configurare Cisco 3560

Ciao a tutti, oggi voglio prendere in considerazione la domanda su come configurare gli switch Cisco Layer 3 del modello OSI, utilizzando come esempio Cisco 3560. Vi ricordo che gli switch Cisco Layer 3 non vengono utilizzati per accedere a Internet come gateway , ma instrada solo il traffico tra i vlan nella rete locale. Per accedere a Internet, Cisco, come tutti i fornitori, fornisce un router? Lo schema elettrico più comune è mostrato di seguito.

Apparecchiatura e schema di rete

Supponiamo di avere uno switch Cisco 3560 layer 3 con 24 porte, sembra qualcosa del genere.

Indirizzerà il traffico tra i vlan nella mia rete locale e 3 switch del 2° livello del modello OSI, livello di accesso, switch Cisco 2960 saranno collegati ad esso e lo stesso Cisco 3560 fungerà da switch del livello di distribuzione. Lascia che ti ricordi che al secondo livello, il traffico viene scambiato in base agli indirizzi mac. Il livello di accesso è quello in cui sono collegati i dispositivi finali, nel nostro caso computer, server o stampanti.Di seguito è riportato un diagramma.

Che cos'è un interruttore di livello 2

Lo switch di livello 2 è un componente hardware che opera al secondo livello del modello di rete OSI.

• Commuta il traffico in base agli indirizzi MAC
• Utilizzato come livello di accesso
• Serve per la segmentazione primaria delle reti locali
• Costo più basso per porta/utente

Nella documentazione tecnica, l'interruttore di secondo livello denota sotto forma di tale icona

Che cos'è un interruttore di livello 3

Uno switch di livello 3 è un componente hardware che funziona al terzo livello del modello OSI e può:

• Instradamento IP
• Accedere all'aggregazione di switch di livello
• Utilizzare come interruttori del livello di distribuzione
• Alte prestazioni

Nella documentazione tecnica, l'interruttore di terzo livello denota sotto forma di tale icona

Il programma di simulazione di rete, Cisco packet tracer 6.2, mi aiuterà nella creazione di un banco di prova. È possibile scaricare Cisco Package Tracer 6.2 qui. Ecco un diagramma più dettagliato del mio sito di test. Ho un Cisco Catalyst 3560 come core, ha due vlan: 2 e 3, con indirizzi IP statici VLAN2 192.168.1.251 e VLAN3 192.168.2.251. Di seguito sono riportati due interruttori del livello di accesso utilizzati per l'organizzazione delle VLAN e come uplink. Ci sono 4 computer nella rete locale, due in ogni vlan. È necessario che il computer PC3 da vlan2 possa eseguire il ping del computer PC5 da vlan3.

Con un obiettivo, abbiamo deciso di procedere. Per ricordarti, non sarò in grado di leggere cosa sia vlan qui.

Configurazione dell'interruttore Cisco di livello 2

La configurazione di uno switch Layer 2 è molto semplice. Iniziamo a configurare il Cisco Catalyst 2960, come puoi vedere, i miei computer PC03 e PC04 sono collegati a Switch0, porte fa0/1 e fa0/2. Secondo il piano, il nostro Switch0 dovrebbe avere due vlan. Iniziamo a crearli. Passa alla modalità privilegiata e inserisci il comando

ora in modalità configurazione

Creiamo VLAN2 e VLAN3. Per questo scriviamo il comando

imposta il nome lascia che sia VLAN2

Ne usciamo

Crea VLAN3 allo stesso modo.

Ora aggiungiamo l'interfaccia fa0/1 a vlan 2 e l'interfaccia fa0/2 a vlan 3. Scrivi il comando.

int fa 0/1

Diciamo che la porta funzionerà in modalità di accesso

accesso in modalità switchport

lo lanciamo in VLAN2

switchport access vlan 2

Ora aggiungiamo fa0/2 a vlan 3.

accesso in modalità switchport

switchport access vlan 3

Ora salviamo tutto questo nella memoria dello switch con il comando

Ora configuriamo la porta del trunk. Come porta trunk, avrò una porta gigabit 0/1 gigabit. Inseriamo il comando per configurare la porta gig 0/1.

Facciamolo in modalità trunk

trunk in modalità switchport

E consentiremo ai vlan necessari attraverso il bagagliaio

Salviamo le impostazioni. Tutta la configurazione dell'interruttore del secondo livello è quasi completa.

Ora, utilizzando lo stesso metodo, configura lo switch Switch1 e i computer PC5 in VLAN2 e PC6 in VLAN3. Abbiamo finito tutto al secondo livello del modello OSI, si passa al livello 3.

Configurazione di Cisco 3560

La configurazione di Cisco 3560 verrà eseguita come segue. poiché il nostro kernel deve instradare l'interno traffico locale, quindi dobbiamo creare gli stessi vlan, fornire loro indirizzi IP, poiché agiranno come gateway predefiniti, così come porte trunk.

Iniziamo con le porte trunk, abbiamo gig 0/1 e gig 0/2.

vai alle impostazioni dell'interfaccia gig 0/1 e gig 0/2

int range gig 0/1-2

Proviamo ad abilitare la modalità trunk

trunk in modalità switchport

ma si finisce con questo prompt: Comando rifiutato: un'interfaccia il cui incapsulamento del trunk è "Auto" non può essere configurata in modalità "trunk". Il suo significato è che ti viene prima richiesto di abilitare l'incapsulamento dei pacchetti. Impostiamo l'incapsulamento su Cisco 3560.

incapsulamento del trunk switchport dot1q

Ora specificheremo la modalità e il vlan consentito

trunk in modalità switchport

trunk switchport consentito vlan 2.3

Salva le impostazioni Cisco

(Compiti a casa: collegare 3 interruttori IP 172.10.10.1, 172.10.10.2, 172.10.10.3

- creane due utente locale, con password crittografata

supporto per il passaggio di livello di servizio 5

admin livello 15 passaggio:root

- aprire telnet su tutti gli switch

- collegare un computer e telnet a tutti e 3 gli switch

Porta seriale(Inglese) porta seriale, Porta COM, Inglese porta di comunicazione) è il nome gergale dell'interfaccia standard RS-232, che è stata ampiamente equipaggiata computer personale. La porta è chiamata "seriale" perché le informazioni vengono trasmesse attraverso di essa un bit alla volta, bit per bit (a differenza di una porta parallela). Sebbene alcune interfacce per computer (come Ethernet, FireWire e USB) utilizzino anche un metodo seriale per lo scambio di informazioni, il nome "porta seriale" è rimasto sulla porta standard RS-232.

Il numero 5 è la nostra porta COM

Gestione della console

Bene, hai portato l'interruttore, l'hai stampato, gli hai dato l'energia. Fa frusciare languidamente i frigoriferi, ti strizza l'occhio con i led delle sue porte. E cosa fare dopo?
Useremo uno dei modi più antichi e senza età per controllarne quasi tutti inteligente dispositivo: console. Per fare ciò, è necessario un computer, il dispositivo stesso e un cavo adatto.
Qui, ogni venditore è bravo in cosa. Che tipo di connettori non usano: RJ-45, DB-9 maschio, DB-9 femmina, DB-9 con piedinatura non standard, DB-25.
Cisco utilizza un connettore RJ-45 sul lato dispositivo e una femmina DB-9 (per il collegamento a una porta COM) sul lato PC. La porta della console si presenta così:

E questo è un cavo per console di diversi fornitori:

Il problema è che i PC moderni spesso non hanno una porta COM. I convertitori da USB a COM utilizzati di frequente vengono in soccorso:

Il driver è molto difficile da trovare, chiunque ne abbia bisogno può scaricarlo

Dopo aver installato il driver, è possibile collegare il cavo della console con un lato allo switch e l'altro a USB-to-COM, quindi eseguire il programma

Tipo di connessione selezionare SERIALE

Ora sorge la domanda, qual è la nostra porta COM? che velocità impostare?

- dopo aver installato il driver su USB-to-COM, apparirà automaticamente nel nostro Gestione dispositivi di Windows, dove scopriremo quale porta Com:

Fare clic su Start - fare clic con il pulsante destro del mouse su Computer - Proprietà

Fare clic su Gestione dispositivi

Trovare le porte COM o LPT

Cliccaci sopra

E vediamo che abbiamo COM port = COM6 e, di conseguenza, in PuTTy, nella sezione della linea seriale, dobbiamo avere COM6

- Per quanto riguarda la scelta della velocità, posso dire una cosa, ogni venditore ha la sua velocità, ma nella maggior parte dei casi è 9600 Bit al secondo

La gestione tramite console su alcuni fornitori è immediatamente disponibile e su alcuni richiederà l'autorizzazione, nella maggior parte dei casi è admin admin. Puoi leggere di più sulla configurazione nei manuali (ad esempio, ho una piccola quantità nella pagina Interruttori (manuale))

Ad esempio, Cisco, siamo andati al dispositivo

interruttore>
Questo è un prompt standard per qualsiasi linea Cisco, che caratterizza la modalità utente, in cui è possibile visualizzare alcune statistiche ed eseguire le operazioni più semplici come il ping. Inserendo un punto interrogativo verrà visualizzato un elenco di comandi disponibili:

In parole povere, questa è una modalità per un operatore di rete che sta solo imparando, in modo da non danneggiare nulla lì, non sbagliare e non impara troppo.
Molte più opportunità sono fornite dalla modalità con il nome parlante privilegiato. Puoi accedervi inserendo il comando > abilita. Ora il prompt è simile a questo:

Interruttore#

Qui l'elenco delle operazioni è molto più ampio, ad esempio è possibile eseguire uno dei comandi più comunemente utilizzati che mostra le impostazioni correnti del dispositivo alias “config” #show running-config. In modalità privilegiata, puoi visualizzare tutte le informazioni sul dispositivo.
Prima di procedere con la configurazione, menzioneremo alcune cose utili quando si lavora con Cisco CLI, che possono semplificare notevolmente la vita:

Tutti i comandi nella console possono essere abbreviati. La cosa principale è che l'abbreviazione indica chiaramente il comando. Ad esempio, show running-config è abbreviato in sh run. Perché non a s r? Perché s (in modalità utente) può significare sia il comando show che il comando ssh, e riceveremo un messaggio di errore % Comando ambiguo: "s r" (comando ambiguo).

Usa il tasto Tab e un punto interrogativo. Premendo Tab, il comando abbreviato viene aggiunto a quello completo e il punto interrogativo che segue il comando mostra un elenco di ulteriori possibilità e un piccolo aiuto su di esse (prova tu stesso in PT).

Utilizzare i tasti di scelta rapida nella console:

Ctrl+A - Sposta il cursore all'inizio della riga
Ctrl+E - Sposta il cursore alla fine della riga
Cursore su, giù - Spostarsi nella cronologia dei comandi
Ctrl+W - Cancella la parola precedente
Ctrl+U - Cancella l'intera riga
Ctrl+C - Esce dalla modalità di configurazione
Ctrl+Z - Applica il comando corrente ed esce dalla modalità di configurazione
Ctrl+Maiusc+6 - Arresta processi lunghi (la cosiddetta sequenza di escape)

Usa il filtro dell'output dei comandi. Succede che il comando mostri molte informazioni in cui è necessario scavare a lungo per trovare una determinata parola, ad esempio.
Facilitiamo il lavoro con l'ausilio del filtraggio: dopo il comando mettiamo |, scriviamo il tipo di filtraggio e, appunto, la parola (o parte di essa) desiderata. Tipi di filtraggio (aka modificatori di output):

inizio - visualizza tutte le righe, a partire da quella in cui è stata trovata la parola,
sezione - sezioni di output del file di configurazione in cui si trova la parola,
include - righe di output in cui si trova la parola,
escludi - righe di output in cui la parola NON compare.

Ma torniamo alle modalità. La terza modalità principale, insieme alle modalità utente e privilegiata, è la modalità di configurazione globale. Come suggerisce il nome, ci consente di apportare modifiche alle impostazioni del dispositivo. Si attiva con il comando #configure terminal da modalità privilegiata e mostra il seguente prompt:

interruttore (configurazione) #

Nella modalità di configurazione globale, a volte i comandi abbastanza necessari di altre modalità non vengono eseguiti (lo stesso show running-config, ping, ecc.). Ma c'è una cosa utile come fare. Grazie ad esso, possiamo, senza uscire dalla modalità di configurazione, eseguire questi stessi comandi semplicemente aggiungendo do davanti ad essi. Più o meno così:

Switch(config)#do mostra running-config

Comandi di base

1) Switch>Enable - entra in modalità privilegiata

2) Switch#sh running-config: visualizza la configurazione hardware corrente

3) Terminale Switch#configure - modalità di configurazione globale

4) Switch(config)#enable password "password"- impostare la password in modalità privilegiata

5) Switch(config)#service crittografia password- crittografare la password per la modalità privilegiata

6) Switch(config)#enable "password" segreta- crittografare la password per la modalità privilegiata utilizzando il parametro secret, non dimenticare che ha la precedenza su tutte le password in enable

7) Switch(config)#username "nome" privilegio "1-15" password "password"- creare utente locale

8) Switch(config)#line - modalità di configurazione della linea terminale

9) Switch(config)#line console 0 - configurazione dell'accesso tramite la console

#login - abilita la password

10) Switch(config)#line vty 0 4 - configurazione dell'accesso tramite un terminale virtuale

#login - abilita la password

Switch(config-line)#login local- utilizzare l'accesso utente locale

#transport - seleziona il protocollo di trasporto

switch(config-line)#transport input telnet- accesso aperto tramite telnet

Switch(config-line)#transport input ssh- accesso aperto tramite ssh

11) Switch(config)#interfaccia vlan N- vai a un vlan specifico

Switch(config-if)#ip address "172.18.197.2 255.255.255.0"- allegare ip allo switch in una specifica vlan N

Switch(config-if)#no shutdown - abilita vlan

Switch(config-if)#shutdown - disattiva vlan

12) Switch(config)#ip gateway predefinito "172.18.197.1"- specificare il gateway predefinito (il comando tornerà utile quando utilizziamo un router, dispositivo L3)

Configurazione di base dello switch Cisco

Topologia

Tabella di indirizzamento

Compiti

Parte 1: creare una rete e controllare le impostazioni predefinite dello switch Parte 2: configurare le impostazioni di base per i dispositivi di rete

• Configura le impostazioni di base dell'interruttore.
• Impostare l'indirizzo IP per il PC.

Parte 3: controllo e test della connessione di rete

• Visualizza la configurazione del dispositivo.
• Testare la connessione end-to-end inviando una richiesta ping.
• Testare le capacità di controllo remoto con Telnet.
• Salva il file di configurazione dello switch corrente.

• Annotare l'indirizzo MAC dell'host.
• Determinare gli indirizzi MAC ricevuti dallo switch.
• Elenca le opzioni per il comando show mac address-table.
• Assegna un indirizzo MAC statico.

Baseline/Scenario

Sugli switch Cisco è possibile configurare un indirizzo IP speciale chiamato Switch Virtual Interface (SVI). SVI o indirizzo di controllo può essere utilizzato per accesso remoto passare alla visualizzazione o alla configurazione delle impostazioni. Se viene assegnato un indirizzo IP all'SVI VLAN 1, per impostazione predefinita tutte le porte nella VLAN 1 hanno accesso all'indirizzo IP di gestione dell'SVI.

In questo laboratorio creerai una topologia semplice utilizzando un cavo LAN Ethernet e accederai a uno switch Cisco utilizzando la connessione della console e i metodi di accesso remoto. Prima di configurare le impostazioni di base dello switch, è necessario controllare le impostazioni predefinite dello switch. Queste impostazioni di base dello switch includono il nome del dispositivo, la descrizione dell'interfaccia, le password locali, il banner MOTD (messaggio del giorno), l'indirizzamento IP, l'assegnazione dell'indirizzo MAC statico e la dimostrazione dell'utilizzo dell'indirizzo IP amministrativo per gestire in remoto lo switch. La topologia è costituita da uno switch e un nodo che utilizza solo le porte Ethernet e console.

Nota. Il laboratorio utilizza uno switch Cisco Catalyst 2960 che esegue Cisco IOS 15.0(2) (immagine lanbasek9). Sono consentiti altri modelli di switch e altre versioni di Cisco IOS. A seconda del modello del dispositivo e della versione di Cisco IOS, i comandi e l'output disponibili potrebbero differire da quelli ottenuti in laboratorio.

Nota. Assicurati che l'opzione sia stata deselezionata e non contenga un file di configurazione di avvio. Le procedure necessarie per inizializzare e riavviare i dispositivi sono riportate nell'Appendice A.

Risorse richieste:

• 1 switch (Cisco 2960 con Cisco IOS 15.0(2), immagine lanbasek9 o equivalente);
• 1 PC (con Windows 7, Vista o XP con un programma di emulazione di terminale come Tera Term e supporto Telnet);
• cavo console per configurare il dispositivo Cisco IOS tramite la porta console;
• Cavo Ethernet come mostrato nella topologia.

Parte 1: crea una rete e controlla le impostazioni predefinite dello switch

Nella prima parte del lab, configurerai la topologia di rete e verificherai la configurazione predefinita dello switch.

Passaggio 1: collegare i cavi nella rete in base alla topologia.

1. Configurare una connessione alla console in base alla topologia. Non collegare il cavo Ethernet PC-A in questo momento.

Nota. Quando si utilizza Netlab, è possibile disabilitare l'interfaccia F0/6 sullo switch S1, che ha lo stesso effetto della mancata connessione tra PC-A e switch S1.

2. Stabilire una connessione console allo switch da PC-A utilizzando Tera Term o un altro programma di emulazione terminale.

Passaggio 2: verificare le impostazioni predefinite dello switch.

A questo punto, è necessario controllare le impostazioni predefinite dello switch come le impostazioni attuali dello switch, i dati IOS, le proprietà dell'interfaccia, le informazioni VLAN e la memoria flash.

Tutti i comandi di switch IOS possono essere eseguiti dalla modalità privilegiata. L'accesso alla modalità privilegiata deve essere limitato con una password per impedire l'uso non autorizzato del dispositivo: tramite questa modalità è possibile accedere direttamente alla modalità di configurazione globale e ai comandi utilizzati per configurare i parametri di funzionamento. Le password possono essere configurate un po' più tardi.

Il set privilegiato di comandi include i comandi in modalità utente, nonché il comando configure, che accede ad altre modalità di comando. Immettere il comando di abilitazione per accedere alla modalità EXEC privilegiata.

un. Se non è presente alcun file di configurazione memorizzato nella RAM non volatile (NVRAM) dello switch, sarai in riga di comando modalità di commutazione personalizzata con la stringa Switch>. Immettere il comando di abilitazione per accedere alla modalità EXEC privilegiata.
interruttore > abilita
Interruttore#

Si noti che la riga modificata nella configurazione rifletterà la modalità EXEC privilegiata.

Verificare che il file di configurazione sia vuoto utilizzando il comando show running-config modalità privilegiata. Se il file di configurazione è stato precedentemente salvato, deve essere cancellato. A seconda del modello di switch e della versione di IOS, la configurazione potrebbe avere un aspetto leggermente diverso. Tuttavia, nella configurazione non dovrebbero esserci password o indirizzi IP configurati. Eseguire una cancellazione delle impostazioni e riavviare lo Switch se lo Switch ha impostazioni non predefinite.

Nota. L'Appendice A descrive in dettaglio il processo di inizializzazione e riavvio dei dispositivi.

b. Esaminare il file di "configurazione in esecuzione" corrente.
Switch# mostra running-config

c. Esaminare il file di configurazione di avvio contenuto nella RAM non volatile (NVRAM).
Switch# mostra startup-config
startup-config non è presente

d. Esaminare le caratteristiche SVI per VLAN 1.
Switch# mostra l'interfaccia vlan1

e. Esaminare le proprietà IP dell'interfaccia SVI della VLAN 1.
Switch# mostra l'interfaccia IP vlan1

f. Collegare il cavo Ethernet dal PC-A alla porta 6 dello switch ed esaminare le proprietà IP dell'interfaccia SVI della VLAN 1. Attendere che le impostazioni di velocità e duplex vengano negoziate tra lo switch e il PC.

Nota. Se si utilizza Netlab, abilitare l'interfaccia F0/6 sullo switch S1. Switch# mostra l'interfaccia IP vlan1

g. Esaminare le informazioni sulla versione di Cisco IOS sullo switch.
Cambia # mostra la versione

h. Esaminare le proprietà predefinite dell'interfaccia FastEthernet utilizzata da PC-A.
Switch# mostra l'interfaccia f0/6

io. Esaminare le impostazioni VLAN predefinite sullo switch.
Cambia # mostra vlan

j. Esplora la memoria flash.
Eseguire uno dei seguenti comandi per esaminare il contenuto della directory flash.
Cambia # mostra flash
Switch# dir flash:

Il nome del file termina con un'estensione, ad esempio .bin. Le directory non hanno un'estensione di file.

Parte 2. Configurazione delle impostazioni di base per i dispositivi di rete

Nella seconda parte del laboratorio, configurerai le impostazioni di base dell'interruttore e del PC.

Passaggio 1: configurare le impostazioni di base dello switch, inclusi nome host, password locali, banner MOTD (messaggio del giorno), indirizzo di gestione e accesso Telnet.

A questo punto, è necessario configurare il PC e le impostazioni di base dello switch, inclusi il nome host e l'indirizzo IP per l'SVI amministrativo sullo switch. L'assegnazione di un indirizzo IP allo switch è solo il primo passo. In qualità di amministratore di rete, è necessario determinare come verrà gestito lo switch. Telnet e SSH sono i due metodi di gestione più comuni. Tuttavia, Telnet non è un protocollo sicuro. Tutte le informazioni che passano tra due dispositivi vengono inviate non crittografate. Utilizzando lo sniffer di pacchetti, gli aggressori possono leggere facilmente password e altri dati sensibili.

un. Se la NVRAM dello switch non memorizza un file di configurazione, assicurati di essere in modalità privilegiata. Se la riga è cambiata in Switch>, digitare enable.
interruttore > abilita
Interruttore#

b. Entra in modalità di configurazione globale.
Switch# configura il terminale
Immettere i comandi di configurazione, uno per riga. Termina con CNTL/Z.
interruttore(configurazione)#

La linea è cambiata di nuovo per riflettere la modalità di configurazione globale.

c. Assegna allo switch un nome host.
switch(config)# hostname
S1 S1(configurazione)#

d. Imposta la crittografia della password.
S1(config)# servizio di crittografia della password
S1(configurazione)#

e. Specificare la classe come password segreta per accedere alla modalità privilegiata.
S1(config)# abilita la classe segreta
S1(configurazione)#

f. Disabilita le ricerche DNS indesiderate.
S1(config)# nessuna ricerca del dominio IP
S1(configurazione)#

g. Personalizza il banner MOTD (messaggio del giorno).
S1(config)# banner motd #
Inserisci il messaggio di testo. Termina con il carattere '#'.
L'accesso non autorizzato è severamente vietato. #

h. Verificare le impostazioni di accesso passando da una modalità all'altra.
S1(config)# uscita
S1#
*1 marzo 00:19:19.490: %SYS-5-CONFIG_I: configurato da console a console
S1# uscita
S1 con0 è ora disponibile

Premi INVIO per iniziare.

L'accesso non autorizzato è severamente vietato.
S1>

io. Ritorno dalla modalità utente alla modalità privilegiata. Quando viene richiesta una password, accedere alla classe.
S1>abilita
Parola d'ordine:
S1#
Nota. Quando si immette la password, non viene visualizzata.

j. Accedere alla modalità di configurazione globale per assegnare un indirizzo IP SVI allo switch. Grazie a ciò, potrai gestire da remoto lo switch.

Prima di poter gestire lo switch S1 in remoto da PC-A, allo switch deve essere assegnato un indirizzo IP. In base alla configurazione predefinita dello switch, lo switch deve essere gestito tramite la VLAN 1. Tuttavia, nella configurazione di base dello switch, non è consigliabile assegnare la VLAN 1 come VLAN amministrativa.

Per scopi amministrativi, utilizzare VLAN 99. La scelta di VLAN 99 è casuale, quindi non è necessario utilizzare sempre VLAN 99.

Quindi, prima crea una nuova VLAN 99 sullo switch, quindi configura l'indirizzo IP dello switch su 192.168.1.2 con una subnet mask di 255.255. interfaccia virtuale(SVI)VLAN
99.

S1# configurare il terminale
S1(config)# vlan 99
S1(config-vlan)# uscita
S1(config)# interfaccia vlan99
%LINEPROTO-5-UPDOWN: protocollo di linea sull'interfaccia Vlan99, stato modificato in down
S1(config-if)# indirizzo IP 192.168.1.2 255.255.255.0
S1(config-if)# nessun arresto
S1(config-if)# uscita
S1(configurazione)#
Nota che la VLAN 99 è inattiva anche se hai inserito il comando no shutdown. L'interfaccia è attualmente inattiva perché alla VLAN 99 non sono assegnate porte switch.

K. Associa tutte le porte utente alla VLAN 99.
Intervallo interfaccia S1(config)# f0/1 - 24,g0/1 - 2
S1(config-if-range)# switchport access vlan 99
S1(config-if-range)# uscita
S1(configurazione)#
%LINEPROTO-5-UPDOWN: protocollo di linea sull'interfaccia Vlan1, stato modificato in down
%LINEPROTO-5-UPDOWN: protocollo di linea sull'interfaccia Vlan99, stato modificato in alto

Per stabilire una connessione tra un host e uno switch, le porte utilizzate dall'host devono trovarsi nella stessa VLAN dello switch. Si noti che nell'output sopra, la VLAN 1 è disabilitata perché nessuna porta è assegnata alla VLAN 1. Dopo alcuni secondi, la VLAN 99 sarà abilitata perché almeno una porta attiva (F0/6, a cui è collegato PC-A) è assegnato alla VLAN 99.

l. Per verificare che tutte le porte utente siano su VLAN 99, emettere il comando show vlan brief.
S1# mostra il breve vlan

m. Configurare il gateway IP predefinito per lo switch S1. Se non è configurato alcun gateway predefinito, lo switch non può essere gestito da una rete remota che ha più di un router sul proprio percorso. Non risponde alle richieste di eco dalla rete remota. Sebbene questo esercizio non tenga conto del gateway IP esterno, immagina di collegare successivamente la LAN a un router per l'accesso esterno. Supponendo che l'interfaccia LAN del router sia 192.168.1.1, configurare il gateway predefinito per lo switch.

S1(config)# ip gateway predefinito 192.168.1.1
S1(configurazione)#

n. Anche l'accesso alla porta della console dovrebbe essere limitato. La configurazione predefinita richiede che tutte le connessioni della console siano configurate senza password. Per evitare che i messaggi della console interrompano l'esecuzione dei comandi, utilizzare l'opzione di registrazione sincrona.
S1(config)# riga con 0
S1(linea di configurazione)#login
S1(config-line)# registrazione sincrono
S1(linea di configurazione)# uscita
S1(configurazione)#

o. Configurare i canali di connessione virtuale per la gestione remota (vty) in modo che lo switch consenta l'accesso tramite Telnet. Se non imposti vty password, non potrai accedere al dispositivo tramite Telnet.
S1(config)# riga vty 0 15
S1(linea di configurazione)# password cisco
S1(linea di configurazione)#login
S1(linea di configurazione)# fine
S1#
*1 marzo 00:06:11.590: %SYS-5-CONFIG_I: configurato da console a console

Passaggio 2: impostare un indirizzo IP su PC-A.
Assegnare un indirizzo IP e una maschera di sottorete al computer in base alla tabella degli indirizzi. Una versione abbreviata di questa operazione è descritta qui. La topologia in questione non richiede un gateway predefinito. Tuttavia, puoi inserire l'indirizzo 192.168.1.1 per simulare un router connesso allo switch S1.

1. Fare clic sul pulsante Start > Pannello di controllo.
2. Fare clic su Visualizza e selezionare Icone piccole.
3. Quindi seleziona Centro connessioni di rete e condivisione e accesso pubblico> Modifica le impostazioni dell'adattatore.
4. Fare clic con il pulsante destro del mouse su Connessione alla rete locale e selezionare Proprietà.
5. Selezionare Protocollo Internet versione 4 (TCP/IPv4) > Proprietà.
6. Selezionare l'opzione Usa il seguente indirizzo IP e inserire l'indirizzo IP e la subnet mask.

Parte 3: controllo e test della connessione di rete
Nella terza parte del laboratorio, verificherai e documenterai la configurazione dello switch, verificherai la connessione end-to-end tra PC-A e switch S1 e verificherai la capacità di gestire in remoto lo switch.

Passaggio 1: visualizzare la configurazione dell'interruttore.
Da una connessione console a PC-A, visualizzare e verificare la configurazione dello switch. Il comando show run consente di scorrere l'intera configurazione corrente. Usa la BARRA SPAZIATRICE per scorrere.

un. Qui viene mostrata una configurazione di esempio. Le impostazioni che hai configurato sono evidenziate in giallo. Altre opzioni di configurazione sono le impostazioni predefinite di IOS.
S1# mostra l'esecuzione
Configurazione edificio...

Configurazione attuale: 2206 byte
!
versione 15.0
nessun servizio pad
servizio timestamp debug datetime
I timestamp del servizio msec registrano datetime
crittografia della password del servizio msec
!
nome host S1
!
marcatore di avvio-avvio
indicatore di fine stivale
!
abilita segreto 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2
!
no aaa nuovo modello
sistema di instradamento mtu 1500
!
!
nessuna ricerca del dominio IP
!

!
interfaccia FastEthernet0/24
switchport access vlan 99
!
interfaccia GigabitEthernet0/1
!
interfaccia GigabitEthernet0/2
!
interfaccia Vlan1
nessun indirizzo IP
nessun ip route-cache
!
interfaccia Vlan99
indirizzo IP 192.168.1.2 255.255.255.0
nessun ip route-cache
!
ip gateway predefinito 192.168.1.1
IP server http
ip http server sicuro
!
banner mod ^C
L'accesso non autorizzato è severamente vietato. ^ C
!
riga con 0
password 7 104D000A0618
registrazione sincrono
Accedere
riga vty 0 4
password 7 14141B180F0B
Accedere
riga vty 5 15
password 7 14141B180F0B
Accedere
!
fine
S1#

b. Verificare le impostazioni per la VLAN amministrativa 99.
S1# mostra interfaccia vlan 99

Vlan99 è attivo, il protocollo di linea è attivo
L'hardware è EtherSVI, l'indirizzo è 0cd9.96e2.3d41 (bia 0cd9.96e2.3d41)
L'indirizzo Internet è 192.168.1.2/24
MTU 1500 byte, BW 1000000 Kbit, DLY 10 usec, affidabilità 255/255, txload 1/255, rxload 1/255
Incapsulamento ARPA, loopback non impostato
Tipo ARP: ARPA, Timeout ARP 04:00:00
Ultimo input 00:00:06, output 00:08:45, output bloccato mai Ultima cancellazione dei contatori "mostra interfaccia" mai
Coda di input: 0/75/0/0 (dimensione/max/gocce/scarico); La produzione totale scende: 0
Strategia di coda: fifo
Coda di uscita: 0/40 (dimensione/max)
Velocità di ingresso di 5 minuti 0 bit/sec, 0 pacchetti/sec
Velocità di uscita di 5 minuti 0 bit/sec, 0 pacchetti/sec
175 pacchetti in ingresso, 22989 byte, 0 nessun buffer
Ricevute 0 trasmissioni (0 IP multicast)
0 runt, 0 giganti, 0 accelerazioni
0 errori di input, 0 CRC, 0 frame, 0 overrun, 0 ignorato
1 pacchetto in uscita, 64 byte, 0 underrun
0 errori di uscita, 0 reset dell'interfaccia
0 errori del buffer di output, 0 buffer di output sostituiti

Passaggio 2: verifica la connessione end-to-end inviando un ping.

un. Dalla riga di comando su PC-A, eseguire il ping dell'indirizzo del proprio PC-A.
C:\Utenti\Utente1> ping 192.168.1.10

b. Dalla riga di comando su PC-A, eseguire il ping dell'indirizzo amministrativo dell'interfaccia SVI sullo switch S1.
C:\Utenti\Utente1> ping 192.168.1.2

Poiché PC-A deve risolvere l'indirizzo MAC dello switch S1 utilizzando ARP, il primo pacchetto potrebbe scadere. Se il ping non riesce, risolvere i problemi delle impostazioni di base del dispositivo. Se necessario, controlla come cavi fisici e indirizzamento logico.

Passaggio 3: verifica telecomando interruttore S1.

Successivamente, utilizzare l'accesso remoto al dispositivo tramite Telnet. In questo laboratorio, PC-A e switch S1 sono fianco a fianco. In una rete di produzione, lo switch potrebbe trovarsi in un armadio di cablaggio al piano superiore, mentre il computer amministrativo si trova al primo piano. A questo punto, utilizzerai Telnet per accedere in remoto allo switch S1 tramite il suo indirizzo amministrativo SVI. Telnet no protocollo sicuro, ma puoi usarlo per testare l'accesso remoto. Nel caso di Telnet, tutte le informazioni, comprese password e comandi, vengono inviate attraverso la sessione non crittografate. Nei seguenti laboratori, utilizzerai SSH per accedere ai dispositivi di rete in remoto.

Nota. In utilizzando Windows 7 Potrebbe essere necessario abilitare il protocollo Telnet come amministratore. Per installare il client Telnet, apri una finestra di cmd e digita pkgmgr /iu:"TelnetClient". Di seguito è riportato un esempio.

C:\Utenti\Utente1> pkgmgr /iu:"TelnetClient"

un. Nella stessa finestra di cmd su PC-A, emettere un comando Telnet per connettersi allo switch S1 utilizzando l'indirizzo amministrativo SVI. La password è Cisco.
C:\Utenti\Utente1> telnet 192.168.1.2

b. Dopo aver inserito la password Cisco, sarai al prompt dei comandi della modalità utente. Entra in modalità privilegiata.

c. Per terminare la sessione Telnet, digitare exit.

Passaggio 4: salvare il file di configurazione dello switch corrente.
Salva la configurazione.

S1# copia running-config startup-config
Nome file di destinazione?
Configurazione edificio...
S1#

Parte 4. Gestione della tabella degli indirizzi MAC

Nella quarta parte del laboratorio, determinerai l'indirizzo MAC ricevuto dallo switch, configurerai un indirizzo MAC statico per una delle interfacce dello switch, quindi rimuoverai l'indirizzo MAC statico dalla configurazione dell'interfaccia.

Passaggio 1: annotare l'indirizzo MAC dell'host.

Dal prompt dei comandi su PC-A, eseguire il comando ipconfig /all per determinare e registrare gli indirizzi di livello 2 (fisici) della scheda di rete del PC.

Passaggio 2: determinare gli indirizzi MAC ricevuti dallo switch.

Visualizza gli indirizzi MAC con il comando show mac address-table.
S1# mostra la tabella degli indirizzi mac

Passaggio 3: elenca le opzioni per il comando show mac address-table.

un. Visualizza le opzioni della tabella degli indirizzi MAC.
S1# mostra la tabella degli indirizzi mac?

b. Emettere il comando show mac address-table dynamic per visualizzare solo gli indirizzi MAC ottenuti dinamicamente.
S1# mostra la dinamica della tabella degli indirizzi mac

c. Dai un'occhiata alla voce dell'indirizzo MAC per PC-A. Il formato dell'indirizzo MAC per questo comando è xxxx.xxxx.xxxx.
S1# mostra l'indirizzo della tabella degli indirizzi mac

Passaggio 4: assegnare un indirizzo MAC statico.

un. Cancella la tabella degli indirizzi MAC.
Per rimuovere gli indirizzi MAC esistenti, utilizzare il comando clear mac address-table in modalità privilegiata.
S1# cancella la tabella degli indirizzi mac dinamica

b. Assicurati che la tabella degli indirizzi MAC sia cancellata.
S1# mostra la tabella degli indirizzi mac

c. Esaminare nuovamente la tabella degli indirizzi MAC.
Molto probabilmente, l'applicazione in esecuzione sul PC ha già inviato un frame dalla scheda di rete allo switch S1. Guarda di nuovo la tabella degli indirizzi MAC in modalità privilegiata e verifica se l'indirizzo MAC per PC-A è stato riacquistato da S1.
S1# mostra la tabella degli indirizzi mac

Se lo switch S1 non ha ancora riacquisito l'indirizzo MAC per PC-A, eseguire il ping dell'indirizzo IP VLAN 99 dello switch da PC-A, quindi eseguire nuovamente il comando show mac address-table.

d. Assegna un indirizzo MAC statico.
Per determinare a quali porte può connettersi un host, è possibile creare un indirizzo MAC statico dell'host per la mappatura delle porte.

Configurare un indirizzo MAC statico sull'interfaccia F0/6 utilizzando l'indirizzo scritto per PC-A nella parte 4 al passaggio 1. L'indirizzo MAC 0050.56BE.6C89 viene utilizzato solo come esempio. È necessario utilizzare l'indirizzo MAC di PC-A, che è diverso da quello mostrato qui a titolo di esempio.
S1(config)# mac address-table static 0050.56BE.6C89 vlan 99 interfaccia fastethernet 0/6

e. Controllare le voci nella tabella degli indirizzi MAC.
S1# mostra la tabella degli indirizzi mac

f. Elimina la voce MAC statica. Entra in modalità di configurazione globale ed elimina il comando mettendo no davanti alla riga di comando.

Nota. L'indirizzo MAC 0050.56BE.6C89 viene utilizzato solo in questo esempio.

Usa l'indirizzo MAC per il tuo PC-A.
S1(config)# no mac address-table static 0050.56BE.6C89 vlan 99 interfaccia fastethernet 0/6

g. Assicurati che l'indirizzo MAC statico sia stato rimosso.
S1# mostra la tabella degli indirizzi mac

Appendice A. Inizializzazione e riavvio del router e dello switch
Passaggio 1: inizializza e riavvia il router.
un. Connettiti al router utilizzando una connessione console e abilita la modalità privilegiata.
Router > abilita
router#

b. Immettere il comando erase startup-config per rimuovere il file di configurazione di avvio dalla NVRAM.
Router# cancella la configurazione di avvio

La cancellazione del filesystem nvram rimuoverà tutti i file di configurazione! Continua?
Cancellazione di nvram: completa
router#

c. Emettere il comando di ricarica per rimuovere le informazioni di configurazione obsolete dalla memoria. Quando viene richiesto di continuare il riavvio "Procedere con il ricaricamento?" premere il tasto Invio. (Premere un tasto qualsiasi per interrompere il riavvio.)
Ricarica router#
Procedere con la ricarica?
*Nov 29 18:28:09.923: %SYS-5-RELOAD: ricarica richiesta dalla console. Motivo di ricarica:
Comando di ricarica.

Nota. Potrebbe essere richiesto di salvare la configurazione corrente prima di riavviare il router. Per rispondere, digitare no e premere il tasto Invio.

d. Dopo il riavvio del router, ti verrà chiesto di accedere alla finestra di dialogo di configurazione iniziale. Digitare no e premere il tasto Invio.

e. Potrebbe esserci un'altra richiesta di risoluzione installazione automatica(installazione automatica). Rispondi sì e premi il tasto Invio.
Vuoi terminare l'installazione automatica? : sì

Passaggio 2: inizializzare e riavviare lo switch.
un. Connettiti allo switch utilizzando una connessione console e accedi alla modalità EXEC privilegiata.
interruttore > abilita
Interruttore#

b. Utilizzare il comando show flash per determinare se le VLAN sono state create sullo switch.
Cambia # mostra flash

c. Se il file vlan.dat si trova nella memoria flash, eliminarlo.
Switch# elimina vlan.dat
Elimina il nome del file?

d. Ti verrà chiesto di verificare il nome del file. Se hai inserito il nome correttamente, premi il tasto Invio.
Altrimenti, puoi cambiare il nome del file.

e. Ti verrà chiesto di confermare l'eliminazione di questo file. Premere il tasto Invio per confermare.
Elimina flash:/vlan.dat?
Interruttore#

f. Immettere il comando erase startup-config per rimuovere il file di configurazione di avvio dalla NVRAM. Ti verrà chiesto di eliminare il file di configurazione. Premere il tasto Invio per confermare.
Switch# cancella la configurazione di avvio
La cancellazione del filesystem nvram rimuoverà tutti i file di configurazione! Continua?
Cancellazione di nvram: completa
Interruttore#

g. Riavviare lo switch per cancellare dalla memoria le informazioni di configurazione obsolete. Verrà quindi richiesto di confermare che si desidera riavviare lo switch. Premere il tasto Invio per continuare.
Switch# ricarica
Procedere con la ricarica?

Nota. Potrebbe essere richiesto di salvare la configurazione corrente prima di riavviare lo Switch. Per rispondere, digitare no e premere il tasto Invio.
La configurazione di sistema è stata modificata. Salva? : No

h. Dopo il riavvio dello switch, verrà richiesto di accedere alla finestra di dialogo di configurazione iniziale. Per rispondere, digitare no e premere il tasto Invio.
Vuoi entrare nella schermata iniziale di configurazione? : No
interruttore>

Sai cos'è la follia? La follia è l'esatta ripetizione della stessa azione più e più volte nella speranza di un cambiamento.

L'articolo rivela le caratteristiche della configurazione della tecnologia VLAN utilizzando l'esempio di apparecchiature specifiche.

Buona giornata, caro visitatore. Oggi, come al solito, secondo la nostra buona tradizione, vi racconto una cosa interessante. E la storia di oggi riguarderà una cosa meravigliosa nelle reti locali chiamate VLAN. Esistono diverse varietà di questa tecnologia in natura, non parleremo di tutto, ma solo di quelle che risolverebbero il problema che deve affrontare la nostra azienda. Questa tecnologia è già stata utilizzata dai nostri specialisti più di una volta nella nostra pratica di outsourcing IT nella regione, ma questa volta è stato tutto un po' più interessante, perché. l'attrezzatura con cui ho dovuto lavorare è stata in qualche modo "ridotta" (il precedente compito simile è stato implementato sullo switch D-link DES-1210-28). Ma prima le cose principali.

Cos'èVLAN?

VLAN - rete locale logica ("virtuale"), è un gruppo di host con un insieme comune di requisiti che interagiscono come se fossero connessi a un dominio di trasmissione, indipendentemente dalla loro posizione fisica. Una VLAN ha le stesse proprietà di una LAN fisica, ma consente di raggruppare le stazioni finali anche se non si trovano sulla stessa rete fisica. Tale riorganizzazione può essere effettuata sulla base di Software invece di dispositivi in ​​movimento fisico.

Questa tecnologia consente di eseguire due attività:

1) raggruppare dispositivi a livello di collegamento dati (ovvero dispositivi che si trovano nella stessa VLAN), sebbene fisicamente possano essere collegati a switch di rete diversi (posizionati, ad esempio, geograficamente distanti);

2) distinguere tra dispositivi (posizionati in VLAN diverse) collegati allo stesso switch.

In altre parole, le VLAN consentono di creare domini di trasmissione separati, riducendo così la percentuale di traffico di trasmissione sulla rete.

porta- BaseVLAN

Port-Base VLAN: è un gruppo di porte o una porta nello switch che fa parte della stessa VLAN. Le porte in una tale VLAN sono chiamate senza tag (non taggate), ciò è dovuto al fatto che i frame in entrata e in uscita dalla porta non hanno un'etichetta o un identificatore. Questa tecnologia può essere descritto brevemente - le VLAN sono solo nello switch. Prenderemo in considerazione questa tecnologia su uno switch gestito DGS-1100-24 D-link.

IEEE 802.1Q

IEEE 802.1Q è uno standard aperto che descrive una procedura di codifica del traffico per trasmettere le informazioni sull'appartenenza alla VLAN. Per fare ciò, nel corpo del frame viene posizionato un tag contenente informazioni sull'appartenenza a una VLAN. Perché il tag viene posizionato nel corpo e non nell'intestazione del frame, quindi i dispositivi che non supportano le VLAN passano il traffico in modo trasparente, ovvero senza tener conto del suo legame con la VLAN.

Un po' di tossicodipendenza, ovvero la procedura per posizionare un tag in una cornice si chiama iniezione.

La dimensione del tag è di 4 byte. Si compone dei seguenti campi:

• Tag Protocol Identifier (TPID, identificatore di protocollo di tagging). La dimensione del campo è di 16 bit. Specifica quale protocollo viene utilizzato per la codifica. Per 802.1Q, il valore è 0x8100.
• Priorità (priorità). La dimensione del campo è di 3 bit. Utilizzato dallo standard IEEE 802.1p per dare priorità al traffico trasmesso.
• Indicatore di formato canonico (CFI, indicatore di formato canonico). La dimensione del campo è 1 bit. Indica il formato dell'indirizzo MAC. 0 - canonico, 1 - non canonico. CFI viene utilizzato per la compatibilità tra Reti Ethernet e Token Ring.
• Identificatore VLAN (VID, identificatore VLAN). La dimensione del campo è di 12 bit. Specifica a quale VLAN appartiene il frame. Gamma valori possibili da 0 a 4095.

Porti nell'802.1Q

Le porte possono essere in una delle seguenti modalità:

• Tagged port (nella terminologia CISCO - trunk-port) - la porta passa i pacchetti contrassegnati con i numeri VLAN specificati, ma allo stesso tempo non contrassegna i pacchetti in alcun modo
• Porta senza tag (nella terminologia CISCO - porta di accesso) - la porta passa in modo trasparente il traffico senza tag per le VLAN specificate, se il traffico va ad altre porte dello switch al di fuori della VLAN specificata, allora è già visibile lì come contrassegnato con il numero di questa VLAN.
• La porta non appartiene ad alcuna VLAN e non partecipa al funzionamento dello switch

Esempio. C'è uno spazio ufficio in cui il reparto del personale è diviso in due piani, è necessario che i dipendenti siano separati rete comune. Ci sono due interruttori. Creiamo la VLAN 3 su una e sulla seconda, specificheremo le porte che saranno in una delle VLAN come Untagget Port. Affinché gli switch comprendano a quale VLAN è indirizzato il frame, è necessaria una porta attraverso la quale il traffico verrà inoltrato alla stessa VLAN di un altro switch. Selezioniamo, ad esempio, una porta e la specifichiamo come Tagget. Se, oltre alla VLAN 3, ne abbiamo anche altre e il PC-1 situato nella VLAN 3 cercherà PC-2, il traffico di trasmissione non "camminerà" attraverso la rete, ma solo nella VLAN 3. Il frame arrivato essere passato attraverso La tabella MAC, se l'indirizzo del destinatario non viene trovato, tale frame verrà inviato attraverso tutte le porte di tale VLAN da dove è arrivato in esecuzione e la porta Tagget con un tag VLAN in modo che un altro switch trasmetterà al gruppo di porte specificate nel campo VID. Questo esempio descrive una VLAN: una porta può trovarsi solo in una VLAN.

IEEE 802.1anno Domini

802.1ad è uno standard aperto (simile a 802.1q) che descrive un doppio tag. Conosciuto anche come Q-in-Q o VLAN impilate. La principale differenza rispetto allo standard precedente è la presenza di due VLAN: esterna e interna, che consente di dividere la rete non in 4095 VLAN, ma in 4095x4095.

Gli scenari possono essere diversi: il provider deve "inoltrare" il trunk del client senza influire sullo schema di numerazione VLAN, è necessario bilanciare il carico tra le sottointerfacce all'interno della rete del provider o semplicemente non ci sono numeri sufficienti. La cosa più semplice è crearne un altro della stessa etichetta (tag).

AsimmetricoVLAN

Nella terminologia di D-Link, così come nelle impostazioni VLAN, esiste il concetto di VLAN asimmetrica: si tratta di una VLAN in cui una porta può trovarsi in più VLAN.

Lo stato della porta cambia

• Le porte contrassegnate funzionano come prima
• Diventa possibile assegnare più porte a più VLAN come Senza tag. Quelli. una porta alla volta funziona in più VLAN come Senza tag
• Ogni porta ha un altro parametro PVID: questo è l'ID VLAN che contrassegna il traffico da questa porta se va alle porte con tag e all'esterno dello switch. Ciascuna porta può avere un solo PVID

Pertanto, otteniamo che all'interno del dispositivo una porta può appartenere a più VLAN contemporaneamente, ma allo stesso tempo, il traffico che va alla porta contrassegnata (TRUNK) verrà contrassegnato con il numero che abbiamo impostato in PVID.

Limitazione: lo snooping IGMP non funziona quando si utilizzano VLAN asimmetriche.

Crea una VLAN attivaD-collegamentoDGS-1100-24.

Cosa è disponibile. Due interruttori, uno dei quali è D-link DGS-1100-24, l'interruttore n. 2 è collegato ad esso. Le macchine degli utenti sono collegate allo switch n. 2: assolutamente tutti, così come i server, un gateway predefinito e l'archiviazione di rete.

Un compito. Limitare le risorse umane dall'ambiente generale in modo che il server, il gateway e l'archiviazione di rete siano disponibili.

Inoltre, l'interruttore D-link DGS-1100-24 è stato appena estratto dalla scatola. Per impostazione predefinita, la maggior parte degli switch gestiti da D-Link ha un indirizzo 10.90.90.90/8. Non ci interessa essere fisicamente allo switch o cambiare l'indirizzo. C'è un'utilità speciale D-Link SmartConsole Utility che aiuta a trovare il nostro dispositivo sulla rete. Dopo l'installazione, eseguire l'utilità.

Prima di procedere alla configurazione, invertiamo correttamente le porte:

1) Cambiare la porta HR dallo switch n. 2 allo switch n. 1

2) Passare i server, il gateway e l'archiviazione di rete dallo switch n. 2 allo switch n. 1

3) Collegare l'interruttore n. 2 all'interruttore n. 1

Dopo tale passaggio, vediamo l'immagine seguente: server, gateway, archiviazione di rete e reparto del personale sono collegati allo switch n. 1 e tutti gli altri utenti sono connessi allo switch n. 2.

Fare clic sul pulsante "Scopri".

Seleziona la casella e fai clic sull'icona a forma di ingranaggio, si apre la finestra delle impostazioni dell'interruttore. Dopo aver impostato l'indirizzo, la maschera e il gateway, scriviamo la password, che di default è admin.

Fai clic su "Aggiungi VLAN" e specifica il nome e le porte della VLAN

Fai clic su "Applica"

Dopo aver creato le VLAN necessarie, salva l'impostazione, per questo, fai clic su "Salva", "Salva configurazione"

Quindi, vediamo che la VLAN 3 non ha accesso alle porte 01-08, 15-24, quindi non ha accesso a server, gateway, archiviazione di rete, VLAN2 e altri client, che sono collegati allo switch n. 2. Tuttavia, VLAN 2 ha accesso a server, gateway, archiviazione di rete, ma non ad altre macchine. Infine, tutte le altre macchine vedono il server, il gateway, la memoria di rete, ma non le porte 05,06.]

Pertanto, se si dispone di una certa conoscenza delle caratteristiche delle apparecchiature e delle competenze di outsourcing IT, è possibile soddisfare le esigenze del cliente anche su apparecchiature economiche come lo switch D-Link DGS1100-24.

Tutte le persone, la pace sia con voi!

L'evoluzione delle tecnologie di rete negli ultimi anni ha portato a un nuovo trend sostenibile nello sviluppo dei sistemi di videosorveglianza. Dal sistema di televisione a circuito chiuso (CCTV), la videosorveglianza si sta spostando sempre più verso uno dei sistemi informatici del proprietario. Con gli stessi principi di trasmissione, elaborazione e conservazione delle informazioni, e spesso con lo stesso mezzo di trasmissione dati locale rete di computer(LAN) del cliente.

Questa tendenza ha molti aspetti positivi per il settore della sicurezza: unificazione e, di conseguenza, apparecchiature più economiche con funzionalità crescenti e specifiche tecniche; grado di integrazione tra alto, precedentemente irraggiungibile vari sistemi sicurezza tecnica e sistemi informatici del cliente; enormi opportunità di ridondanza di apparecchiature centrali, sistemi di archiviazione dati e sistemi di trasmissione dati; l'automazione del lavoro dell'operatore del sistema di videosorveglianza e l'introduzione di massa di moduli di videoanalisi e visione artificiale.

Ma non dimenticare i problemi correlati: la necessità di garantire la priorità nel trasferimento di dati dai sistemi di sicurezza durante la divisione del mezzo di trasmissione, la necessità di garantire la sicurezza delle informazioni e di tenere conto del carico durante la pianificazione delle reti locali.

In questo articolo, discuteremo i principali approcci alla selezione di switch di rete per sistemi di videosorveglianza utilizzando come esempio le apparecchiature di CJSC NVP Bolid.

Gli interruttori sono il cuore di un sistema di videosorveglianza IP

Nei sistemi di videosorveglianza IP, gli switch di rete possono essere paragonati al cuore, dove i dati generati dalle telecamere IP agiscono come sangue. Affinché il sistema “non si ammali” e sia garantita la consegna dei dati del sistema di videosorveglianza ai consumatori - al centro di monitoraggio e al centro di archiviazione dati - è necessario pianificare correttamente la LAN dell'oggetto e configurare e configurare gli switch di rete.

Principi di selezione dell'attrezzatura

La prima e, forse, la fase più importante è la selezione dell'attrezzatura per un compito specifico del cliente. Di norma, è necessario selezionare la soluzione minima sufficiente, tenendo conto dei piani del cliente per un'ulteriore espansione del sistema.

Proviamo a capire i principi di base della scelta degli switch di rete per la videosorveglianza.

Gestito o non gestito?

Per una risposta competente a questa domanda, dovrai immergerti un po 'in come funziona il processo di trasferimento dei dati nelle reti di comunicazione. Il modo più semplice per farlo è utilizzare il modello di riferimento di base di interconnessione di sistemi aperti standard (OSI).

Ci sono 7 strati nel modello OSI. Ma in pratica, siamo interessati solo a due di essi: il secondo canale (livello 2 data link o L2) e la terza rete (livello 3 rete o L3).

Lo switch di rete opera sia al livello 2, sia ai livelli 2 e 3 secondo il modello OSI. Scopriamo cosa significa. Il livello di collegamento dati è destinato allo scambio di dati tra nodi situati nello stesso segmento LAN. livello di rete comporta l'interazione tra diversi segmenti della rete locale. Tuttavia, per i sistemi di videosorveglianza, che di solito sono fisicamente separati dalle reti locali dell'azienda, il 3° livello del modello OSI viene utilizzato raramente. Pertanto, nonostante gli switch gestiti possano supportare sia Layer 2 che Layer 3 del modello OSI (L3) e solo 2 (L2), gli switch L2 vengono utilizzati per i sistemi di videosorveglianza.

Ora puoi determinare in che modo gli switch gestiti differiscono da quelli non gestiti. Uno switch non gestito è un dispositivo che trasmette in modo indipendente pacchetti di dati da una porta al resto. Ma non a tutti i dispositivi di seguito, ma solo direttamente al destinatario, poiché lo switch ha una tabella di indirizzi MAC. Grazie a questa tabella, lo switch "ricorda" quale porta è quale dispositivo. Uno switch non gestito con porte ottiche può essere un'alternativa a un media converter con un numero limitato di porte, ad esempio quando è necessario convertire l'ottica e inoltrare ulteriori pacchetti di dati a più porte/dispositivi contemporaneamente. Va notato che questo tipo di switch non ha un'interfaccia web, motivo per cui sono chiamati non gestiti.

L'esempio più ovvio dell'uso di switch non gestiti è la combinazione di videoregistratori, server, videocamere, workstation dell'operatore in un'unica rete.

Uno switch gestito è un dispositivo più complesso che può funzionare come non gestito, ma allo stesso tempo ha un insieme esteso di funzioni e supporta protocolli di gestione della rete grazie alla presenza di un microprocessore (infatti uno switch gestito è un computer specializzato). L'accesso alle impostazioni di questo tipo di dispositivo viene solitamente effettuato tramite l'interfaccia WEB. Uno dei principali vantaggi di uno switch gestito è la possibilità di separare una rete locale utilizzando una rete locale virtuale (VLAN). Ciò è necessario se per qualche motivo è impossibile separare fisicamente la rete di videosorveglianza locale dalla rete locale generale dell'impresa.

Gli switch gestiti consentono di dare priorità a determinati traffici attraverso il meccanismo di assegnazione dei livelli di qualità - QoS (quality of service).

Un'altra differenza con uno switch gestito sono i protocolli di ridondanza che consentono di creare topologie complesse, come anelli fisici. In questo caso, la connessione logica rimane ancora bus.

Pertanto, tutti gli interruttori possono essere suddivisi in 3 categorie:

Fattore di forma - Montaggio su rack (montaggio su rack) o su guida DIN (industriale)?

La scelta del fattore di forma dipende da dove è installato lo switch. Di norma, all'interno dell'edificio, gli switch sono installati in server/camere incrociate. Per questo vengono utilizzati rack per server speciali o armadi da 19" montati a parete. In questo caso, è necessario utilizzare un fattore di forma adatto ai rack - Montaggio su rack.

Se si desidera installare l'interruttore all'esterno dell'edificio in un armadio riscaldante, sono necessarie dimensioni compatte, design industriale e montaggio su guida DIN. Quindi l'unico giusta scelta- Supporti per guida DIN.

"Twisted pair" o "ottica"?

Dipende dalla distanza tra telecamera, switch e server. La distanza dal punto terminale del "doppino intrecciato" (cavo UTP / FTP di categoria 5 o superiore) nella croce di telecomunicazioni orizzontale (accanto al server / registrar) al punto di terminazione nella presa di telecomunicazioni (accanto alla telecamera di videosorveglianza) non deve superare i 90 metri (clausola 5.2 .1 GOST R 53246-2008 Sistemi di cavi strutturati).

Ciò non significa che la telecamera non sarà in grado di trasmettere video su lunghe distanze. Tecnologia di trasmissione Internet veloce 100BASE-TX è progettato per funzionare a velocità fino a 100 Mb/s. È ovvio che il bitrate delle telecamere è inferiore e quindi è possibile aumentare la lunghezza del segmento. Ma molti fattori influenzano un particolare oggetto. Standard - sono principalmente per la pianificazione della rete, per l'unificazione. Se si certifica la rete per la conformità ai requisiti degli standard SCS (che il cliente potrebbe richiedere), è necessario rispettare le restrizioni prescritte in GOST R 53246-2008, GOST R 53245-2008 e ISO / IEC internazionali.

Pertanto, di regola, rame doppino utilizzato a distanze fino a 90 metri dalla telecamera all'interruttore, cavo in fibra ottica - quando supera i 90 metri.

Modello	Numero di porte 10/100 Base-T con PoE ("rame")	Numero di porte Up-link 10/100/1000 Base-T ("rame")	Numero di porte Up-link 100/1000 Base-X ("ottica")	Tipi di moduli SFP per porte “ottiche”.
SW-104	4	1	1	155 Mbps 850 nm, 2 km, LC, fibra multimodale 1,25 Gb/s 850 nm, 500 m, LC, fibra multimodale 155 Mbps 1310 / 1550 nm, 20 km, LC, fibra monomodale 155 Mbps 1550 / 1310 nm, 20 km, LC, fibra monomodale
SW-108	8	1	1
SW-204	3	1	2	1,25 Gb/s 850 nm, 500 m, LC, fibra multimodale 1,25 Gb/s 1310/1550 nm, 20 km, LC, fibra monomodale 1,25 Gb/s 1550 / 1310 nm, 20 km, LC, fibra monomodale
SW-216	16	2	0	-
SW-224	24	2	0	-

Topologia di rete - "stella" o "anello"?

Quasi sempre, la topologia della realizzazione di una rete locale (LAN) per i sistemi di videosorveglianza è costruita secondo una topologia a stella. Per i grandi impianti è prevista una divisione: in interruttori di livello di accesso, a cui sono collegate le telecamere TVCC, e in switch di livello centrale di rete, a cui sono collegati interruttori di livello di accesso, video server, postazioni di sicurezza. Per piccole LAN, uno switch può combinare il livello di accesso e il livello principale.

Tuttavia, ci sono momenti in cui la topologia standard non è l'ideale. Questo vale principalmente per i sistemi televisivi di sicurezza perimetrale, dove i vantaggi di una topologia ad anello sono evidenti: un carico più uniforme sui canali di comunicazione, recupero automatico reti dopo una sola pausa.

Lo switch BOLID SW-204 con due porte ottiche Gigabit 100/1000 Base-X supporta il protocollo standard RSTP (Rapid spanning tree protocol) e la topologia ad anello con la funzionalità di ridondanza della comunicazione Fast Ring Network per la realizzazione di reti locali di sistemi di videosorveglianza perimetrale ( vedere Fig. 1) ).

Figura 1. Confronto delle topologie ad anello per i sistemi di videosorveglianza perimetrale degli edifici.

La principale differenza tra RSTP e Fast Ring Network è la velocità di ripristino della rete dopo un'interruzione dell'anello. Fast Ring Network ha un tempo di ripristino garantito (cosiddetto “tempo di convergenza”) inferiore a 50 ms per un anello di 30 switch. RSTP è più lento (tempo di recupero da pochi secondi a 1-2 minuti) e dipende direttamente dal numero di interruttori nell'anello.

Sul questo momento per creare una topologia ad anello con supporto Fast Ring Network, è necessario utilizzare switch L2+ di terze parti che supportano il protocollo Fast Ring Network (topologia ad anello), tuttavia, con il prossimo aggiornamento della linea di videosorveglianza Bolid, l'opportunità di ampliare gamma di modelli verranno presi in considerazione gli interruttori.

* la rete del cliente deve disporre di almeno uno switch L3 per allocare il traffico di videosorveglianza a una sottorete logica (VLAN) separata
** per una topologia ad anello con supporto Fast Ring Network negli switch Bolid, è necessario uno switch L2+, gli altri sono L2

Ridondanza di alimentazione

Quando si sceglie uno switch, è necessario considerare i parametri dell'alimentazione di rete. Di norma, gli switch rack da 19" sono alimentati a 220 VAC. Gli interruttori industriali possono avere valori nominali di tensione di alimentazione diversi, non sempre standard.

Per l'alimentazione ridondante, di norma, utilizzare le fonti gruppo di continuità(UPS) o alimentatori ridondanti con batterie. È importante pianificare in anticipo come riservare esattamente l'alimentazione dello switch, tenendo conto non solo del proprio consumo, ma anche del consumo del carico - telecamere di videosorveglianza collegate alle porte dello switch con supporto PoE.

PoE (Power over Ethernet): calcoliamo il budget energetico

potenza su Ethernet(PoE) - una tecnologia che consente di trasmettere a un dispositivo remoto energia elettrica insieme ai dati su Ethernet a doppino intrecciato standard.

Quando si sceglie uno switch, è necessario considerare due parametri relativi all'utilizzo della tecnologia PoE:

• potenza massima allocata dallo switch per 1 porta
• potenza totale dello switch PoE

La potenza massima assegnata dallo switch a 1 porta non deve essere inferiore al consumo energetico di una qualsiasi delle telecamere collegate allo switch. Il consumo energetico totale di tutte le telecamere non deve superare la potenza totale assegnata dallo switch a tutte le porte PoE. Gli switch Bolid supportano IEEE 802.3af-2003 e IEEE 802.3at-2009. La tabella mostra i dati sugli interruttori "Bolid":

Classi di consumo Telecamere IP PoE Bolid

Le classi di consumo energetico dei dispositivi alimentati sono riportate nella tabella:

Modello	Consumo energetico, non superiore a W	Standard PoE	Classe PoE
VCI-113	4,5	IEEE 802.3af-2003	2
VCI-122	5,1	IEEE 802.3af-2003	2
VCI-123	5,1	IEEE 802.3af-2003	2
VCI-120	9,09	IEEE 802.3af-2003	3
VCI-121-01	13	IEEE 802.3af-2003	3
VCI-130	5,5	IEEE 802.3af-2003	2
VCI-143	6	IEEE 802.3af-2003	2
VCI-140-01	11,5	IEEE 802.3af-2003	3
VCI-184	7	IEEE 802.3af-2003	2
VCI-180-01	12,95	IEEE 802.3af-2003	3
VCI-212	4,5	IEEE 802.3af-2003	2
VCI-222	2,6	IEEE 802.3af-2003	1
VCI-722	5	IEEE 802.3af-2003	2
VCI-220	9,75	IEEE 802.3af-2003	3
VCI-220-01	10	IEEE 802.3af-2003	3
VCI-230	5,5	IEEE 802.3af-2003	2
VCI-830-01	7,5	IEEE 802.3af-2003	3
VCI-242	4	IEEE 802.3af-2003	2
VCI-742	5	IEEE 802.3af-2003	2
VCI-240-01	11,5	IEEE 802.3af-2003	3
VCI-884	4,97	IEEE 802.3af-2003	2
VCI-280-01	15	IEEE 802.3at-2009	4
VCI-252-05	6	IEEE 802.3af-2003	2
VCI-320	10	IEEE 802.3af-2003	3
VCI-412	4,5	IEEE 802.3af-2003	2
VCI-432	4,85	IEEE 802.3af-2003	2
VCI-627-00	10	IEEE 802.3af-2003	3
VCI-627	13	IEEE 802.3at-2009	4
VCI-628-00	12	IEEE 802.3af-2003	3
VCI-528-00	20	IEEE 802.3at-2009	4
VCI-528	26	IEEE 802.3at-2009	5
VCI-529	43	IEEE 802.3at-2009	5
VCI-529-06	38	IEEE 802.3at-2009	5
TCI-111	7	IEEE 802.3af-2003	3

Una funzionalità interessante per la videosorveglianza è PoE Management. Ad esempio, consente di controllare l'alimentazione di tensione alla telecamera, che, ad esempio, è importante per il riavvio remoto di una telecamera bloccata. Inoltre, sono supportate le seguenti funzionalità:

• la funzione di priorità di alimentazione per ciascuna porta può essere di 3 gradi: bassa, media, alta. Le porte a bassa priorità verranno disabilitate in caso di sovraccarico del sistema
• funzione di impostazione della soglia di sovraccarico - in caso di superamento della potenza massima consentita, il sistema interromperà l'alimentazione dalla porta con la priorità più bassa
• controllo manuale per abilitare o disabilitare la funzione PoE su una porta

Condizioni operative - intervallo di temperatura, protezione contro le sovratensioni

Quando si sceglie un interruttore, è necessario tenere conto delle condizioni per il suo funzionamento futuro. Se il funzionamento è all'aperto, anche per gli armadi riscaldanti è preferibile selezionare camere con un intervallo di temperatura esteso fino a -30°C. Inoltre, quando si pianifica una rete informatica locale, è necessario tenere conto della possibilità di sovratensioni nelle linee di comunicazione e elettriche. Per gli interruttori Bolid, le sovratensioni limitanti del rumore impulsivo sono presentate nella Tabella 4:

conclusioni

La selezione degli interruttori per l'organizzazione di una rete locale (LAN) di un sistema di videosorveglianza di sicurezza è un compito un largo numero variabili, ma piuttosto semplici e formalizzabili. I dati forniti nell'articolo ti aiuteranno a scegliere il giusto modello di interruttore Bolid per qualsiasi attività: da un sistema di videosorveglianza di un edificio per uffici a un grande sistema perimetrale con interruttori industriali in armadi riscaldanti per esterni con un linee in fibra ottica collegamento con la ridondanza dei canali dalla topologia ad anello dell'organizzazione della LAN.