Scarica il PDF

Copyright 2005-2010 Gianrico Fichera

 

Configurazione di base degli switch Cisco in ambiente IOS

 La trattazione che segue ha lo scopo di insegnare la configurazione di base degli switch Cisco. Ogni anno escono nuovi modelli di switch e ogni pochi mesi vi sono nuove release dei software. Tuttavia i principi e i metodi di configurazione fortunatamente non evolvono altrettanto rapidamente, in quanto trattasi comunque dello stesso sistema operativo, ovvero il Cisco IOS. Solo in alcune famiglie di switch di fascia alta, come la serie Nexus, ci si scontra con una evoluzione del Cisco IOS, ovvero NX-OS, tuttavia anche in quel caso, che esula da questa trattazione, ci si puo' adattare rapidamente conoscendo il fratello minore di NX-OS, ovvero Cisco IOS. Vale la pena ricordare che alcuni vecchi modelli di switch cisco montano il CatOS, ovvero il vecchio sistema operativo che Cisco adottatava per le prime piattaforme switch. CatOS e' molto differente da IOS ma oramai e' in disuso.

  Confronteremo due switch molto diversi. Un piu' datato Cisco 2924XL con un piu' recente Cisco2948-G-L3. Il confronto sara' molto utile soprattutto perche' il 2948 e' anche layer 3 ovvero e' uno switch/router cosa che il 2924 non e'. Il primo switch e' un 24 porte, il secondo un 48 porte con due slot per collegamenti in fibra.

Avvio dello switch

Se avete tra le mani uno switch non configurato dovete accedervi utilizzando il cavo console, normalmente in dotazione con l'apparato. Se non disponete di porta seriale nel vostro PC, il che puo' essere abbastanza comune, siete costretti ad utilizzare un adattatore USB/Seriale non in dotazione ma acquistabile separatamente da vari produttori.

Solo a partire dal 2010 Cisco ha adottato l'USB per l'interfaccia console, per i nuovi prodotti come negli switch Catalyst 3750-X and 3560-X  oppure la serie di router 1900/2900/3900.

Dopo aver collegato il cavo di console e' necessario avviare un software di emulazione terminale, come il microsoft Hyperterminal oppure altro software di emulazione terminale (Un esempio e' il gratuito TeraTermPro) impostandolo a 9600bps di velocita'.

A questo punto potete accendere lo switch. Dovreste vedere sullo schermo la sequenza di boot e potete partire.

Nel caso in cui lo switch non sia in grado di caricare l'immagine del sistema operativo dalla flash, ad esempio perche' il file di immagine e' corrotto, questo parte in modalita' ROMMON, un programma di bootstrap con una serie di comandi molto limitato ma in grado di gestire il filesystem su flash. Questo normalmente ha il prompt iniziale 'rommon 1 >'.

 

Esempio di sequenze di boot

 

Ecco alcuni elementi interessanti nella sequenza di boot di un Cisco Catalyst 2924XL con IOS 12.0(5)2XU:

...
Parameter Block Filesystem (pb:) installed, fsid: 4
Loading "flash:c2900XL-c3h2s-mz-120.5.2-XU.bin"...##################################################################
file "flash:c2900XL-c3h2s-mz-120.5.2-XU.bin" uncompressed and installed, entry point: 0x3000
...  
Cisco Internetwork Operating System Software
IOS (tm) C2900XL Software (C2900XL-C3H2S-M), Version 12.0(5.2)XU, MAINTENANCE INTERIM SOFTWARE
Copyright (c) 1986-2000 by cisco Systems, Inc.
Compiled Mon 17-Jul-00 17:35 by ayounes
Image text-base: 0x00003000, data-base: 0x00301F3C
...
C2900XL POST: System Board Test: Passed
C2900XL POST: Daughter Card Test: Passed
C2900XL POST: CPU Buffer Test: Passed
C2900XL POST: CPU Notify RAM Test: Passed
C2900XL POST: CPU Interface Test: Passed
C2900XL POST: Testing Switch Core: Passed
C2900XL POST: Testing Buffer Table: Passed
C2900XL POST: Data Buffer Test: Passed
C2900XL POST: Configuring Switch Parameters: Passed
C2900XL POST: Ethernet Controller Test: Passed
C2900XL POST: MII Test: Passed
cisco WS-C2924-XL (PowerPC403GA) processor (revision 0x11) with 8192K/1024K bytes of memory.
Processor board ID FOC0520Y0KB, with hardware revision 0x01
Last reset from power-on
... 

Come potete notare nella sequenza di boot appare l'immagine del sistema operativo che il sistema carica dalla memoria flash. Inoltre potete vedere una serie di test sul dispositivo. Anche la memoria a disposizione e' indicata. In questo caso il sistema ha 8mega di memoria DRAM, e  un mega di memoria I/O. La memoria I/O come memoria separata e' oramai in disuso. Il modello di memoria corrente e' quello shared ovvero di riservare una parte della DRAM per l'I/O e' piu' in generale per la gestione delle risorse di sistema come potete vedere dal prossimo esempio.

 Ecco la sequenza di boot per uno switch Cisco 2948G-L3 con IOS 12.0(25)W5: 

System Bootstrap, Version 12.0(7)W5(15a) RELEASE SOFTWARE
Copyright (c) 2000 by cisco Systems, Inc.

ROMMON: Initializing exceptions
ROMMON: Initializing TLB
ROMMON: Initializing cache
ROMMON: Sizing and zeroing main memory ... 64 MBytes
ROMMON: Sizing non-volatile memory ... 128 KBytes

cat2948g platform with 65536 Kbytes of main memory

Self decompressing the image : ###################################################################################################
##################################################################################################################################
############################################################# [OK]
...
Cisco Internetwork Operating System Software
IOS (tm) L3 Switch/Router Software (CAT2948G-IN-M), Version 12.0(25)W5(27d) RELEASE SOFTWARE
Copyright (c) 1986-2005 by cisco Systems, Inc.
Compiled Thu 18-Aug-05 14:42 by integ
Image text-base: 0x60010928, data-base: 0x6060A000
...
cisco Cat2948G (R5000) processor with 49152K/16384K bytes of memory.
R5000 processor, Implementation 35, Revision 2.1
Last reset from power-on
48 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3z interface(s)
121K bytes of non-volatile configuration memory.
16384K bytes of processor board Boot flash (Read/Write)
...

 In questo caso vedete che viene indicata piu' chiaramente la memoria presente nel sistema. Si tratta di 64mega di cui 16mega sono di 'packet-memory' riservati cioe' dal sistema, mentre 49mega sono 'processor-memory' ovvero allocati dai processi durante la loro esecuzione. In questo caso va sommato cio' che c'e' prima dello slash e dopo. Questo meccanismo di gestione della memoria, ovvero 'shared-memory', viene utilizzato correntemente dalla maggior parte dei modelli di switch e router Cisco.

 

Prompt dei comandi

Dopo che lo switch ha caricato il sistema operativo, nel caso in cui sia la prima configurazione, il sistema vi dara' lo possibilita' di utilizzare un wizard per inserire i parametri iniziali. Ve lo sconsiglio, e' molto poco utile ed istruttivo utilizzarlo. Inserite 'no' come in figura:

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no

A questo punto vi apparira' il prompt dei comandi. Il prompt dei comandi include il nome del router (che potete personalizzare) e l'indicazione di cio' che potete fare nella modalita' in cui siete. Ci sono infatti prompt differenti che vi permettono di fare cose differenti. Le due modalita' principali sono lo 'user mode' e il 'privileged mode'. Nella prima modalita' vi e' un ristretto set di comandi utilizzabili e in particolare non e' possibile vedere o modificare la configurazione del router. Diciamo che e' possibile monitorarlo. Nella seconda modalita' si puo' far cio' che si vuole e in particolare vedere e modificare la configurazione del router. Questo lo si fa entrando nel 'global configuration mode'.

Il prompt dei comandi vi indichera' sempre dove siete. Se state configurando il router vi indichera' dove siete esattamente (ad esempio all'interno di una interfaccia ethernet). Ecco un po' di comandi che si commentano da se:

Router>enable             <-- entro in modalita' privilegiata
Router#disable            <-- esco dalla modalita' privilegiata
Router>enable             <-- rientro in modalita' privilegiata
Router#conf t             <-- entro nella modalita' di configurazione (global configuration mode)
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int fastEthernet 1   <-- entro nella configurazione din una interfaccia (interface configuration mode)
Router(config-if)#exit              <-- esco dalla modalita' precedente
Router(config)#exit
Router#disable
Router>                   <-- ritorno alla modalita' utente

E' importante sapere che nella configurazione completa va inserita una password per passare dalla modalita' utente alla privilegiata. Una volta nella privilegiata possiamo far quello che vogliamo, a meno di configurazioni speciali. Il motivo per cui il prompt di default e' 'router' invece di 'switch' ha motivazioni nel fatto che il 2948 e' uno switch Layer 3, ovvero uno switch che fa anche da router.

Configurazioni di default

La configurazione di default e' il punto di partenza. Lo switch sostanzialmente funziona in una configurazione di base dove sostanzialmente tutte le porte comunicano tra loro. Se colleghiamo due o tre PC a tre porte si vedranno in LAN tra loro e lo switch funzionera', nel caso del 2924. Nel caso del 2948 le porte di default sono disattivate, quindi lo switch non e' utilizzabile se non configurato.

Se avete uno switch Cisco sicuramente questo non vi basta, in quanto potreste fare altrettanto con switch ben piu' economici. Nella configurazione di default vedete le porte a disposizione.

Per vedere la configurazione del router dalla modalita' privilegiata inserire il comando 'show running-config' od una sua qualsiasi abbreviazione.

Ecco la configurazione di default del 2924 (dove per sintesi non ho riportato tutte le interfacce):

Switch#sh run
Building configuration...
Current configuration:
!
version 12.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
ip subnet-zero
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
...
!
interface FastEthernet0/24
!
interface VLAN1
 no ip directed-broadcast
 no ip route-cache
!
!
line con 0
 transport input none
 stopbits 1
line vty 5 15
!
end

Ecco la configurazione di default del 2948:

Router#sh run
Building configuration...

Current configuration:
!
version 12.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
!
ip subnet-zero
!
!
!
interface FastEthernet1
 no ip address
 no ip directed-broadcast
 shutdown
!
interface FastEthernet2
 no ip address
 no ip directed-broadcast
 shutdown
!
...
!
interface FastEthernet47
 no ip address
 no ip directed-broadcast
 shutdown
!
interface FastEthernet48
 no ip address
 no ip directed-broadcast
 shutdown
!
interface GigabitEthernet49
 no ip address
 no ip directed-broadcast
 shutdown
!
interface GigabitEthernet50
 no ip address
 no ip directed-broadcast
 shutdown
!
ip classless
!
!
line con 0
  transport input none
line aux 0
line vty 0 4
!
end
 

  Dal confronto delle due configurazioni di default si vedono somiglianze ma anche grandi differenze. Infatti nel 2948 ogni interfaccia e' in 'shutdown' di default ovvero non attiva. Ogni interfaccia inoltre puo' avere un indirizzo IP in quanto lo switch e' Layer3. Il 2924 non e' layer3 ma e' uno switch layer2. Pertanto non puo' avere indirizzi IP nelle interfacce ma solo un IP per il management che si inserisce nella interfaccia 'VLAN1'. L'indentatura nelle righe di configurazione ci fa capire quali sono i comandi specifici ad una certa interfaccia.

Configurazione delle password

   Ecco come inserire la password per l'accesso alla modalita' privilegiata

switch(config)#enable secret cisco

Ed ecco come inserire la password per l'accesso al router tramite TELNET:

Switch(config)#line vty 0 4
                password cisco
                login

La sezione 'line vty' indica le linee di terminale virtuale ovvero le sessioni di terminale che lo switch genera quando ci si collega in TELNET. Ovviamente, affinche' riusciate effettivamente ad entrare in TELNET, e' necessario che lo switch abbia un indirizzo IP, cosa che vedremo nei paragrafi successivi.

Salvataggio della configurazione

Tutte le modifiche fatte ai router/switch Cisco sono operative da subito ma non sono permanenti. Ovvero se riavviate lo switch perdete tutte le modifiche fatte. Per ovviare a cio' e' necessario registrare le modifiche fatte con il comando 'copy' come in figura:

Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]

Il file di configurazione viene salvato in una memoria speciale, chiamata NVRAM. La motivazione dietro al comportamento indicato e' perfettamente sensata. Se cambiate la configurazione e il cambiamento che fate crea dei problemi immediati potete comunque far spegnere e riaccendere l'apparato e farete il ripristino della precedente configurazione funzionante. In casi in cui facciate 'danni' e operiate da remoto questa procedura e' il male minore in quanto chiunque puo' essere in grado di spegnere e riaccendere l'apparato.

VLAN

Il concetto di VLAN e' di fondamentale importanza per la configurazioni di reti complesse. Di default tutte le porte dello switch sono nella stessa VLAN. Con questo intendiamo che tutte le porte dello switch comunicano tra loro. Questo puo' sembrare ovvio per chi utilizza semplici switch. Infatti non si vede per quale motivo un PC collegato alla porta 3 di uno switch non debba comunicare con un secondo PC collegato alla porta 10. In realta', in molte circostanze, isolare porte o gruppi di porte e' estremamente utile. E qui entrano in gioco le VLAN.

Una VLAN e' identificata da un nome o da un numero che si puo' associare ad una o piu' porte che formeranno un gruppo isolato rispetto ad altre porte che si troveranno in altre VLAN.

Sostanzialmente con le VLAN possiamo dividere uno switch fisico in piu' switch logici, isolati tra loro.

Nelle aziende di qualsiasi tipo e' importante la sicurezza. Attivita' di uffici differenti devono restare isolate tra loro. Per fare un esempio banale e' abbastanza ovvio mettere in VLAN diversa i PC dell'officina rispetto a quelli dell'amministrazione anche in una piccola attivita' di riparazione auto. E cosi', dalle aziende piu' piccole ai campus universitari, e' fondamentale tenere separate le reti negli switch.

Ma chi decide chi e quando puo' attraversare la barriera tra una VLAN e l'altra? La risposta e' che un router, o un dispositivo di Layer 3, raccoglie il traffico di tutte le VLAN e decide, tramite la configurazione dell'operatore, le eccezioni di sicurezza che consentono il passaggio di traffico tra le VLAN.

Quindi le VLAN restano isolate tra loro attraversando uno o piu' switch della LAN. Se c'e' comunicazione tra loro avviene in un Layer 3 che deve ricevere i dati da tutte le VLAN (tramite un collegamento speciale con uno switch chiamato TRUNK).

Per vedere le vlan configurate in uno switch si utilizza il comando 'show vlan'. Ecco cosa appare nel 2924.

mioswitch#sh vlan
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active      Fa0/1, Fa0/2, Fa0/3, Fa0/4,
                                                  Fa0/5, Fa0/6, Fa0/7, Fa0/8,
                                                  Fa0/9, Fa0/10, Fa0/11, Fa0/12,
                                                  Fa0/13, Fa0/14, Fa0/15, Fa0/16,
                                                  Fa0/17, Fa0/18, Fa0/19, Fa0/20,
                                                  Fa0/21, Fa0/22, Fa0/23, Fa0/24
1002 fddi-default                     active
1003 token-ring-default               active
1004 fddinet-default                  active
1005 trnet-default                    active

VLAN Type  SAID       MTU   Parent   RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ------    -----  ------   ------ -------- ---  -------- ------ ------
1    enet  100001     1500    -        -       -      -      -      1002   1003
1002 fddi  101002     1500    -        -       -      -      -       1     1003
1003 tr    101003     1500  1005       0       -      -     srb      1      1002
1004 fdnet 101004     1500    -        -       1     ibm    -        0      0
1005 trnet 101005     1500    -        -       1     ibm    -        0      0

Ed ecco cosa appare nel 2948:

Router#show vlan

No Virtual LANs configured.

Notate che nel 2924 tutte le porte sono di default nella VLAN1. Essendo tutte nella stessa VLAN questo equivale ad affermare che non c'e' partizionamento dello switch e che quindi lo switch si comporta come se non esistessero VLAN comunicando tutte le porte tra loro. Ignorate le vlan superiori a 1000. Sono VLAN di default per il supporto di vecchi protocolli LAN oramai in disuso.

Il 2948 non ha VLAN preconfigurate. Essendo layer 3 si comporta in modo differente dal 2924. Infatti ha tutte le porte con il comando 'shutdown' ovvero non attive. Il 2948 non funziona senza preconfigurazione a differenza del 2924. 

Amministrazione remota switch 2924

 
  Tutte le porte del 2924 di default sono nella VLAN1. Il 2924 e' uno switch layer2 pertanto non e' in grado di fare routing. La configurazione layer 3 si limita all'assegnazione di un indirizzo ip e di un gateway che ne consentono l'amministrazione da remoto, tramite telnet, http o  un programma che utilizza il protocollo SNMP. L'amministrazione e' possibile dagli apparati presenti nella VLAN1, la vlan di default, che per questo si chiama anche 'vlan di management'.  In questo esempio assegnamo allo switch l'IP 192.168.30.6/24 e gateway 192.168.30.1. Si notino allora i comandi 'ip address' e 'ip default-gateway' per assegnare un ip ad una interfaccia e per assegnare il gateway allo switch.

mioswitch(config)#int vlan1
mioswitch(config-if)#ip address 192.168.30.6   255.255.255.0
mioswitch(config)#ip default-gateway   192.168.30.1

E' possibile cambiare la VLAN di management se necessario. Ad esempio se abbiamo una VLAN 2 e la vogliamo far diventare VLAN di management, configuriamo l'indirizzo ip su di essa e il gioco e' fatto. E' possibile una sola VLAN di management.

interface VLAN1
  no ip address
  no ip directed-broadcast
  no ip route-cache
  shutdown
interface VLAN2
  ip address 192.168.30.6 255.255.255.0
  no ip directed-broadcast
  no ip route-cache
!

   Adesso lo switch e' amministrabile da tutte le postazioni nella VLAN1 (o VLAN2) e anche al di fuori della LAN, in quanto abbiamo impostato il gateway. Il modo piu' semplice di verificare e' accedendo tramite TELNET dalla VLAN1 (o VLAN2) utilizzando la password inserita nei paragrafi precedenti in 'line vty 0 4'.

Amministrazione remota switch 2948

  Essendo layer 3 lo switch 2948 va visto come un router con 48 ethernet. Allora risulta ovvio che nella configurazione di default non vi sono VLAN configurate e che di default tutte le porte sono in shutdown, esattamente con in qualsiasi router Cisco.

  Per il management e' necessario scegliere una porta, che si chiamera' "management port" che restera' isolata dalle altre e' che avra' la sola funzionalita' di permettere l'accesso per la manutenzione dell'apparato, come la sua configurazione. Questo concetto e' importante. E' necessario poter accedere all'apparato in situazioni anche critiche, quindi e' bene che la porta per il management sia isolata dalle altre e segua nella LAN un percorso separato.

  Configuriamo l'interfaccia di management. Si noti il comando 'no shut' abbreviazione di 'no shutdown' per attivare l'interfaccia.

Router(config)#int fastEthernet 1
Router(config-if)#ip address 192.168.30.188 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#
01:09:32: %LINK-3-UPDOWN: Interface FastEthernet1, changed state to upexit
Router#
01:09:34: %SYS-5-CONFIG_I: Configured from console by console
Router#
Router#sh run interface fastEthernet 1
Building configuration...

Current configuration:
!
interface FastEthernet1
  ip address 192.168.30.188 255.255.255.0
  no ip directed-broadcast
  end

Router#

A questo punto potete accedere in TELNET allo switch, tramite la FastEthernet1 e la password inserita in 'line vty 0 4' come indicato nei paragrafi precedenti.

Parametri di base e stato delle porte: duplex e speed

Ogni porta fisica nella configurazione ha una equivalente configurazione nella sezione 'interface fastethernet' del file di configurazione. Con il comando: 'show interface fastethernet N/M', dove N e M sono numeri che indicano il numero di porta fisica dello switch, e' possibile vedere lo stato di una porta. Di particolare importanza sono le righe commentate in figura, relative al 2924:

FastEthernet0/1 is up, line protocol is up    <-- Stato dell'interfaccia. 'UP' vuol dire che e' collegata fisicamente qualche apparato acceso
  Hardware is Fast Ethernet, address is 0006.2874.4041 (bia 0006.2874.4041)
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not set
  Auto-duplex (Full), Auto Speed (100), 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Queueing strategy: fifo
  Output queue 0/40, 0 drops; input queue 0/75, 0 drops
  5 minute input rate 5000 bits/sec, 10 packets/sec   <-- Traffico in 'input'
  5 minute output rate 98000 bits/sec, 17 packets/sec

     4674 packets input, 383089 bytes
     Received 229 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored  <-- Errori di trasmissione. Dovrebbero essere pari a 'zero' o comunque molto limitati
     0 watchdog, 8 multicast
     0 input packets with dribble condition detected
     7451 packets output, 5149573 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

Il Cisco 2924 numera le porte 'FastEthernet 0/N' mentre il 2948 semplicemente 'FastEthernet N'. Sono notazioni differenti che dipendono dalla configurazione hardware del dispositivo. Normalmente quando vi sono due numeri il primo rappresenta il numero di modulo, nel caso di switch modulari (cosa che il 2924 non e', per questo e' sempre pari a zero). L'indicazione di fastethernet ci indica che la porta supporta i 100 megabit. Nel caso di interfacce che supportano il gigabit la notazione normalmente e' 'gigabitethernet'. Nel caso di vecchie interfacce ethernet a 10mega oppure, nel caso di apparati piu' recenti, potete trovare la semplice indicazione 'Ethernet'.

Verificare lo stato delle interfacce e' particolarmente utile da remoto perche' e' possibile vedere se c'e' effettivamente qualche dispositivo collegato alla porta dello switch e verificarne lo stato.

Configuriamo velocita' e duplex per la porta 1. Di default le porte hanno abilitata l'autonegoziazione ovvero il riconoscimento automatico della velocita' della Ethernet e del duplex.

Ecco come si forza rispettivamente il duplex e la velocita':
mioswitch(config)#int fast0/1
mioswitch(config-if)#description --- router gateway internet ---
mioswitch(config-if)#duplex ?
  auto  Enable AUTO duplex configuration
  full  Force full duplex operation
  half  Force half-duplex operation

mioswitch(config-if)#duplex auto
mioswitch(config-if)#speed ?
  10    Force 10 Mbps operation
  100   Force 100 Mbps operation
  auto  Enable AUTO speed configuration

mioswitch(config-if)#speed auto

 

Configurazioni di base:

Router(config)#hostname 2948g-l3
2948g-l3(config)#clock timezone GMT +1
2948g-l3(config)#clock calendar-valid
2948g-l3(config)#service timestamps log datetime localtime msec
2948g-l3(config)#service timestamps debug datetime localtime msec
 

 

 

Gestione delle VLAN

 L'assegnazione di una porta in una VLAN si effettua col comando 'switchport'. La VLAN viene creata automaticamente con l'assegnazione della stessa ad una porta. Nell'esempio a seguire associamo la VLAN numero due alle porte 1 e 2 dello switch:

interface FastEthernet0/1
 description --- router gateway internet ---
 switchport access vlan 2
!
interface FastEthernet0/2
 switchport access vlan 2
In questo secondo esempio creiamo una terza VLAN, la numero 10. Ecco il risultato:
mioswitch# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
mioswitch(config)#int fast0/15
mioswitch(config-if)#switch access vlan 10
mioswitch#sh vlan brief
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/3, Fa0/4, Fa0/5, Fa0/6,
                                                Fa0/7, Fa0/8, Fa0/10, Fa0/11,
                                                Fa0/12, Fa0/13, Fa0/14, Fa0/16,
                                                Fa0/17, Fa0/18, Fa0/19, Fa0/20,
                                                Fa0/21, Fa0/22, Fa0/23, Fa0/24
2    VLAN0002                         active    Fa0/1, Fa0/2, Fa0/9
10   VLAN0010                         active    Fa0/15
1002 fddi-default                     active
1003 token-ring-default               active
1004 fddinet-default                  active
1005 trnet-default                    active

 

Compared to other routers, Layer 3 switch routers process more packets faster by using application-specific integrated circuit (ASIC) hardware instead of microprocessor-based engines. Layer 3 switch routers also improve network performance with two software functions, route processing and intelligent network services.

Layer 3 switching software on the Catalyst 2948G-L3 and the Catalyst 4908G-L3 switch router features the switching database manager (SDM). SDM resides on the central processor; its primary function is to maintain the Layer 3 switching database in ternary content addressable memory (TCAM). SDM maintains the address entries contained in TCAM in an appropriate order. SDM manages TCAM space by partitioning protocol-specific switching information into multiple regions.

The key benefit of SDM in Layer 3 switching is its ability to configure the size of the protocol regions in TCAM. SDM enables exact-match and longest-match address searches, which result in high-speed forwarding

 

 

 

 

 

 

 

Il Catalyst 2924 e' dotato di server web ed e' configurabile nelle sue funzionalita' di base tramite browser quale Internet Explorer o altro. Per quest'ultima opzione e' necessario attivare il servizio web come segue:

 mioswitch(config)#ip http server

  L'accesso web e' protetto da nome utente e password. Lasciare il campo username in bianco se
nella configurazione non sono stati definiti degli utenti. Utilizzare la password di enable. L'accesso
web andrebbe protetto definendo gli indirizzi ip delle postazioni di management ed impedendone la
gestione a tutti gli altri. A tale scopo si puo' utilizzare un'access-list tramite il comando "ip http access-class":
mioswitch(config)#ip http access-class ?
  <1-99>  Access list number
 I file html del server web sono nella flash dello switch:
mioswitch#dir
Directory of flash:/

  2  -rwx     1645810   Jul 18 2000 01:26:29  c2900XL-c3h2s-mz-120.5.2-XU.bin
  3  -rwx      105970   Jul 18 2000 01:26:29  c2900XL-diag-mz-120.5.2-XU
  4  drwx        6784   Jul 18 2000 01:26:30  html
111  -rwx        1296   Mar 01 1993 00:48:59  config.text
112  -rwx         272   Jan 01 1970 00:00:26  env_vars

3612672 bytes total (834560 bytes free)
mioswitch#dir html
Directory of flash:/html/

  5  drwx           0   Jul 18 2000 01:26:29  Snmp
  6  -rwx         656   Jul 18 2000 01:26:29  ClusterBuilder.html.gz
  7  -rwx         613   Jul 18 2000 01:26:29  ClusterManager.html.gz
  8  -rwx        1413   Jul 18 2000 01:26:29  Graph.html.gz
  9  -rwx         211   Jul 18 2000 01:26:29  back.html.gz
 10  -rwx         253   Jul 18 2000 01:26:29  basiccfg.html.gz
 11  -rwx         636   Jul 18 2000 01:26:29  switchmgr.html.gz
 12  -rwx         185   Jul 18 2000 01:26:29  blank.html.gz
 13  -rwx         989   Jul 18 2000 01:26:29  cluster.html.gz
 14  -rwx         250   Jul 18 2000 01:26:29  menu.html.gz
 15  -rwx         347   Jul 18 2000 01:26:29  port.html.gz
 16  -rwx         331   Jul 18 2000 01:26:29  cv.html.gz
 17  -rwx         860   Jul 18 2000 01:26:29  popup.html.gz
 18  -rwx         343   Jul 18 2000 01:26:29  Detective.html.gz
 19  -rwx         787   Jul 18 2000 01:26:29  DrawGraph.html.gz
 20  -rwx         803   Jul 18 2000 01:26:29  GraphFrame.html.gz
... snip ...

  Per l'amministrazione remota tramite snmp  si utilizza il comando "snmp-server". Questo e' utile 
quando si utilizzano applicazioni per l'amministrazione o il monitoraggio da remoto come
mrtg o CiscoWorks. Notate le password di sola lettura (RO) e di lettura/scrittura (RW) rispettivamente
'cisco' e cisco2'
snmp-server community cisco RO
snmp-server community cisco2 RW
snmp-server community pluto view v1default RO
snmp-server location catania
snmp-server contact gianrico
snmp-server host 192.168.30.45 trap pluto  tty config
 

Spanning-Tree 
   Lo spanning-tree e' abilitato di default. Nelle LAN senza la presenza di loop puo' anche essere disabilitato.
Nelle LAN con loop e' indispensabile. In ogni caso conviene disabilitarlo sulle porte non collegate ad altri switch 
in quanto queste non possono generare loop. In quest'ultimo caso la porta iniziera' il forwarding dei pacchetti
da subito invece di necessitare di circa 30 secondi dovuti alla presenza di STP. Se l'argomento non e' chiaro 
consiglio la lettura del tutorial sullo Spanning-Tree.
Per disabilitare STP si utilizza il comando 'spanning-tree portfast'.
Nell'esempio a seguire utilizziamo il comando "debug spantree event" per analizzare il portfast:
Ecco cosa succede col portfast disattivo sulla fastethernet 0/20:

mioswitch#debug spantree event
Spanning Tree event debugging is on
mioswitch#debug spantree tree
Spanning Tree BPDU debugging is on
mioswitch#
01:28:08: ST: FastEthernet0/20 vlan 1 -> listening
01:28:08: %LINK-3-UPDOWN: Interface FastEthernet0/20, changed state to up
01:28:08: The port state changed due to the interface up/down on interface FastE
thernet0/20
01:28:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/20, chan
ged state to up
01:28:23: port = 0, old = 0, new = 0
01:28:23: ST: FastEthernet0/20 vlan 1 -> learning
01:28:38: port = 0, old = 0, new = 0
01:28:38: ST: FastEthernet0/20 vlan 1 -> forwarding
Ecco cosa succede col portfast attivo sulla fastethernet 0/2:
01:29:45: ST: FastEthernet0/2 vlan 2 ->jump to forwarding from blocking
01:29:45: port = 0, old = 0, new = 0
01:29:45: %LINK-3-UPDOWN: Interface FastEthernet0/2, changed state to up
01:29:45: The port state changed due to the interface up/down on interface FastE
thernet0/2
01:29:46: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, chang
ed state to up
interface FastEthernet0/1
 description --- router gateway internet ---
 switchport access vlan 2
 spanning-tree portfast
!
interface FastEthernet0/2
 switchport access vlan 2
 spanning-tree portfast
   Se lo switch e' l'unico della rete o se gli switch hanno una topologia priva di loop e' possibile disabilitare
lo STP per tutte le porte. Poiche' il tipo di STP e' PVST (ovvero vi e' una istanza per VLAN) ecco l'esempio per disattivarlo
nella VLAN numero 10:
!
no spanning-tree vlan 10
ip subnet-zero
!
Fare molta attenzione quando si disabilita lo Spanning-Tree. Accertarsi che la topologia lo consente.


Sicurezza
   La sicurezza sulle porte consente la protezione della rete da intrusioni provenienti dalla LAN stessa piu' che dall'esterno. 
Le intrusioni provenienti dall'esterno di una LAN si gestiscono tramite firewall. 
   Supponiamo per esempio di gestire la LAN dell'Universita' di Scienze dell'Informazione di Pennyville.
Senza che nessuno ci avverta vi sono continui inserimenti di HUB nella LAN e la reale topologia della rete sfugge
ormai al nostro controllo. Questo e' da evitare. Per correre ai ripari forziamo lo switch a mappare un
solo MAC su ogni porta che dev'essere collegata ad un PC. Se si viola la regola la porta si disattiva 
automaticamente:
mioswitch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
mioswitch(config)#int fast0/20
mioswitch(config-if)#port security action ?
  shutdown  shut down the port from which security violation is detected
  trap      send snmp trap for security violaiton

mioswitch(config-if)#port security ?
  action         action to take for security violation
  max-mac-count  maximum mac address count
  <cr>

Current configuration:
!
interface FastEthernet0/20
 port security max-mac-count 1
 port security action shutdown
end

  Proteggiamo adesso lo switch da flooding di traffico dovuti, ad esempio, da un attacco DDoS, o da un componente di rete malfunzionante. Nel caso in cui i pacchetti per secondo superano una soglia viene inviata una segnalazione tramite trap snmp. La segnalazione avviene sia nel caso di traffico unicast che multicast o broadcast. Ecco un esempio di configurazione realizzata tramite la comoda interfaccia web in dotazione:

interface FastEthernet0/13
 port storm-control filter
 port storm-control trap
 port storm-control broadcast action filter
 port storm-control broadcast trap
 port storm-control multicast action filter
 port storm-control multicast trap
 port storm-control unicast action filter
 port storm-control unicast trap
     

Nell'immagine che segue si possono interpretare i valori (qui sono quelli di default) relativi a questo esempio. I valori sono espressi in termini di pacchetti per secondo:

 

 
Risoluzione dei problemi e span
   Se la rete non si comporta come dovrebbe e vogliamo monitorare esattamente tutti i frame in transito in una porta
 possiamo utilizzare lo "span". Si tratta di duplicare il traffico di una porta su una seconda, libera cioe' non
collegata fisicamente cosi' da porter agganciare il nostro strumento di monitoring, normalmente uno sniffer.
Le due porte devono essere nella stessa VLAN. Ecco come duplicare il traffico della Fast0/4 sulla 0/3.
interface FastEthernet0/3
 port monitor FastEthernet0/4
!

Per chi usa i telefoni IP

Anche se non e' un argomento di base ecco, per chi utilizza nella propria rete i telefoni IP, come gestire la seconda VLAN, riservata al traffico voce, su una stessa porta.

 
 
IPphone collegato alla fasteth0/18 con VLAN 10. Traffico dati nella stessa interfaccia nella VLAN di
default:
interface FastEthernet0/18
 switchport priority default 0   
 switchport voice vlan 10        <---- traffico voce va qui
!
mioswitch(config-if)#switchport priority default ?
  <0-7>  Priority for untagged frames (7 is highest)

 

In questo secondo tipo di configurazione, tutto il traffico va nella vlan nativa:
mioswitch(config-if)#switchport voice vlan ?
  <1-4094>  Vlan for voice traffic
  dot1p     Priority tagged on PVID
  none      Don't tell telephone about voice vlan
  untagged  Untagged on PVID

mioswitch(config-if)#switchport voice vlan dot1p
 

Etherchannel

  Per Etherchannel si intende la possibilita' di raggruppare piu' porte al fine di creare un unico flusso di dati di maggior capacita'. Un uso tipico e' per il collegamento tra switch. Raggruppare
piu' porte a 100mbps, per esempio, puo' voler dire avere un canale dati di 200, 300 o piu' mbps,
ideale per una dorsale collegante piu' switch. Se non si hanno a disposizione porte gigaethernet
e gli switch sono tutti 10/100 e' una buona soluzione per LAN di piccole dimensioni. Naturalmente ai due capi dell'Etherchannel gli switch devono essere configurati allo stesso modo. Ecco nell'esempio come raggruppare tre porte, dalla 0/10 alla 0/12 e creare il gruppo 1, che rappresenta l'Etherchannel:

interface FastEthernet0/10
 port group 1
!
interface FastEthernet0/11
 port group 1
!
interface FastEthernet0/12
 port group 1
!

 Per Etherchannel, nel catalyst 2960g "channel-group 1 mode"      IOS version:oc2960-lanbase-mz.122-25.SEE3n

Trunk

  Per trunking si intende la possibilita' di far transitare piu' VLAN sullo stesso canale fisico. Cio' accade nelle reti con piu' VLAN che transitano nelle singole dorsali fisiche.  

 Laddove vi sono piu' switch e si usano le VLAN e' pressocche' indispensabile usare i trunk nei collegamenti switch-switch altrimenti si dovrebbe riservare una dorsale per ogni VLAN. Vi sono due protocolli che gestiscono l'incapsulamento delle VLAN sullo stesso canale fisico: ISL e 802.1q. Il primo e' proprietario Cisco, il secondo standard. Ecco la porta 0/22 configurata con trunk 802.1q:

 

mioswitch#sh run int fast0/22
Building configuration...

Current configuration:
!
interface FastEthernet0/22
 switchport trunk encapsulation dot1q
 switchport mode trunk
end

Protezione delle porte

  Il comando "switchport protected" fa si che l'interfaccia non possa interagire con altre porte nello stesso stato. Questo e' particolarmente utile quando piu' server non devono comunicare tra loro ma solo con un router esterno, ad esempio.

 
Configurazione da interfaccia WEB

  Le funzionalita' di base dello switch possono essere configurate da web. Cio' e'
molto utile per creare una configurazione iniziale con rapidita' e lasciare solo ad un uso successivo l'interfaccia caratteri. Abbiamo gia' spiegato come configurare lo switch per consentirne l'amministrazione da web. Lo switch in oggetto ha ip 192.168.30.6

Galleria d'immagini:

Immagine 1: http://192.168.30.6
 
Immagine 2: Accesso alla Web Console (e' in Java)
 
Immagine 3: Se non avete la Java Virtual Machine scaricatela dal sito Sun


 

Immagine 4: Richiesta di username e password (leggi l'articolo)

Immagine 5: schermata iniziale successiva all'accesso


 

Immagine 6: Cliccando col mouse sulle porte si possono configurare
 

 

Immagine 7: Assegnazione di una VLAN ad una porta


 

Immagine 8: Modifica della VLAN di Management

 

 

 

Copyright 2002-2004 – gianrico fichera - ITESYS srl –

Il materiale di questa pagina non e’ sponsorizzato o sottoscritto da Cisco Systems, Inc. Ciscoâ e’ un trademark di Cisco Systems, Inc. negli Stati Uniti e in altri stati. L’autore di questa pagina non si assume nessuna responsabilita’ e non da nessuna garanzia riguardante l’accuratezza e la completezza delle informazioni presenti nonche’ da conseguenze sull’uso delle informazioni presenti in questa pagina.
Il sito web ufficiale della Cisco e’ http://www.cisco.com. Nel caso si volesse utilizzare il contenuto di questa pagina nella forma in cui e’ presentato rivolgersi all’autore scrivendo a gianrico.fichera itesys.it. E' possibile utilizzare il contenuto di questa pagina per fini didattici (non lucro) purche' si dia credito all'autore.