Он состоит из 4-х закладок. Первые три показывают состояние для портов по признаку фильтрации broadcast, multicast и unicast пакетов. Broadcast - широковещательные пакеты, передаются всем машинам в данной подсети. Multicast пакеты передаются всем машинам в данной multicast группе. Unicast пакеты - верхний уровень пакетов, передаются всем машинам в сети, в них могут быть упакованы другие типы пакетов. На странице flooding control показывается состояние фильтров для каждого порта. Выделите порт, или группу портов и нажмите modify для изменения параметров фильтров порта. Допустимые параметры:
Параметр | Допустимые значения |
Filter state | Состояние фильтра. Допустимые значения: Disable - выключен Enable - включен |
Trap state | Посылать ли сообщения SNMP серверу при фильтрации штормового трафика |
Rising threshold | Пороговое значение широковещательных пакетов в секунду до начала фильтрации |
Falling threshold | Нижний порог фильтра. При достижении этого значения фильтрация отключается |
Кроме этого в окне статуса можно увидеть количество пакетов в секунду данного типа, приходящих на порт и число посланных сообщений о начале и конце фильтрации.
Для портов можно также установить, будет ли он принимать Multicast и Unicast пакеты с неизвестными mac адресами. Если установлено значение Enable, то такой трафик разрешен, иначе он блокируется. Для каждого порта можно посмотреть это значение, а затем выделив его, нажать кнопку Modify для изменения этих параметров.
Включение flood фильтров:
Команда | Назначение | |
Шаг 1 | configure terminal | Вход в режим настройки. |
Шаг 2 | interface interface | Вход в режим настройки порта. |
Шаг 3 | port storm-control broadcast [threshold {rising rising-number falling falling-number}] | Введите верхний и нижний пороги фильтра широковещательных пакетов соответственно. Верхний порог должен быть больше нижнего(что не должно вызывать сомнений). |
Шаг 4 | port storm-control trap | Посылать SNMP серверу сообщения о включении/выключении фильтра. |
Шаг 5 | end | Выход из режима конфигурации. |
Шаг 6 | show port storm-control [interface] | Проверка сделанных изменений. |
Выключение flood фильтров:
Команда | Назначение | |
Шаг 1 | configure terminal | Вход в режим настройки. |
Шаг 2 | interface interface | Вход в режим настройки порта. |
Шаг 3 | no port storm-control broadcast | Выключение фильтра широковещательных пакетов |
Шаг 4 | end | Выход из режима конфигурации. |
Шаг 5 | show port storm-control [interface] | Проверка сделанных изменений. |
Отключение неизвестных multicast/unicast пакетов
Команда | Назначение | |
Шаг 1 | configure terminal | Вход в режим конфигурации. |
Шаг 2 | interface interface | Вход в режим настройки порта. |
Шаг 3 | port block multicast | Блокировка multicast пакетов. |
Шаг 4 | port block unicast | Блокировка unicast пакетов. |
Шаг 5 | end | Выход из режима конфигурации. |
Шаг 6 | show port block {multicast | unicast} interface | Проверка изменений для соответственно multicast и unicast пакетов(по-отдельности). |
Нормальный режим передачи пакетов
Команда | Назначение | |
Шаг 1 | configure terminal | Вход в режим конфигурации. |
Шаг 2 | interface interface | Вход в режим настройки порта. |
Шаг 3 | no port block multicast | Отключение блокировки multicast пакетов. |
Шаг 4 | no port block unicast | Отключение блокировки unicast пакетов. |
Шаг 5 | end | Выход из режима конфигурации. |
Шаг 6 | show port block {multicast | unicast} interface | Проверка изменений для соответственно multicast и unicast пакетов(по-отдельности). |
В свитчах серии Catalyst 2900XL возможен вариант ограничения доступа к порту по mac адресам. Для вывода на экран диалога конфигурации безопасности порта, выберите из всплывающего меню порта пункт Port Security. Отобразится окно примерно следующего содержания:
Объяснение полей:
Параметр | Допустимые значения |
Status | Текущее состояние безопасности порта. Enable - включено, Disable - выключено. |
Send trap | Определяет, будет ли свитч посылать сообщение SNMP серверу при нарушении установки допустимого количества mac адресов. |
Shutdown Port | Определяет, будет ли свитч автоматически отключать порт при нарушении установки допустимого количества mac адресов. |
Maximum Adress Count | Максимальное количество mac адресов(1-132), которые могут быть подключены к свитчу(учтите другой свитч или хаб могут иметь столько mac адресов, сколько рабочих станций или других сетевых коммутаторов подключено к ним). Для порта, подключЈнного к рабочей станции можно поставить значение 1, для обеспечения своего рода тунеля между свитчом и PC. Для хабов или свитчей можно ставить любое значение допустимых mac адресов в диапазоне 1-132. Значение N/A высвечивается при отключЈнном режиме безопасности, что означает сколько угодно mac адресов. |
Включение безопасности для порта.
Команда | Назначение | |
Шаг 1 | configure terminal | Вход в режим конфигурации. |
Шаг 2 | interface interface | Режим настройки порта. |
Шаг 3 | port security max-mac-count 1 | Максимальное количество mac адресов для порта + включение безопасности. |
Шаг 4 | port security action shutdown | При нарушении безопасности порт будет выключаться. |
Шаг 5 | end | Выход из режима конфиурации. |
Шаг 6 | show port security | Проверка изменений. |
Выключение безопасности для порта.
Команда | Назначение | |
Шаг 1 | configure terminal | Вход в режим конфигурации. |
Шаг 2 | interface interface | Режим настройки порта. |
Шаг 3 | no port security | Отключение безопасности для порта. |
Шаг 4 | port security action shutdown | При нарушении безопасности порт будет выключаться. |
Шаг 5 | end | Выход из режима конфиурации. |
Шаг 6 | show port security | Проверка изменений. |
3 Виртуальные сети (VLAN)
Вообще термин VLAN означает виртуальная локальная сеть. Такая сеть отличается от физической LAN лишь тем, что организуется разделение пакетов в единой локальной сети так, как если бы это были бы разные подсети. Таким образом с помощью VLAn можно организовать деление локальной сети на отдельные участки. При этом существует возможность регулировать взаимодействие VLAN весьма широко.
3.1 Типы VLAN
Нет нужды говорить, что существует несколько типов организации VLAN в сети. Самый простой из них - статический. Вы назначаете каждому порту какой-либо номер VLAN и они будут "видеть" только те порты, что принадлежат тому же VLAN. При этом абсолютно исключается возможность взаимодействия с "чужим" портом. При этом сами коммутаторы соединяются между собой посредством особых каналов связи - trunk магистралей. По таким магистралям проходят данные всех VLAN. Но, к сожалению, trunk порт должен быть point-to-point(о двух концах) и может подключаться только к свитчам и роутерам, поддерживающим VLAN. Таким образом организация сетевого доменного сервера становится возможной только при использовании роутера :(. С другой стороны trunk магистрали поддерживаются всеми типами свитчей, которые умеют делать VLAN. Другое преимущество - использование особого протокола кисок, обеспечивающего централизованное управление всей системой VLAN. Например, вы можете на сервере VTP отключить или включить определЈнную VLAN. МультиVLAN очень интересный тип организации VLAN. Он состоит в определении для порта нескольких допустимых VLAN(например, для экономистов это могут быть VLAN Economics и Server для доступа к общим серверам и.т.д.). Здесь всЈ предельно просто, но, к сожалению, свитчи серии 1900 и младше не поддерживают такую возможность :(( Поэтому такой свитч может обслуживать только один VLAN на одно подключение к новому свитчу Catalyst 2900 XL или 3300. При этом если на основном свитче этот порт будет мульти, то и на старый свитч будут проходить пакеты от всех мульти VLAN описанных на таком порте.И наконец, способ для страдающих параноидальной безопасностью нетадминов, заключается в назначении каждой VLAN списка допустимых мак (или, вроде, IP адресов). Когда на порт приходит пакет, то посылается запрос VPMS серверу, есть такой мак или нет. Но при выборе типа VLAN, учтите что на одном свитче не может быть разных типов организации VLAN.