Łukasz Wróbel 2E
KONFIGUROWANIE PRZEŁĄCZNIKA
Wprowadzenie
Przełącznik jest urządzeniem sieciowym warstwy 2, pełniącym rolę punktu koncentracji dla
podłączonych stacji roboczych, serwerów, routerów, koncentratorów i innych przełączników.
Koncentrator to starszy typ urządzenia łączącego, w którym także dostępnych jest wiele
portów. Użycie koncentratorów jest jednakże gorszym rozwiązaniem niż użycie
przełączników, ponieważ wszystkie podłączone do koncentratora urządzenia współużytkują
to samo pasmo i domenę kolizyjną. Inną wadą koncentratorów jest ich ograniczenie do pracy
wyłącznie w trybie półdupleksu. W trybie półdupleksu koncentratory mogą w określonym
czasie tylko wysyłać lub odbierać dane, lecz nie mogą wykonywać jednocześnie obu tych
operacji. Przełączniki mogą działać w trybie pełnego dupleksu, w którym mogą jednocześnie
wysyłać i odbierać dane.
Przełączniki są wieloportowymi mostami. Przełączniki są obecnie używane jako standardowa
technologia w sieciach LAN typu Ethernet o topologii gwiazdy. Przełącznik udostępnia wiele
wydzielonych obwodów wirtualnych typu punkt-punkt między podłączonymi urządzeniami
sieciowymi, co wyklucza występowanie kolizji.
Ponieważ przełączniki są urządzeniami najczęściej używanymi w nowoczesnych sieciach,
zrozumienie ich działania i zdobycie umiejętności konfigurowania ich ma szczególne
znaczenie przy obsłudze sieci.
W nowych przełącznikach są wstępnie zdefiniowane domyślne fabryczne ustawienia
parametrów. Taka konfiguracja rzadko odpowiada konkretnym wymaganiom administratorów
sieci. Konfigurowanie i zarządzanie przełącznikami może się odbywać przy użyciu interfejsu
wiersza poleceń CLI (ang. command-line interface). Urządzenia sieciowe mogą być także
konfigurowane i zarządzane za pośrednictwem interfejsu WWW i przeglądarki.
Administratorzy sieci muszą znać wszystkie zadania związane z zarządzaniem sieciami, w
których są używane przełączniki. Do zadań tych należy obsługa przełącznika i
wykorzystywanego na nim systemu operacyjnego IOS. Inne zadania są związane z
zarządzaniem interfejsami i tablicami w celu zapewnienia optymalnego, niezawodnego i
bezpiecznego działania przełączników. Podstawowa konfiguracja przełącznika, aktualizacja
systemu IOS i odzyskiwanie hasła to najważniejsze umiejętności wymagane od
administratora sieci.
Fizyczne uruchomienie przełącznika Catalyst
Teraz zapoznamy się z właściwościami, funkcjami i metodami uruchamiania przełączników.
Przełączniki to dedykowane, wyspecjalizowane komputery z centralną jednostką
obliczeniową CPU, pamięcią RAM i systemem operacyjnym. W przełącznikach jest
zazwyczaj dostępnych wiele portów, do których mogą zostać podłączone hosty, a także
specjalne porty umożliwiające zarządzanie. Istnieje możliwość zarządzania przełącznikami
oraz wyświetlania i modyfikowania ich parametrów konfiguracyjnych przy użyciu portu
konsoli.
Przełączniki zazwyczaj nie są wyposażone w przełącznik zasilania służący do włączania lub
wyłączania. Są one po prostu podłączane do źródła zasilania lub odłączane.
Wskaźniki LED przełącznika
Na panelu czołowym przełącznika znajdują się lampki ułatwiające monitorowanie działania i
wydajności systemu. Lampki te są nazywane diodami LED (ang. light-emitting diodes).
Opisano tu następujące diody LED znajdujące się na panelu czołowym przełącznika:
systemowa dioda LED (ang. System LED),
dioda LED zdalnego zasilania RPS (ang. Remote Power Supply LED),
diody LED trybu wyświetlania (ang. Port Mode LEDs),
diody LED stanu portu (ang. Port Status LEDs).
Systemowa dioda LED wskazuje, czy system jest podłączony do źródła zasilania i działa
poprawnie.
Dioda LED zasilania zdalnego wskazuje, czy jest wykorzystywane zasilanie zdalne.
Diody LED trybu wyświetlania wskazują stan przycisku Mode (Tryb). Tryby są
wykorzystywane do interpretacji wskazań diod LED określających stan portu. Aby wybrać
lub zmienić tryb działania diod stanu portu, należy naciskać przycisk Mode aż do uzyskania
żądanego trybu wyświetlania wskazywanego przez diody trybu wyświetlania.
Dioda
typu
Kolor diody stanu
portu
Opis
Wyłączona
Brak łącza
Światło ciągle zielone
Łącze aktywne
Światło migające
zielone
Port wysyłą lub odbiera dane
Światło zmienne
zielone/pomarańczowe
Awaria łącza
STAT
Światło ciągle
pomarańczowe
Port nie przekazuje danych,
ponieważ funkcja ta została
wyłączone z powodu naruszenia
zasad dotyczących zarządzania lub
obsługi adresów albo zablokowana
przez protokół drzewa opinającego.
UTIL
Wyłączona
Każda wyłączona dioda LED
wskazuje zmniejszenie
przepustowości o połowę wzlędem
przepustowości całkowitej. Diody
LED są wyłączone od strony
prawej do lewej. Jeśli jest
wyłączona pierwsza z prawej dioda
LED, oznacza to, że przełącznik
wykorzystuje mniej niż 50%
całkowitej przepustowości. Jęsli są
wyłączone dwie diody LED
położone po prawej stronie,
oznacza to, że przełącznik
wykorzystuje mniej niź 25%
całkowitej przepustowości.
Świtło zielone
Jeśli wszystkie doidy LED są
zielone, przełącznik wykorzystuje
50% całkowitej przepustowości lub
więcej.
Wyłączona
Port działa z szybkością 10Mb/s
Światło zielone
Port działa z szybkością 100Mb/s
SPEED
Światło migające
zielone
Port działa z szybkością 1000Mb/s
Wyłączona
Port działa w trybie półdupleksu
DUPLX
Światło zielone
Port działą w trybie pełnego
dupleksu
Wykorzystanie diod LED portów podczas testów POST
przełącznika
Po podłączeniu kabla zasilania w przełączniku jest przeprowadzany szereg testów
określanych jako testy POST (ang. power-on self test). Testy POST są wykonywane
automatycznie w celu sprawdzenia poprawności działania przełącznika. Powodzenie lub
niepowodzenie testów POST jest wskazywane przez systemową diodę LED. Jeśli systemowa
dioda LED nie świeci, a przełącznik jest podłączony do źródła zasilania, oznacza to, że są
wykonywane testy POST. Jeśli systemowa dioda LED ma kolor zielony, oznacza to, że testy
POST zostały zakończone pomyślnie. Jeśli systemowa dioda LED ma kolor żółty, oznacza to,
że testy POST nie zostały zakończone pomyślnie. Niepowodzenie podczas testów POST jest
uważane za błąd krytyczny. Nie należy oczekiwać poprawnego działania przełącznika, jeśli
wykonanie testów POST zakończyło się niepowodzeniem.
Podczas wykonywania testów POST zmianie ulegają także diody LED określające stan
portów. Diody LED stanu portów mają kolor żółty przez około 30 sekund; w tym czasie
przełącznik wykrywa topologię sieci i wyszukuje pętle. Jeśli kolor diod LED stanu portów
ulegnie zmianie na zielony, będzie to oznaczać, że zostało ustanowione połączenie między
portem a urządzeniem docelowym, na przykład komputerem. Jeśli diody LED stanu portów
zostaną wyłączone, będzie to oznaczać, że w przełączniku nie zostały wykryte żadne
urządzenia podłączone do portów.
Wyświetlenie danych wyjściowych wygenerowanych przy
pierwszym uruchomieniu przełącznika
Aby skonfigurować przełącznik lub sprawdzić jego stan, należy podłączyć do niego komputer
i ustanowić sesję komunikacyjną. Za pomocą kabla do konsoli (rollover) należy połączyć port
konsoli znajdujący się z tyłu przełącznika z portem COM znajdującym się z tyłu komputera.
Uruchom na komputerze program HyperTerminal. Zostanie wyświetlone okno dialogowe.
Podczas konfigurowania po raz pierwszy połączenia programu HyperTerminal z
przełącznikiem należy najpierw określić nazwę połączenia. Z menu rozwijanego wybierz port
COM, do którego jest podłączony przełącznik, a następnie kliknij przycisk OK. Zostanie
wyświetlone drugie okno dialogowe. Ustaw parametry połączenia, a następnie kliknij
przycisk OK.
Podłącz przełącznik do źródła zasilania. W oknie programu HyperTerminal powinny zostać
wyświetlone dane wyjściowe wygenerowane przy pierwszym uruchomieniu przełącznika. Te
dane wyjściowe zawierają informacje o przełączniku, szczegółowe informacje o stanie testów
POST oraz informacje dotyczące sprzętu.
Po uruchomieniu przełącznika i zakończeniu testów POST zostaną wyświetlone monity
dialogu konfiguracji systemu (ang. System Configuration). Przełącznik może zostać
skonfigurowany ręcznie przy użyciu dialogu konfiguracji systemu lub bez jego pomocy.
Dialog konfiguracji systemu przełącznika jest mniej złożony niż ten na routerze.
Korzystanie z systemu pomocy przełącznika
Interfejs wiersza poleceń przełączników Cisco jest bardzo podobny do interfejsu wiersza
poleceń dostępnego w routerach firmy Cisco.
Aby wywołać system pomocy, należy wprowadzić znak zapytania (?).Po wprowadzeniu tego
znaku wyświetlana jest lista poleceń dostępnych w bieżącym trybie.
System pomocy jest bardzo elastyczny. Aby uzyskać listę poleceń rozpoczynających się od
konkretnego ciągu znaków, należy wprowadzić te znaki, a następnie znak zapytania (?). Nie
należy wstawiać spacji przed znakiem zapytania. Ta forma pomocy jest określana jako pomoc
na temat słowa (ang. word help), ponieważ wyszukiwane jest słowo kluczowe, w którym na
początku występuje wprowadzona właśnie sekwencja znaków.
Aby wyświetlić listę słów kluczowych lub argumentów związanych z określonym
poleceniem, należy wprowadzić jedno lub więcej słów związanych z tym poleceniem, a
następnie spację i znak zapytania (?). Ta forma pomocy jest określana jako pomoc na temat
składni polecenia, ponieważ umożliwia ona uzyskanie dostępnych słów kluczowych lub
argumentów związanych z określonym poleceniem.
Tryby poleceń przełącznika
Opisano tu dwa tryby poleceń przełącznika. Trybem domyślnym jest tryb EXEC
użytkownika. Tryb EXEC użytkownika można rozpoznać po symbolu zachęty, w którym na
końcu występuje znak "większe niż" (>). W trybie EXEC użytkownika liczba poleceń jest
ograniczona, ponieważ są dostępne tylko polecenia służące do modyfikowania ustawień
terminala, wykonywania podstawowych testów i wyświetlania informacji o systemie.
Polecenie enable służy do przełączania z trybu EXEC użytkownika do uprzywilejowanego
trybu EXEC. Uprzywilejowany tryb EXEC można także rozpoznać po symbolu zachęty, w
którym na końcu występuje znak kratki (#). W zestawie poleceń uprzywilejowanego trybu
EXEC dostępne jest polecenie configure, a także wszystkie polecenia dostępne w trybie
EXEC użytkownika. Polecenie configure umożliwia uzyskanie dostępu do pozostałych
trybów poleceń. Ponieważ tryby te służą do konfigurowania przełącznika, dostęp do
uprzywilejowanego trybu EXEC powinien być chroniony hasłem, aby zapobiec
nieuprawnionemu wykorzystaniu tego trybu. W przypadku ustawienia hasła przed
udzieleniem użytkownikowi dostępu do uprzywilejowanego trybu EXEC wyświetlany jest
monit o wprowadzenie hasła. Hasło nie jest wyświetlane na ekranie i jest w nim rozróżniana
wielkość liter.
Sprawdzenie konfiguracji domyślnej przełącznika Catalyst
Podczas pierwszego uruchamiania przełącznika w pliku bieżącej konfiguracji znajdują się
ustawienia domyślne przełącznika. Nazwa domyślna hosta to Switch. Dla linii konsoli i linii
terminala wirtualnego (vty) nie są ustawione żadne hasła.
Przełącznikowi może zostać nadany adres IP ułatwiający zarządzanie. Adres ten jest
konfigurowany dla interfejsu wirtualnego VLAN 1. Domyślnie dla przełącznika nie jest
określony żaden adres IP.
Porty lub interfejsy przełącznika działają w trybie automatycznym i wszystkie porty
przełącznika znajdują się w sieci VLAN 1. Sieć VLAN 1 jest określana jako domyślna sieć
VLAN zarządzania.
W katalogu pamięci Flash domyślnie znajduje się plik z obrazem systemu IOS, plik o nazwie
env_vars oraz podkatalog o nazwie html. Po skonfigurowaniu przełącznika w tym katalogu
będzie się znajdował plik o nazwie config.text, a także baza danych VLAN. W katalogu w
pamięci Flash nie znajduje się plik config.text ani plik bazy danych VLAN o nazwie vlan.dat.
Wersję systemu IOS i ustawienia rejestru konfiguracji można sprawdzić za pomocą polecenia
show version.
W tym domyślnym stanie z przełącznikiem jest związana jedna domena rozgłoszeniowa; do
zarządzania przełącznikiem oraz konfigurowania go przy użyciu portu konsoli może posłużyć
interfejs wiersza poleceń. Włączony jest także protokół STP (Spanning Tree Protocol), który
umożliwia mostowi utworzenie topologii bez pętli w rozszerzonej sieci LAN.
W przypadku małych sieci ta konfiguracja domyślna może być wystarczająca. Natychmiast
uzyskiwana jest lepsza wydajność wynikająca z zastosowania mikrosegmentacji.
Konfigurowanie przełącznika Catalyst
Możliwe, że przełącznik jest już wstępnie skonfigurowany i może być tylko wymagane
podanie haseł w celu uzyskania dostępu do trybu EXEC użytkownika lub uprzywilejowanego
trybu EXEC. Dostęp do trybu konfiguracji przełącznika jest możliwy tylko w
uprzywilejowanym trybie EXEC.
W interfejsie wiersza poleceń domyślnym symbolem zachęty uprzywilejowanego trybu
EXEC jest Switch#. W trybie EXEC użytkownika domyślnym symbolem zachęty jest Switch
>.
Wykonanie poniższych czynności zapewni całkowite zastąpienie bieżących ustawień
konfiguracyjnych nowymi ustawieniami:
Aby usunąć bieżące informacje o sieciach VLAN, usuń z katalogu w pamięci flash
plik bazy danych VLAN o nazwie vlan.dat. delete flash:vlan.dat
Skasuj zapasowy plik konfiguracyjny o nazwie startup-config. erase starup-config
Uruchom ponownie przełącznik, używając polecenia reload.
Zagadnienia związane z ochroną, dokumentacją i zarządzaniem są istotne w przypadku
każdego urządzenia sieciowego.
Dla przełącznika należy określić nazwę hosta, a dla linii konsoli i linii terminala wirtualnego
(vty) należy określić hasła.
Aby zapewnić dostęp do przełącznika za pośrednictwem usługi Telnet lub innych aplikacji
TCP/IP, należy mu przypisać adres IP. Przełącznikowi należy przypisać bramę domyślną, aby
podczas pracy przy użyciu interfejsu wiersza poleceń dostępne były inne sieci.
Domyślnie sieć VLAN 1 jest siecią VLAN służącą do zarządzania. Sieć VLAN zarządzająca
jest stosowana do zarządzania wszystkimi urządzeniami sieciowymi w danej sieci. W sieci
opartej na przełącznikach wszystkie urządzenia sieciowe powinny znajdować się w sieci
VLAN zarządzającej. Domyślnie wszystkie porty należą do sieci VLAN 1. Dobrą praktyką
jest usunięcie wszystkich portów dostępowych z sieci VLAN 1 i umieszczenie ich w innej
sieci VLAN. Pozwala to na zarządzanie urządzeniami sieciowymi przy jednoczesnym
odizolowaniu stacji roboczych od sieci VLAN zarządzającej.
W przypadku portów przełącznika przeznaczonych do obsługi sieci Fast Ethernet są
domyślnie włączone funkcje autonegocjacji szybkości oraz trybu dupleksu. Pozwala to
interfejsom na wynegocjowanie odpowiednich ustawień. W razie potrzeby administratorzy
sieci mogą skonfigurować ręcznie szybkość interfejsu i ustawienia dotyczące trybu dupleksu
następującymi poleceniami:duplex full i speed <kb/s>.
W niektórych urządzeniach sieciowych może być dostępny interfejs konfiguracyjny WWW
służący do konfigurowania i zarządzania. Po skonfigurowaniu w przełączniku adresu IP i
bramy, jest możliwe uzyskanie dostępu do przełącznika za pośrednictwem interfejsu WWW.
Przeglądarka WWW może uzyskać dostęp do tej usługi przy użyciu podanego adresu IP i
portu 80 (portu domyślnego dla protokołu HTTP). Istnieje możliwość włączenia lub
wyłączenia usługi HTTP, a także możliwość wyboru adresu portu dla tej usługi.
ip http server
ip http port <0-65535 >
Istnieje możliwość pobrania dowolnego dodatkowego oprogramowania (np. apletu) z
przełącznika do przeglądarki. Istnieje także możliwość zarządzania siecią przy użyciu
graficznego interfejsu użytkownika (GUI) działającego w przeglądarce.
Zarządzanie tablicą adresów MAC
Przełączniki badają adresy źródłowe ramek odbieranych na portach w celu uzyskania adresów
MAC komputerów PC lub stacji roboczych podłączonych do tych portów. Uzyskane w ten
sposób adresy MAC są następnie zapisywane w tablicach adresów MAC. Ramki zawierające
docelowy adres MAC równy adresowi MAC zapisanemu w tablicy mogą zostać przekazane
do odpowiedniego interfejsu.
W celu wyświetlenia adresów uzyskanych przez przełącznik, należy w uprzywilejowanym
trybie EXEC użyć polecenia show mac-address-table.
Przełącznik dynamicznie poznaje i zapisuje tysiące adresów MAC. Aby zachować miejsce w
pamięci i zapewnić optymalne działanie przełącznika, uzyskane wpisy mogą zostać usunięte z
tablicy adresów MAC. Urządzenia mogą zostać odłączone od portu, wyłączone lub
przeniesione do innego portu tego samego lub innego przełącznika. To może spowodować
zamieszanie podczas przekazywania ramek. Z tego powodu, jeśli w ciągu 300 sekund nie
zostaną odebrane ramki od urządzeń, których adres został uprzednio uzyskany i zapisany w
tablicy adresów MAC, wpis dotyczący tego adresu jest automatycznie usuwany (ulega
przedawnieniu).
Zamiast czekać na przedawnienie dynamicznych wpisów, administratorzy sieci mogą usunąć
wpisy przy użyciu polecenia clear mac-address-table w uprzywilejowanym trybie EXEC.
Polecenie to może służyć także do usunięcia wpisów adresów MAC skonfigurowanych przez
administratorów sieci. Ta metoda czyszczenia wpisów tablic zapewnia natychmiastowe
usunięcie niepoprawnych adresów.
Konfigurowanie statycznych adresów MAC
Administrator może w sposób trwały przypisać adres MAC do interfejsu. Istnieją następujące
przyczyny, dla których adres MAC jest trwałe przypisywany do interfejsu:
określony adres MAC nie ulegnie automatycznie przedawnieniu w przełączniku,
specyficzny serwer lub stacja robocza użytkownika o znanym adresie MAC musi być
podłączona do określonego portu,
podniesieniu ulega poziom bezpieczeństwa.
Do skonfigurowania statycznego adresu MAC w przełączniku może zostać użyte następujące
polecenie:
Switch(config)#mac-address-table static << adres mac hosta > interface FastEthernet <
identyfikatorEthernet > vlan < nazwa sieci vlan >
Do usunięcia statycznego adresu MAC zdefiniowanego w przełączniku może zostać użyte
następujące polecenie:
Switch(config)#no mac-address-table static < adresmac hosta > interface FastEthernet <
identyfikatorEthernet > vlan < nazwa sieci vlan >
Konfigurowanie ustawień dotyczących bezpieczeństwa
portu
Omówimy teraz przyczyny, dla których ważne jest bezpieczeństwo portów, oraz metody
konfigurowania ustawień w przełączniku Catalyst 2900 związanych z bezpieczeństwem.
Administratorzy sieci są odpowiedzialni za zapewnienie bezpieczeństwa sieci. Dostęp do
portów przełączników działających w warstwie dostępu jest realizowany za pośrednictwem
okablowania strukturalnego z gniazdami ściennymi. Każdy użytkownik może podłączyć
komputer PC lub komputer przenośny do jednego z tych gniazd. Jest to potencjalny punkt
dostępu do sieci, który może zostać wykorzystany przez nieuprawnionych użytkowników. W
przełącznikach jest dostępna funkcja bezpieczeństwa portu. Istnieje możliwość ograniczenia
liczby adresów uzyskiwanych z interfejsu. Przełącznik może zostać skonfigurowany tak, aby
było wykonywane odpowiednie działanie, gdy nastąpi naruszenie tego ograniczenia.
Bezpieczne adresy MAC mogą zostać skonfigurowane statycznie. Jednakże statyczne
skonfigurowanie bezpiecznych adresów MAC to złożone zadanie, przy którym często
popełniane są błędy.
Alternatywne rozwiązanie polega na ustawieniu bezpieczeństwa portu w interfejsie
przełącznika. Istnieje możliwość ograniczenia liczby adresów MAC dla portu do 1. Pierwszy
dynamicznie uzyskany przez przełącznik adres staje się adresem bezpiecznym.
Aby wyłączyć funkcję bezpieczeństwa portu w interfejsie, należy użyć polecenia ze słowem
kluczowym no.
Do sprawdzenia stanu funkcji bezpieczeństwa portu może posłużyć polecenie show port
security.
Dodanie przełącznika, przeniesienie go lub dokonanie
modyfikacji
Następujące parametry powinny zostać skonfigurowane w nowym przełączniku, który ma
zostać dodany do sieci:
nazwa przełącznika,
adres IP przełącznika w sieci VLAN służącej do zarządzania,
domyślna brama,
hasła dla poszczególnych linii.
Gdy host przenoszony jest z jednego portu przełącznika do innego, należy wyeliminować
ustawienia konfiguracyjne, które mogłyby spowodować nieoczekiwane działania. Następnie
przełącznik może zostać skonfigurowany ponownie w celu odzwierciedlenia zaistniałych
zmian.
Zarządzanie plikiem systemu operacyjnego przełącznika
Administratorzy sieci są odpowiedzialni za dokumentowanie i zarządzanie operacyjnymi
plikami konfiguracyjnymi urządzeń sieciowych. Administrator powinien tworzyć kopię
zapasową aktualnego pliku konfiguracyjnego i przechowywać ją na serwerze lub dysku.
Wykonanie tej czynności ma istotne znaczenie nie tylko dla celów prowadzenia
dokumentacji, ale również dla zapewnienia możliwości odtworzenia konfiguracji w wypadku
awarii.
Na serwerze lokalnym powinna znajdować się także kopia zapasowa pliku obrazu systemu
IOS. Wówczas w razie potrzeby będzie możliwe załadowanie obrazu IOS do pamięci flash.
Podsumowanie
Istnieje wiele podobieństw między przełącznikami i routerami. W obu typach urządzeń są
używane podstawowe podzespoły komputerowe, takie jak procesor CPU, pamięć RAM i
system operacyjny. Dostępnych jest kilka portów używanych do podłączenia hostów lub
służących do zarządzania. Diody LED na panelu czołowym przełącznika pokazują stan
systemu, stan zasilania zdalnego, tryb wyświetlania i stan portu. Po włączeniu przełącznika są
wykonywane automatycznie testy POST w celu sprawdzenia poprawności działania
przełącznika. Za pomocą programu HyperTerminal można skonfigurować przełącznik lub
sprawdzić jego stan.
Inną cechą łączącą przełączniki i routery Cisco jest wykorzystanie interfejsu wiersza poleceń
CLI. Aby uzyskać pomoc, należy wprowadzić znak zapytania (?). Zostanie wyświetlona lista
dostępnych poleceń. W przypadku przełączników jest dostępna pomoc na temat określonego
słowa kluczowego i pomoc na temat składni polecenia.
Tryby poleceń przełączników są takie same, jak tryby poleceń routerów. Trybem domyślnym
jest tryb EXEC użytkownika, który można rozpoznać po symbolu "większe niż" (>).
Polecenie enable służy do przełączenia z trybu EXEC użytkownika do uprzywilejowanego
trybu EXEC, który można rozpoznać po symbolu kratki (#). Dostęp do uprzywilejowanego
trybu EXEC powinien być chroniony hasłem, aby zapobiec nieuprawnionemu wykorzystaniu
tego trybu. Polecenie configure umożliwia uzyskanie dostępu do pozostałych trybów
poleceń.
Przy pierwszym włączeniu przełącznika są wykorzystywane domyślne dane. Aby zapewnić
możliwość zarządzania przełącznikiem, jest konieczne przypisanie mu adresu IP. Aby
wyświetlić wersję oprogramowania IOS i ustawienia rejestru konfiguracyjnego, należy użyć
polecenia show version.
Po skonfigurowaniu w przełączniku adresu IP i bramy, jest możliwe uzyskanie dostępu do
tego przełącznika za pośrednictwem interfejsu WWW. Umożliwia to zdalne konfigurowanie
przełącznika i zarządzanie nim. Usługa ta jest dostępna za pośrednictwem przeglądarki
WWW przy użyciu odpowiedniego adresu IP i portu 80 (domyślny port protokołu HTTP).
Przełącznik dynamicznie poznaje i zapisuje tysiące adresów MAC. Jeśli w ciągu 300 sekund
nie zostaną odebrane ramki od urządzeń, których adresy zostały uprzednio uzyskane i
zapisane w tablicy adresów MAC, wpisy tych adresów są automatycznie usuwane (ulegają
przedawnieniu). Istnieje możliwość ręcznego wyczyszczenia tablic adresów przy użyciu
polecenia clear mac-address-table wprowadzonego w uprzywilejowanym trybie EXEC.
Przypisanie trwałego adresu MAC do interfejsu zapewnia, że określony adres MAC nie
ulegnie automatycznie przedawnieniu w przełączniku, oraz zwiększa poziom bezpieczeństwa.
Do sprawdzenia stanu funkcji bezpieczeństwa portu może posłużyć polecenie show port
security.
Dla nowego przełącznika, który jest dodawany do sieci, należy zdefiniować nazwę
przełącznika, adres IP, domyślną bramę i hasła dla poszczególnych linii. Gdy host jest
przenoszony z jednego portu przełącznika do innego, należy wyeliminować ustawienia
konfiguracyjne, które mogłyby spowodować nieoczekiwane działania. Należy prowadzić
dokumentację bieżącej konfiguracji i okresowo tworzyć kopie zapasowe na serwerze lub
dysku.
Wykaz komend konfiguracyjnych
protokołu VTP — switche 2950 i
3550
Podstawy konfiguracji switcha
S>
enable
Przejdź w tryb administratora (możliwa konieczność
podania
hasła)
S#
configure terminal
Przejdź w tryb konfiguracji switcha
S(config)#
exit
Wyjdź z trybu konfiguracji switcha
Usuwanie konfiguracji switcha
S#
delete flash:vlan.dat
Usuń informację o sieciach wirtualnych
S#
erase startup-config
Usuń konfigurację startową
S#
reload
Zrestartuj switcha
Konfiguracja sieci wirtualnych
S#
vlan database
Wejdź w tryb konfiguracji sieci wirtualnych
S(vlan)#
vlan
id
name
nazwa
Stwórz sieć wirtualną o podanym numerze i nazwie
S(vlan)#
vlan
...
Stwórz kolejną sieć wirtualną
S(vlan)#
exit
Wyjdź z trybu konfiguracji sieci wirtualnych
S(config)#
vlan
id
Stwórz sieć wirtualną o podanym numerze i nazwie
S(config-vlan)#
name
nazwa
Nadaj nazwę tworzonej sieci wirtualnej
S(config-vlan)#
exit
S(config)#
vlan ...
Stwórz kolejną sieć wirtualna
Konfiguracja protokołu VTP
S#
vlan database
Wejdź w tryb konfiguracji sieci wirtualnych
S(vlan)#
vtp domain
nazwa
Ustaw nazwę domeny VTP
S(vlan)#
vtp server|client|transparent
Ustaw tryb pracy switcha
S(vlan)#
vtp password
passwd
Ustaw hasło dla domeny VTP
S(vlan)#
vtp v2-mode
Ustaw wersję VTP na 2
S(vlan)#
exit
Wyjdź z trybu konfiguracji sieci wirtualnych
S(config)#
vtp domain
nazwa
Ustaw nazwę domeny VTP
S(config)#
vtp mode
server|client|transparent
Ustaw tryb pracy switcha
S(config)#
vtp password
passwd
Ustaw hasło dla domeny VTP
S(config)#
vtp version 1|2
Ustaw numer wersji protokołu VTP
S(config)#
exit
Wróć do trybu administratora
Przypisywanie interfejsu do sieci wirtualnej
S(config)#
interface fastethernet 0/1
Przejdź w tryb konfiguracji interfejsu fastethernet
S(config-if)#
switchport mode access
Ustaw interfejs w tryb ‘zwykły’
S(config-if)#
switchport access vlan
numer
Przypisz interfejs do sieci wirtualnej o podanym nu
merze
S(config-if)#
exit
Wyjdź z trybu konfiguracji interfejsu
S(config)#
interface fastethernet 0/2
Konfiguruj kolejny interfejs fastethernet
S(config-if)#
switchport ...
S(config-if)#
end
Wróć do trybu administratora
Konfiguracja łącza trunk
S(config)#
interface fastethernet 0/1
Przejdź w tryb konfiguracji interfejsu fastethernet
S(config-if)#
switchport mode trunk
Ustaw interfejs w tryb ‘trunk’
S(config-if)#
switchport trunk
encapsulation [isl|dot1q]
Ustaw sposób enkapsulacji przesyłanych danych (tylk
o dla 3550)
S(config-if)#
exit
Wyjdź z trybu konfiguracji interfejsu
S(config)#
interface fastethernet 0/2
Konfiguruj kolejny interfejs fastethernet
S(config-if)#
switchport ...
S(config-if)#
end
Wróć do trybu administratora
Konfiguracja łącza trunk na routerze
R(config)#
interface fastethernet
mod/port.subif
Przejdź w tryb konfiguracji podinterfejsu
R(config-subif)#
encapsulation dot1Q|isl
vlan_id
Ustaw enkapsulację i przynależność do VLAN-u
R(config-subif)#
ip address
addr mask
Ustaw adres IP
R(config-subif)#
exit
Wyjdź z trybu konfiguracji podinterfejsu
Przeglądanie konfiguracji
S#
show vlan [brief | id
number
]
Pokaż informacje na temat stworzonych sieci wirtual
nych
S#
show interfaces
id
switchport
Pokaż informacje na temat określonego portu
S#
show interfaces status
Pokaż status interfejsów
S#
show interfaces trunk
Pokaż informacje na temat łączy typu trunk
S#
show running-config interface
id
Pokaż informacja na temat określonego portu
S#
show vtp status
Pokaż status domeny VTP
S#
show vtp counters
Pokaż informacje na temat przesyłanych pakietów VTP
S#
show vtp password
Pokaż hasło dla domeny VTP
S#
debug sw-vlan vtp events
Debuguj zdarzenia VTP
S#
debug sw-vlan vtp packets
Debuguj pakiety (zawartość) VTP
Katedra Informatyki AGH, GOOGLE.COM