proč by rozhraní nakonfigurované s funkcí PortFast mělo přijímat datové jednotky přemosťovacího protokolu. Po pravdě řečeno je zvláštní, že příkazy BPDUGuard nebo BPDUFilter nejsou při povolení funkce PortFast zapnuty standardně. Nastavme tedy nyní rozhraní přepínačů Sl a S2, kde je již nakonfigurována funkce PortFast, také s příkazy BPDUGuard a BPDUFilter - nic na tom není:
Uvědomte si, že obvykle se používá buď jeden, nebo druhý příkaz, protože příkazy bpdug ua rd i bpdufi 1 ter mají stejný efekt. Konfigurace obou z nich je proto poněkud nadbytečná. Nastavíme také několik dalších rozšíření protokolu STP B02. 1 d, která lze při jeho konfiguraci použít.
UplinkFast
Uveďme si postup konfigurace funkce UplinkFast u přepínačů přístupové vrstvy (Sl a S2):
Příkaz uplink fast je globální příkaz a je povolen na každém portu.
BackboneFast
Funkci BackboneFast lze u přepínače konfigurovat takto:
Všimněte si, že oproti funkci UplinkFast jsme funkci BackboneFast nastavili u všech přepínačů v síti, nikoli pouze u přepínačů přístupové vrstvy. Pamatujte, že funkce BackboneFast slouží ke zjišťování výpadků linky u vzdáleného přepínače, oproti funkci UplinkFast, která umožňuje zjistit a rychle napravit výpadky linek u lokálního přepínače.
RSTP (802.1 w)
Konfigurace protokolu RSTP je v praxi stejně snadná jako nastavení libovolného jiného rozšíření 802. 1 d. S ohledem na to, nakolik je verze 802. 1 d dokonalejší, byste mohli očekávat složitější konfiguraci, ale tato úměra naštěstí neplatí. Zapněme tedy tuto možnost u přepínače Core a sledujme, co se stane:
Zajímavé ... zdá se, že se prakticky nic nestalo. U obou zbývajících přepínačů je zřejmé, že všechny porty konvergovaly. Po spuštění vše vypadalo stejně. Protokoly 802. 1d a 802. 1w zjevně bez problémů spolupracují. Pokud bychom se pak podívali na technické podrobnosti, zjistili bychom, že přepínač protokolu 802. 1 w zaměnil datové jednotky přemosťovacího protokolu verze 802. 1 w na jednotky verze 802. 1d u portů připojených k jiným přepínačům s protokolem 802. 1d (což platí pro všechny).
Přepínače Sl a S2 předpokládají, že přepínač Core používá verzi protokolu 802. 1 d, protože tento přepínač jim kvůli kompatibilitě opět posílá datové jednotky verze 802. 1 d. Ačkoli přepínače Sl a S2 přijímají datové jednotky přemosťovacího protokolu verze 802. 1 w, nedokáží je zpracovat a jednoduše je zahazují. Přepínač Core však přijímá datové jednotky verze 802. 1d z přepínačů Sl a S2 a pracuje s nimi, protože již ví, na kterých portech má používat verzi protokolu 802. 1 d. Jinými slovy: zapnete-li verzi 802. 1w pouze u jediného přepínače, nijak tím síti nepomůžete!
Malá nepříjemnost spočívá v tom, že jakmile přepínač Core zjistí, že má portům připojeným k přepínačům Sl a S2 posílat datové jednotky přemosťovacího protokolu verze 802.1d, automaticky toto nastavení nezmění ani poté, kdy je později u přepínačů Sl a S2 rovněž nakonfigurována verze 802. 1 w. Aby přepínač Core přestal odesílat datové jednotky verze 802. 1 d, je potřeba jej restartovat.
EtherChannel
Funkci EtherChannel lze nejsnáze nakonfigurovat pomocí nástroje Cisco Network Assistant, což si ukážeme v samém závěru kapitoly. Prozatím zůstaneme u rozhraní příkazového řádku, protože příslušné příkazy potřebujete znát také. Pamatujte, že existují dvě verze funkce EtherChannel - od společnosti Cisco a organizace IEEE. Budeme používat verzi společnosti Cisco a zkompletujeme linky mezi přepínači S 1 a Core. Použijeme při tom globální příkaz interface port - channel a příkazy rozhraní channel group a channel - protocol přepínačů Sl a Core. Postup vypadá takto:
Doplněný příkaz swi tchport nonegot i ate zabrání přepínačům, aby automaticky detekovaly typy linky a automaticky nastavily trunking. Místo toho jsou trunkové linky nakonfigurovány staticky. Dvě linky mezi přepínači S 1 a Core jsou nyní zkompletovány pomocí protokolu PAgP, což je verze funkce EtherChannel vyvinutá společností Cisco. To ale není všechno: ještě musíme konfiguraci přepínačů zkontrolovat a vyzkoušet kořenový most. Teprve poté se můžeme pustit do další kapitoly o sítích VLAN.
Kontrola konfigurace přepínače Catalyst
u každého směrovače nebo přepínače je vhodné nejdříve projít konfiguraci pomocí příkazu show running-config. Proč? Tímto způsobem lze totiž získat dokonalý přehled o vlastnostech každého zařízenÍ. Postup je však časově náročný a výpis všech konfiguračních příkazů by zabral mnoho tištěných stránek. Kromě toho lze spustit jiné příkazy, které poskytují opravdu užitečné informace.
Chcete-li například zkontrolovat IP adresu nastavenou u přepínače, můžete zadat příkaz show interface. Příkaz poskytne tento výstup:
Poznámka Nezapomínejte, že přepínače nevyžadují konfiguraci IP adres. IP adresa, maska a výchozí brána se nastavuje výhradně kvůli správě.
show mac address-table
Určitě si pamatujete, že jsme si tento příkaz již ukázali v předchozí části kapitoly. Příkaz zobrazí tabulku předávání a filtrování, která se také označuje jako tabulka CAM (content addressable memory). Přepínač Sl poskytuje následující výstup:
Přepínače používají takzvané základní MAC adresy přiřazené k procesorům a u přepínače řady 2960s je nastavena hodnota 20. Z předchozího výstupu je zřejmé, že je portu 1 funkce EtherChannel dynamicky přiděleno sedm MAC adres. Portům FaO/3, FaO/8 a FaO/4 je přiřazena pouze jedna MAC adresa a všechny porty jsou při druženy k síti VLAN 1.
Podívejme se, co lze zjistit v tabulce CAM přepínače S2. Pamatujte, že u přepínače S2 není nakonfigurována funkce EtherChannel jako u přepínače Sl, takže protokol STP vypne jednu z redundantních linek k přepínači Core:
Z předchozího výstupu je patrné, že jsou k rozhraní FaO/l přiřazeny čtyři MAC adresy. Samozřejmě je také vidět, že je na portech 3 a 4 k dispozici jedno připojení ke každému hostiteli. Kde je však port 2? Vzhledem k tomu, že port 2 je redundantní spojení, protokol STP umístil rozhraní FaO/2 do režimu blokování. K této záležitosti se hned vrátíme podrobněji.
Přiřazení statických MAC adres
V tabulce MAC adres můžete nastavit statickou MAC adresu, ale podobně jako u statického zabezpečení portů pomocí MAC adres se jedná o spoustu práce. Pokud však chcete, můžete postupovat takto:
show spanning-tree
Nyní již víte, jak důležitý je příkaz s h ow spanning-tree. Pomocí tohoto příkazu lze zjistit kořenový most a nastavené priority pro jednotlivé sítě VLAN. Měli byste vědět, že přepínače Cisco používají funkci zvanou PVST (Per-VLAN Spanning Tree), která v zásadě znamená, že každá síť VLAN pracuje s vlastní instancí protokolu STP. Pokud bychom zadali příkaz s h ow spann i ng-tree, dostali bychom informace o každé síti VLAN počínaje sítí VLAN 1. Řekněme tedy, že máme více sítí VLAN a chceme zjistit, co se děje se sítí VLAN 2. V tomto případě použijeme příkaz show spann i ng- tree v l an 2. Následuje výstup příkazu show spanni ng - t ree z přepínače Sl. Vzhledem k tomu, že používáme pouze síť VLAN I, není nutné v příkazu doplňovat číslo sítě VLAN:
Protože je nakonfigurována pouze síť VLAN I, neposkytuje tento příkaz delší výstup. Kdyby však sítí bylo více, zobrazila by se další stránka pro každou síť VLAN nastavenou u přepínače. Výchozí priorita se rovná 32768, ale existuje hodnota zvaná rozšíření ID systému (sys-idext), která slouží jako identifikátor sítě VLAN. Priorita ID mostu se zvyšuje o číslo dané sítě VLAN. Vzhledem k tomu, že existuje pouze síť VLAN I, dostaneme po přičtení jednotky hodnotu 32769. Mějte však na paměti, že ve výchozím nastavení funkce BackboneFast zvyšuje výchozí prioritu na 49 1 52, aby se daný most nemohl stát kořenovým mostem.
Na začátku výstupu je patrné, které zařízení funguje jako kořenový most:
Kořenovým portem je port 1 funkce EtherChannel. Jedná se tedy o zvolenou trasu ke kořenovému mostu s identifikátorem OOOd.29bd.4b80. To nemůže být nic jiného než přepínač Core nebo S2. Konkrétní zařízení ihned zjistíme. Poslední výstup z příkazu zobrazuje porty s funkčním protokolem STP, které jsou připojeny k jinému zařízení. Protože se používá funkce EtherChannel, nejsou žádné porty blokovány. Chcete-li určit, zda příslušný most funguje jako kořen, můžete například zkontrolovat, zda některé porty nemají uveden stav Altn BLK (což znamená blokované alternativní porty). Kořenový most by nikdy na žádném rozhraní neměl blokovaný port. Všechny porty přepínače Sl však vzhledem ke konfiguraci funkce EtherChannel vykazují stav předávání (FWD).
Určení kořenového mostu
Chceme-li zjistit kořenový most, pochopitelně pOUZl)eme příkaz s how spann i ng· t ree. Podívejme se na další dva přepínače a zkontrolujme, který funguje jako výchozí kořenový most. Všimněte si MAC adresy ID mostu a také priority přepínače Sl. výstup přepínače S2 vypadá takto:
Port FaO/2 je zjevně blokovaný, takže se nemůže jednat o požadovaný kořenový most. Kořenový most nemůže mít žádné blokované porty. Opět věnujte mimořádnou pozornost MAC adrese ID mostu a prioritě. Následuje výstup přepínače Core:
Zamyslete se však nad touto otázkou: proč má přepínač Core výchozí hodnotu 32768 a nikoli 49 1 52 jako jiné přepínače? Používá totiž verzi 802. 1 w protokolu STP a funkce BackBoneFast je ve výchozím nastavení zakázána.
Podívejme se na MAC adresy mostu u jednotlivých přepínačů:
• Adresa S1:00Ib.2b55.7500 • Adresa S2:001a.e2ce.ff00 • Adresa Care: 000d.29bd.4b80
Když zkontrolujete MAC adresy a budete předpokládat, že jsou všechny přepínače nastaveny na výchozí prioritu, který přepínač bude podle vašeho názoru sloužit jako kořenový? Adresy MAC čtěte postupně zleva doprava. Přepínač Core má zjevně nejnižší MAC adresu a při pohledu na výstup příkazu show spanning-tree je patrné, že se skutečně jedná o kořenový most (i když by všechny přepínače měly stejnou prioritu). Doporučuje se porovnáním MAC adres přepínačů čas od času kořenový most kontrolovat.
Nastavení kořenového mostu
Je docela výhodné, že přepínač Core standardně funguje jako kořenový most, protože je z hlediska potenciálního kořene zapojen na optimálním místě. Čistě cvičně však toto nastavení změňme. Postup vypadá takto:
Když snížíte prioritu přepínače Sl na 1 6384, převezme toto zařízení okamžitě roli kořenového mostu. Priority lze nastavit na libovolnou hodnotu v intervalu od O do 61440. Nula (O) znamená, že přepínač bude vždy sloužit jako kořenový most. Hodnota 61440 oproti tomu zajistí, že přepínač se kořenovým mostem nestane nikdy.
Ještě je zde poslední příkaz, se kterým byste se měli seznámit, chcete-li přeskočit na konec této části o kontrole a konfigurace kořenových mostů. Chcete-li však uspět u zkoušky Cisco, rozhodně byste nic vynechávat neměli! Následuje jednoduchý příkaz, kterým můžete přepínač nastavit jako kořenový most:
Uvědomte si, že tento příkaz nezmění nízkou prioritu přepínače - funguje pouze v případě, že všechny přepínače mají nastavenu stejnou nebo vyšší prioritu. Je také potřeba dodat, že toto nastavení je potřeba provést pro každou síť VLAN a že jako kořenové mosty lze nastavit primární a sekundární přepínače. Opravdu je to možné a příslušný postup je rozhodně snazší než ten, který jsme si předvedli v této kapitole. Tato kniha však v prvé řadě slouží jako příprava na zkoušku CCNA, kterou chcete nepochybně složit. Určitě se tedy naučte postup, který jsme si ukázali, i když je obtížnější.
Nástroj CNA (Cisco Network Assistant)
Díky nástroji CNA (Cisco Network Assistant) může být konfigurace přepínačů hračkou, což je stejně jako v případě nástroje SDM zároveň dobrá i špatná zpráva. Je sice snazší vytvářet mnohem komplikovanější konfigurace, ale nevýhoda spočívá v tom, že totéž zvládnou i všichni vaši konkurenti. Přesto může být práce s nástrojem CNA ze začátku trochu náročná. Proto si jej stáhněte a věnujte na seznámení s ním co nejvíce času.
Stačí zvýraznit jeden nebo všechny porty a poté po klepnutí pravým tlačítkem myši zvolit typ zařízení, ke kterému se port nebo jejich skupina bude připojovat. Opravdu šikovná funkce! Na funkci Smartports je však zajímavé, co přesně konfiguruje. Pomocí funkce Smartports lze například nakonfigurovat port 6 přepínače Sl pro připojení k pracovní stanici (tedy počítači PC). Toto jsou příkazy načtené do přepínače:
Páni! Podívejte se na to - při konfiguraci přepínače není vůbec nutné rozumět funkcím, které jsme si v této kapitole popsali. Místo toho stačí zvolit typ zařízení připojeného k rozhraní a přepínač je okamžitě automaticky nakonfigurován s použitím příkazů, které se podle jeho názoru hodí pro daný typ portu. Tato malá hračka svými možnostmi opravdu překvapuje.
Než přejdeme k dalším funkcím nástroje CNA, povězme si něco o konfiguraci, která byla umístěna na rozhraní. Již jsme v této kapitole diskutovali příkazy port-security, spanining -tree portfast a bpduguard, ale nesmíme vynechat další nastavené příkazy macroaport -security agi ng. Makra jsou výchozí programy uložené v nových přepínačích Cisco a spouštěné při nastavení možnosti Smartport. Role příkazu port · security aging odpovídá jeho názvu - nastavuje rychlost stárnutí portu. S příkazem a g i n 9 lze použít dvě možnosti: absolute a inactivity. Možnost absol ute odstraní po uplynutí nastaveného času (od O do 1 440 minut) zabezpečené adresy portu. Možnost i nact i vi ty znamená, že adresy portu budou odstraněny tehdy, jsou-li po konkrétní dobu neaktivní. Také tento interval se nastavuje v minutách mezi O a 1 440. Když tedy zadáte příkaz switchport port · security aging time 2 s příkazem swi tchport port · security aging type i nactivity, budou po dvou minutách odstraněny všechny MAC adresy přidružené k portu. Příkaz switchport port- security violation restrict kromě toho zajistí, že bude odeslána depeše serveru SNMP nebo systému NMS (Network Management Station). Tato možnost sice vypadá poněkud přehnaně, ale přesto může být atraktivní.
Zabezpečení portu rozhraní lze zkontrolovat pomocí tohoto příkazu:
Malý moment - co se zde děje s příkazem macro ? Žádné obavy. Jedná se pouze o příkaz přepínače, který umožňuje vytvářet a spouštět makra. Nové přepínače Cisco mají standardně nakonfigurováno šest z nich. Zvláštní je, že tato makra nelze zobrazit ve spuštěné konfiguraci, ale pouze pomocí příkazu s h ow parser. Toto makro bylo spuštěno na portu fO/6:
Nástroj CNA má mnohem více možností a doporučuji, abyste si jej stáhli a věnovali seznamování s ním co nejvíce času. Nyní musíte uznat, že i když byla tato kapitola obsáhlá, naučili jste se toho hodně. Možná jste si přitom dokonce užili i trochu zábavy. Nakonfigurovali jste a zkontrolovali nastavení všech přepínačů, nastavili zabezpečení portů a prošli jste si rozšíření protokolu STP spolu s nastavením kořenového mostu. Nic tedy nebrání tomu, abyste se dozvěděli všechny podrobnosti o sítích VLAN. Všechny konfigurace přepínačů uložíme, abychom na ně v kapitole 9, "Virtuální sítě LAN (VLAN)" mohli navázat.
Shrnutí
V této kapitole jsme se zabývali rozdíly mezi přepínači a mosty. Ukázali jsme si, že zařízení obou těchto typů fungují na vrstvě 2 a vytvářejí tabulku MAC adres pro filtrování a předávání, která jim umožňuje rozhodovat, zda určitý rámec předají nebo hromadně rozešlou. Diskutovali jsme také problémy, ke kterým může dojít v přítomnosti více linek mezi mosty (přepínači), a jak tyto potíže vyřešit pomocí protokolu STP (Spanning Tree Protocol). Podrobně jsme také popsali konfiguraci přepínačů Cisco Catalyst včetně kontroly konfigurace, nastavení rozšíření protokolu STP od společnosti Cisco a změny kořenového mostu pomocí nastavení jeho priority. Nakonec jsme si prošli nástroj CNA (Cisco Network Assistant), který dokáže mimořádně usnadnit konfiguraci přepínačů.
Klíčové poznatky ke zkoušce
Pamatujte si tři funkce přepínačů - přepínače zajišťují zjišťování adresy, rozhodování o předávání a filtrování a předcházení smyčkám.
Naučte se příkaz show mac address-table - příkaz show mac address - table zobrazí tabulku předávání a filtrování, kterou používá přepínač sítě LAN.
Osvojte si základní účel protokolu STP v přepínané síti LAN - hlavní úlohou protokolu STP je předcházet smyčkám přepínání v síti s redundantními přepínanými trasami.
Pamatujte si stavy protokolu STP - stav blokování zabraňuje vzniku smyček v trasách. Port ve stavu naslouchání je připraven k předání datových rámců bez zaplnění tabulky MAC adres. Port ve stavu zjišťování plní tabulku MAC adres, ale nepředává datové rámce. Port ve stavu předávání odesílá a přijímá všechny datové rámce na přemostěném portu. Nakonec port v zakázaném stavu prakticky nefunguje.
Naučte se příkaz show spanning- tree - musíte zvládnout příkaz show spanning - tree a umět zjistit kořenový most.