Definicja przełącznika

Przełącznik to urządzenie łączące segmenty sieci komputerowej pracuje ono głównie w drugiej warstwie modelu ISO/OSI. Przełącznik ma za zadanie przekazywanie ramki pomiędzy segmentami sieci i dobór odpowiedniego portu przełącznika, na który ma zostać przesłana ramka. Przełączniki przekazują informacje wyłącznie do docelowego segmentu sieci, umożliwiają połączenie wielu segmentów w strukturę gwiazdy i działają w trybie dupleks.

• Cut-trough – W tym trybie przełącznik zaczyna przesyłać ramkę przed otrzymaniem jej w całości.

• Store and forward – sposób w którym przełącznik odbiera całość ramki, sprawdza ją korzystając z sum kontrolnych, po czym przesyła informacje do punktu docelowego

• Fragment free – ramka przesyłana jest przez przełącznik odpowiednim portem natychmiast gdy zostanie sprawdzony adres MAC.

• Przełączenie adaptacyjne – według obciążenia wybierany jest jeden z wyżej wymienionych wariantów przesyłu

Sposób działania

Przełącznik dzieli sieć komputerową na segmenty. Polega to głownie na tym, że jeśli w jakimś segmencie sieci wystąpi transmisja danych angażowany jest jedynie dany segment sieci, a ruch nie jest widoczny poza nim. Poprawia to w dużym stopniu działanie sieci poprzez zmniejszenie natężenia ruch i wystąpienia kolizji. Przełączniki tworzą tablice adresów MAC węzłów danego segmentu sieci. Informacje te zapisywane są w pamięci CAM. Użytkownik otrzymuje dzięki temu całą szerokość pasma i na jego port przesyłane są wyłącznie dane skierowane do niego.

Tryby pracy

W interfejsie CLI jest używana struktura hierarchiczna. Struktura ta wymaga przejścia do odpowiedniego trybu w celu wykonania określonych poleceń. Na przykład aby skonfigurować interfejs, należy włączyć tryb konfiguracji konkretnego interfejsu. Wszystkie zmiany wprowadzone, będą się odnosić jedynie do wybranego interfejsu. Każdy z trybów posiada specjalny symbol (tzw. symbol zachęty) i umożliwia wprowadzenie tylko tych poleceń, które są przypisane dla danego trybu. System IOS udostępnia usługę interpretacji poleceń o nazwie EXEC. Po wprowadzeniu polecenia usługa sprawdza jego poprawność i wszczyna procedurę jej wykonania. W celu zapewnienia bezpieczeństwa w systemie Cisco IOS występują dwa poziomy dostępu do EXEC. Są to tryby EXEC użytkownika oraz EXEC uprzywilejowany.

Wstępna konfiguracja

Wstępna konfiguracja przełącznika polega na skonfigurowaniu odpowiednich parametrów urządzenia takich jak:

• Nazwa przełącznika

• Brama Sieciowa

• Haseł dostępu do urządzenia:

  • Jawne

  • Sekretne

Nadanie nazwy

Pierwszym zadaniem jakie powinno się poczynić podczas konfigurowania przełącznika sieciowego jest nadanie mu unikalnej nazwy. Dokonuje się tego poprzez polecenie ‘hostname wybrana_nazwa’, polecenia można wykonać jedynie w trybie konfiguracji globalnej.

Brama sieciowa

Następnym krokiem w konfiguracji przełącznika jest ustawienie bramy sieciowej. W przełączniku sieciowy Cisco dokonuje się tego za pomocą polecenia ‘ip default-gateway’, aby wykonać to polecenia trzeba znajdować się w trybie konfiguracji globalnej. Dzięki temu przełącznik w razie problemów może przekierować przesyłaną wiadomość na bramę domyślną.

Ustawienie haseł dostępu

Hasło konsolowe

W celu ustawienia hasła do linii konsoli używa się polecenia ‘password haslo’, polecenie te wykonujemy w trybu linii konsoli aby dostać się do tego trybu należy wpisać polecenie ‘line console 0’, całą procedurę kończymy poleceniem ‘login’. Po ustawieniu hasła, wejście do konsoli jest możliwe tylko po wpisaniu odpowiedniego hasła.

Hasło jawne do trybu uprzywilejowanego

Istnieją również polecenia, które umożliwiają nadanie hasła dla uprzywilejowanego trybu EXEC. Nadanie takiego hasło można wykonać na dwa sposoby przez polecenie ‘enable password haslo’ i ‘enable secret haslo’. Oba te sposoby spowodują nadanie hasła do trybu uprzywilejowanego, jednakże hasło nadane metodą ‘enable password’ nie jest szyfrowane, co powoduje, że jest ono widoczne w pliku konfiguracyjnym przełącznika.

Hasło szyfrowane do trybu uprzywilejowanego

Ustawienie hasła poleceniem ‘enable secret’, również uniemożliwi dostanie się do trybu uprzywilejowanego, jednak nie będzie ono widoczne po wpisaniu polecenia

‘show running-config’.

VLAN

VLAN (ang. Virtual Local Area Network, pol. Wirtualna Sieć Lokalna) jest siecią komputerową wydzieloną logicznie w ramach innej sieci. Aby skonfigurować sieć VLAN potrzeba przełącznika, który jest konfigurowalny. Komunikacja między wirtualnymi sieciami jest możliwa, gdy w takiej sieci występuje port łączący się bezpośrednio z routerem lub z wykorzystaniem przełącznika, który jest skonfigurowany do warstwy trzeciej modelu OSI. Sieci VLAN konfiguruje się na przełącznikach, urządzeniach sieciowych drugiej warstwy modelu ISO/OSI. Jedna wirtualna sieć lokalna może obejmować swym zasięgiem wiele przełączników, a w najprostszym przypadku tylko jedne przełącznik sieciowy. Identyfikatorem sieci VLAN jest liczba całkowita (VLAN ID np.VLAN 4).

Tworzenie nowego VLAN’u

Aby utworzyć nową sieć wirtualną należy w trybie konfiguracji globalnej wydać polecenie ‘vlan ID’, polecenie to określa numer tworzonego VLAN’u, oraz opcjonalnie ‘name nazwa_VLANU’.

Dodanie interfejsu

Dodanie interfejsu do utworzonego wcześniej VLAN’u sprowadza się do określenia konkretnego portu, który chcemy dodać, oraz VLAN’u, do którego chcemy dołączyć ten port.

VLAN Trunk

Trunk to połączenie point-to-point (pol. Punkt-Punkt) pomiędzy dwoma urządzeniami sieciowymi zdolnymi do przenoszenia informacji z więcej niż jednej wirtualnej sieci. Port na którym znajduje się VLAN trunk nie jest tworzony automatycznie i nie jest przypisany do określonego portu, to administrator decyduje na który port ma pracować w trybie trunk.

Cisco VLAN Trunking Protocol (VTP)

Protokół VTP (ang. Virtual Local Area Network Trunking Protocol, pol. Protokół tagowania wirualnel sieci lokalnej) służy do zarządzania wieloma wirtualnymi sieciami na jednym łączu fizycznym i jest automatycznie włączony.

Protokół ten działa w jednym z trzech trybów:

- Tryb serwera, jest to domyślny tryb protokołu VTP. Wszystkie wprowadzone zmiany zostają rozsyłane do innych urządzeń pracujących w sieci,

- Tryb transparentny w tym trybie istniej możliwość edycji sieci wirtualnych, jednakże zmiany mają wpływ tylko na przełącznik lokalny. Przełącznik nie jest w stanie przetwarzać ani tworzyć ogłoszenia

- Tryb klienta ten tryb pracy nie daje możliwości edytowania ustawień sieci VLAN. Informacje o VLAN’ach są synchronizowane z innymi klientami i serwerami VTP.

Konfiguracja VTP

Konfiguracja VTP sprowadza się do ustawienia jednego z wyżej wymienionych trybów pracy, nazwy domeny i nadaniu hasła. Na przełącznikach nie ma możliwości wyłączenia VTP, dlatego jeżeli użytkownik nie chce dalej przesyłać rozgłoszeń należy ustawić VTP w trybie transparentnym. Zanim dwa przełączniki zaczną wymieniać między sobą informacje VTP muszą zostać spełnione trzy warunki:

- Połączenie VLAN trunk musi zostać skonfigurowane pomiędzy przełącznikami

- Nazwa domeny VTP musi być identyczna na oby przełącznikach

- Po obu stronach musi zostać skonfigurowane te samo hasło, hasło nie jest nigdy transmitowane tekstem jawnym.

Routing Trzy sposoby routingu między VLAN’ami:

Aby zaszła komunikacja między urządzeniami w różnych sieciach VLAN, należy skonfigurować routing między nimi. Dokonać tego można na trzy sposoby:

• Do każdego VLAN’u podłączyć jeden interfejs routera, opcja ta jest niepraktyczna gdy w sieci znajduje się już nawet kilkanaście VLAN’ów. Problem polega na tym, że dla każdego hosta podłączonego do router należy skonfigurować bramę domyślną interfejsu routera należącego do tego samego VLAN’u,

• Skonfigurować router podłączając trunkiem router do przełącznika oraz konfigurując na min subinterfejs dla każdego VLAN’u,

• Skonfigurować przełącznik warstwy trzeciej. Na przełączniku warstwy trzeciej należy utworzyć wirtualny interfejs VLAN z adresem IP, który będzie bramą domyślną dla hostów.

„Router na patyku”

Przełącznik warstwy trzeciej

STP

STP (ang. Spanning Tree Protocol, pol. Protokół drzewa rozpinającego) jest to protokół obsługiwany przez przełącznik. Został on stworzony dla zwiększenia niezawodności środowisk sieciowych, umożliwiając tym samych ich konfigurację w sposób zapobiegający powstawaniu pętli. Protokół ten tworzy graf (drzewo) bez pętli i ustala on zapasowe łącza. W trakcie normalnej pracy sieci blokuje je tak ,aby nie pokazywały one żadnych danych, wykorzystywana jest tylko jedna ścieżka, po której odbywa się komunikacja. Na szczycie grafu (drzewa) znajduje się przełącznik główny tzw. korzeń (ang.root), zarządza on siecią. W momencie zerwania połączenia lub gdy zostanie wykryty jakikolwiek inny problem z dana trasą, STP konfiguruje sieć uaktualniające łącze zapasowe, protokół potrzebuje na od 30 do 60 sekund.

Konfiguracja STP

W przełącznikach Cisco protokół STP jest automatycznie włączony, stan drzewa rozpinającego można sprawdzić poleceniem ‘show spanning-tree’.

Port – Security

Jest to system wykorzystywany w celu ograniczenia dostępu do portu dla zidentyfikowanych adresów MAC. Po przypisaniu adresu MAC do zabezpieczonego portu przełącznika nie zaakceptuje ramek z innymi niż wskazane źródłowymi adresami MAC. Jeżeli liczba dozwolonych adresów MAC skonfigurowanych na porcie generowany jest ‘security violation’. Taki sam komunikat wyświetla się gdy skonfigurowany adres MAC pojawia się na innym niż przypisany mu port.

Konfiguracja Port – Security

Aby skonfigurować port-security należy wprowadzić kilka poleceń. W pierwszej kolejności należy skonfigurować maksymalną dozwolona liczbę adresów MAC na porcie przełącznika, dokonuje się tego poleceniem ‘switchport port-security maximum liczba_adresów_MAC’, następny krok to wpisanie bezpiecznych adresów MAC, można tego dokonać na dwa sposoby[12]:

- Wpis stastyczny, polecenie to ‘switchport port-security mac-address adres’,

- Wpis dynamiczny, polecenie które służy do tego to ‘switchport port-security mac-address sticky’.

Jeżeli chcemy, aby wpisy statyczne lub adresy ‘sticky’ zostały zapamiętane należy przy restarcie przełącznika wydać polecenie zapisujące konfigurację switcha ‘copy running-config startup-config’ po wpisaniu polecenia wyświetli się komunikat, który należy zatwiedzić wciskając klawisz ‘enter’.