MailFlash@fb-link8.com
Phone+8613631442493
siJezik
Dom / Rešitve / Vsebine

GB Razlaga konfiguracije vrat omrežnega stikala

Dec 19, 2025|

Vsebina
  1. Zakaj pogajanja o hitrosti vrat ne uspejo (in kaj lahko dejansko storite)
  2. Vstop v konfiguracijo vmesnika
  3. Dodelitev VLAN: dostop do vrat in povezav
    1. Native VLAN Neskladja
  4. Osnove varnosti pristanišč
  5. Duplex Mismatches: tihi ubijalec zmogljivosti
  6. Broadcast Storm Control
  7. PortFast in BPDU Guard
  8. EtherChannel: Združevanje povezav
  9. Glasovna konfiguracija VLAN
  10. Auto-MDIX
  11. Uporabni ukazi za preverjanje
  12. Obnavljanje napak-onemogočenih vrat
  13. Zaključne ugotovitve

 

Konfiguracija gigabitnih ethernetnih vrat je v središču omrežne administracije nivoja 2-, ki ureja, kako se okvirji premikajo po komutirani infrastrukturi, katere naprave dobijo dostop in kaj se zgodi, ko gre kaj vstran. Preskok s 100 Mb/s na gigabit je prinesel operativne posebnosti, ki še vedno begajo ljudi: obvezen polni-dupleks pri 1000 Mb/s, izbirčnejše zahteve glede kablov in samodejna-pogajalska vedenja, ki ne delujejo vedno. Ta vodnik se sprehodi skozi praktično mehaniko konfiguriranja vrat GB na upravljanih stikalih, s posebno pozornostjo na stvareh, ki se dejansko pokvarijo v proizvodnji.

info-456-283

 

Zakaj pogajanja o hitrosti vrat ne uspejo (in kaj lahko dejansko storite)

 

To je stvar, ki vam je nihče ne pove, ko začnete: samodejno-pogajanje na gigabitnih vratih deluje drugače kot na vmesnikih 10/100. Specifikacija IEEE 802.3ab zahteva, da povezave 1000BASE-T delujejo izključno v polnem-dupleksnem načinu. Pri gigabitnih hitrostih ni pol{9}}dupleksne možnosti. Pika.

Torej, ko vidite vrata obtičala pri 100 Mbps in se sprašujete, kaj je šlo narobe, je krivec običajno ena od treh stvari:

Kabel. Cat5 morda tehnično podpira gigabit v kratkih serijah, vendar sem opazoval inženirje, ki so ure in ure zapravljali za odpravljanje težav, preden je nekdo končno zamenjal Cat5e ali Cat6. Vsi štirje pari morajo biti pravilno zaključeni-ne samo dva, kot bi se lahko izognili pri hitrostih Fast Ethernet.

Prisilna nastavitev na enem koncu. Če je nekdo konfiguriral hitrost na 100 na stikalu za povezavo navzgor, medtem ko so vaša vrata na samodejnem položaju, boste imeli slab dan. Samo-pogajalska stran se vrne k vzporednemu zaznavanju in ta mehanizem parametrov ne razvrsti elegantno, kot bi pričakovali.

Slabi moduli SFP. Še posebej pri optičnih navzgornjih povezavah. Vsi oddajniki-sprejemniki ne delujejo dobro pri vseh prodajalcih-nekatera stikala postanejo resnično izbirčna glede tega, kaj bodo sprejela v te reže.

 

Vstop v konfiguracijo vmesnika

 

Pot v način konfiguracije vmesnika je v sistemu Cisco IOS dovolj preprosta. Začnete tako, da v začetni poziv vnesete enable, nato vnesete configure terminal, da dosežete način globalne konfiguracije. Od tam vas določanje vmesnika GigabitEthernet0/1 spusti v kontekst konfiguracije vmesnika za ta posebna vrata.

Ko ste tam, je nastavitev hitrosti in dupleksa enostavna. Ukaz hitrosti 1000 zaklene vrata na gigabitno delovanje, medtem ko duplex full zagotavlja dvosmerni hkratni prenos. Večina skrbnikov pusti oba parametra na samodejno, kar dobro deluje za dostopna vrata, ki se povezujejo z delovnimi postajami končnih-uporabnikov. Sodobni omrežni vmesniki se pogajajo brez drame. Toda med-stikalne povezave si zaslužijo več pozornosti-nekatere omrežne ekipe jih trdo kodirajo, da bi odpravile še eno spremenljivko med odpravljanjem težav z izpadom.

Omeniti velja: ko zaklenete hitrost 1000, vrata zavrnejo vse, kar je počasnejše. Prenosni računalnik s šibko omrežno kartico se ne bo vrnil na 100 Mb/s; enostavno se sploh ne poveže. To je občasno vedenje, ki ga želite. Pogosto ni.

 

info-465-200

 

Dodelitev VLAN: dostop do vrat in povezav

 

Tukaj postane konfiguracija zanimiva-in kjer se napake kopičijo najhitreje.

Dostopna vrata pripadajo točno enemu VLAN-ju. Dohodni okvirji prispejo neoznačeni; stikalo jih poveže s katerim koli VLAN-om, ki ste ga določili. To dosežete tako, da vstopite v vmesnik, izdate dostop v načinu stikalnih vrat, da določite vrsto vrat, nato pa vlan 10 (ali katero koli številko VLAN, ki velja), da opravite dodelitev.

Trunk vrata prenašajo promet za več omrežij VLAN hkrati. Vsak okvir dobi glavo 802.1Q, ki identificira, kateremu VLAN pripada. Izjema je izvorni VLAN-njegovi okvirji prečkajo deblo neoznačeni. Konfiguracija vključuje nastavitev trunk načina switchport, nato definiranje izvornega VLAN z izvornim vlan 99 trunk switchport in končno omejitev, kateri VLAN prečkajo povezavo z vlan dovoljenim trunk switchportom, ki mu sledi vaš seznam ID-jev VLAN, ločenih z vejicami-.

Ta dovoljena specifikacija VLAN je pomembnejša, kot se ljudje zavedajo. Povezave privzeto dovoljujejo vsa omrežja VLAN-vsakega od 1 do 4094. To je redko tisto, kar želite. Obrezujte agresivno.

 

Native VLAN Neskladja

Ko trunk stikala A uporablja izvorni VLAN 1, medtem ko stikalo B uporablja izvorni VLAN 99, neoznačeni okvirji pristanejo v različnih VLAN-ih na vsaki strani. Izračuni vpetega drevesa postanejo zmedeni. Naprave izgubijo povezljivost na načine, ki se zdijo skoraj naključni.

CDP to ujame in zabeleži opozorilo, vendar morate dejansko pogledati dnevnike. In CDP mora biti omogočen, kar nekatere varnostne politike prepovedujejo. Tako neujemanje ostaja tam in povzroča občasne nenavadnosti, dokler nekdo končno ne pomisli primerjati konfiguracij.

 

Osnove varnosti pristanišč

 

Varnost vrat omejuje, kateri naslovi MAC lahko pošiljajo promet prek vmesnika. Klasični scenarij: nekomu preprečiti, da bi odklopil svoje dodeljeno namizje in namesto tega povezal osebno napravo.

Nastavitev se začne z omogočanjem funkcije prek -varnosti vrat switchport na vmesniku. Nato določite, koliko naslovov MAC naj vrata dopuščajo-vrata stikalnih vrat-varnost največ 2 dovoljuje dve napravi. Odziv na kršitev je naslednji določen; vrata switchport-zaustavitev zaradi kršitve varnosti sporoči stikalu, naj popolnoma onemogoči vrata, ko se pojavijo nepooblaščeni MAC-ji. Na koncu switchport port-security mac-address sticky naroči stikalu, naj se dinamično nauči naslovov in jih zapiše v tekočo konfiguracijo.

Lepljiva možnost je resnično priročna. Stikalo se dinamično nauči naslovov MAC in jih zapiše v tekočo konfiguracijo. Po shranjevanju ti naslovi preživijo ponovni zagon brez ročnega vnosa.

Načini kršitve določajo, kaj se zgodi, ko se pojavi nepooblaščen MAC:

Izklop postavi vrata v stanje err-onemogočeno. Promet se popolnoma ustavi. Nekdo ga mora ročno obnoviti ali pa potrebujete skript EEM za samodejno obnovitev.

Omejitev ustavi promet s kršitvenega MAC-a, vendar ohranja delovanje vrat. Sporočilo sistemskega dnevnika zabeleži dogodek. Legitimna naprava še naprej deluje.

Protect deluje kot restrict, vendar ne ustvarja dnevnika. Tiha napaka. Nisem oboževalec-ne boste vedeli, da se je kaj zgodilo, dokler se nekdo ne pritoži.

Ponavljajoč se glavobol: telefoni IP z osebnimi računalniki-verižno priklenjenimi za njimi. To sta dva naslova MAC prek enih vrat. Če ste največjo vrednost nastavili na 1, se vrata izklopijo v trenutku, ko računalnik pošlje okvir. Pri nastavljanju teh omejitev upoštevajte glasovne scenarije VLAN.

 

info-382-264

 

Duplex Mismatches: tihi ubijalec zmogljivosti

 

Napačne konfiguracije polnega-dupleksa v primerjavi s pol{1}}dupleksom ne prekinejo povezave dokončno. Razgrajujejo ga postopoma. Paketi trčijo, ko se ne bi smeli. Pozni števci trkov naraščajo. Retransmisije se kopičijo. Uporabniki poročajo, da je "omrežje počasno", vendar ping deluje dobro in nič očitnega ni videti pokvarjeno.

Preverite števce vmesnikov z ukazom show interface, ki mu sledi specifični identifikator vrat. Poiščite pozne trke, napake pri vnosu, napake CRC, runte. Zdrava gigabitna vrata, ki delujejo v polnem -dupleksu, prikazujejo ničle v teh poljih. Karkoli drugega potrebuje preiskavo.

Tipičen scenarij neujemanja: ena stran je trdo kodirana na polni-dupleks, druga stran levo na samodejno. Samodejna stran ne more pravilno določiti dupleksnega načina, ker oddaljeni konec ne sodeluje pri pogajanjih. Privzeto je pol-dupleks kot varnostna nadomestna možnost. Zdaj imate eno stran, ki oddaja in sprejema hkrati, medtem ko druga stran misli, da mora počakati na tišino, preden pošlje. Trki se dogajajo nenehno.

Popravek je preprost: nastavitve ujemanja na obeh koncih. Oba sta samodejno ali oba izrecno konfigurirana na iste vrednosti.

 

Broadcast Storm Control

 

Oddajna nevihta bo popolnoma zravnala omrežje. Ena napačno konfigurirana naprava ali preklopna zanka z onemogočenim vpetim drevesom preplavi mrežo z oddajnim prometom. Vsako stikalo ga posnema. Vsako pristanišče ga posreduje. Izkoriščenost procesorja skokovito narašča v celotni infrastrukturi.

Storm control zagotavlja dušenje. V načinu konfiguracije vmesnika določite stopnjo-nadzora nevihte, ki ji sledi odstotek-recimo 20.00-za omejitev prometa oddajanja na tem pragu. Podobni ukazi obstajajo za multicast in unicast promet. Direktiva o zaustavitvi delovanja nadzora nad nevihto pove stikalu, naj onemogoči vrata, ko so preseženi pragovi; ali pa trap ustvari opozorilo SNMP, medtem ko ohranja vrata živa.

Raven predstavlja odstotek pasovne širine vrat. Ko oddajni promet preseže 20 % gigabitne povezave-to je 200 Mb/s oddajanja-vrata ukrepajo. Izklop je agresiven, a učinkovit.

Nadzora nevihte ne konfiguriram na vseh posameznih vratih. Doda operativno kompleksnost. Toda za sloje dostopa v nepredvidljivih okoljih-proizvodna tla, univerzitetne študentske dvorane, konferenčne sobe-se je večkrat izkazalo.

 

PortFast in BPDU Guard

 

Vpeto drevo traja od 30 do 50 sekund za prehod vrat iz blokiranja v posredovanje. Ta zakasnitev ščiti pred zankami v povezavah stikalo-do-stikalo, kjer so spremembe topologije pomembne. Za končna-uporabniška vrata, kjer se nekdo samo želi priključiti in pridobiti naslov IP, je to frustrirajoče.

PortFast obide stanja poslušanja in učenja. Omogočite ga na vmesniku s spanning{1}}tree portfast in vrata začnejo posredovati takoj po vzpostavitvi povezave.

Tveganje: če nekdo priključi neupravljano stikalo v ta vrata, ste morda ustvarili zanko. PortFast ne onemogoči vpetega drevesa-vrata še vedno obdelujejo BPDU. Toda promet posreduje takoj, namesto da čaka.

BPDU Guard dodaja zaščito. Če ga omogočite prek spanning-tree bpduguard enable na vmesniku, pomeni, da vsak prejeti BPDU sproži takojšnjo err{2}}disable. Če BPDU prispe na ta vrata, je nekaj narobe-tam ne bi smelo biti drugega stikala. Prejeli boste opozorilo, vendar omrežje ostane nedotaknjeno.

Globalne privzete nastavitve samodejno uporabijo te funkcije za vsa dostopna vrata. V načinu globalne konfiguracije spanning-tree portfast default omogoči PortFast univerzalno, medtem ko spanning-tree portfast bpduguard default aktivira BPDU Guard na teh istih vratih. Pristanišča vtičnice so izključena iz teh privzetih nastavitev. To je razumna osnova za ravni dostopa v podjetju.

 

info-444-279

 

 

Ko ena gigabitna povezava ne zagotavlja dovolj pasovne širine med stikali, EtherChannel združi več fizičnih vrat v en logični vmesnik. Dve, ​​štiri ali osem združenih vrat, ki se pojavljajo kot ena sama povezava do izračunov vpetega drevesa.

LACP obravnava pogajanja z uporabo standarda 802.3ad. Izberete fizične vmesnike-z uporabo obsega vmesnika GigabitEthernet0/1 - 4 za hkratno konfiguracijo več vrat-nato jih dodelite skupini kanalov z aktivnim načinom-skupine 1 kanalov. Po izhodu iz konfiguracije obsega konfigurirate sam logični vmesnik tako, da vnesete vmesnik Port-channel1 in uporabite želene nastavitve, običajno preklopni način debla za povezave med-stikalom.

Oddaljeni konec potrebuje ustrezno konfiguracijo. Aktivno-aktivno deluje. Aktivno-pasivno deluje. Pasivno-pasivno ne-obe strani čakata večno, da druga začne.

Porazdelitev prometa med povezavami članov uporablja algoritem zgoščevanja, ki običajno temelji na izvornem-ciljnem naslovu MAC ali IP. Posamezni tokovi še vedno prečkajo posamezne fizične povezave; stikalo ne razdeli sej TCP na več poti. Prenos velikih datotek med dvema strežnikoma uporablja eno člansko povezavo, ne glede na to, koliko ste jih združili.

 

Glasovna konfiguracija VLAN

 

IP telefoni dodajo kompleksnost. Telefon potrebuje postavitev v glasovni VLAN za obdelavo QoS, medtem ko mora osebni računalnik, povezan prek njegovih prehodnih vrat, pristati na podatkovnem VLAN. Obe napravi si delita ena vrata fizičnega stikala.

Konfiguracija vključuje nastavitev vrat kot dostopovnih vrat z dostopom v načinu switchport, dodeljevanje podatkovnega VLAN prek switchport access vlan 10 in nato ločeno določanje glasovnega VLAN z uporabo switchport voice vlan 50. Telefon prejme svojo dodelitev VLAN prek CDP ali LLDP-MED in ustrezno označi svoj promet. Računalnik pošlje neoznačene okvire, ki pristanejo v podatkovnem VLAN. Vse deluje prek enega kabla.

To pomeni dva naslova MAC na enem pristanišču. Varnostne nastavitve vrat morajo omogočati oboje, sicer boste porabili čas za obnovitev err-onemogočenih vmesnikov vsakič, ko naprava premakne mizo.

 

Auto-MDIX

 

Prekrižani kabli v primerjavi z ravnimi-prekoznimi kabli so bili včasih pomembni. Povežite stikalo s stikalom z neposrednim-kablom na starejši opremi in povezava se ne bi vzpostavila-potrebovali ste križanec.

Sodobni vmesniki Gigabit Ethernet s samodejnim-MDIX zaznajo potrebno ožičenje in interno kompenzirajo. Funkcija se nadzoruje prek mdix auto v načinu konfiguracije vmesnika in je privzeto omogočena na večini trenutne strojne opreme Cisco. Nekatera starejša oprema in določena oprema, ki ni -Cisco, nima te funkcije. Če se povezava noče vzpostaviti in ste izključili možnost poškodbe kabla, poskusite zamenjati z navzkrižnim, preden domnevate, da so vrata okvara.

 

Uporabni ukazi za preverjanje

 

Ukazi, ki jih nenehno izvajam:

Ukaz za prikaz statusa vmesnikov nudi hiter pregled-povezanega v primerjavi z nepovezanim, dodelitvijo VLAN, hitrostjo, dupleksom na vseh vratih v enem pogledu.

Izvajanje prikaznih vmesnikov, ki jim sledi določen identifikator vrat, zagotavlja podrobne števce: vhodno/izhodne pakete, napake, padce čakalne vrste, zadnji čas čiščenja.

Ukaz show mac address-table vmesnika, ki mu sledi vrata, razkrije, kateri naslovi MAC so bili pridobljeni na tem vmesniku.

Za stanje vpetega drevesa pokaži vmesnik vpetega drevesa-prikaže vlogo STP vrat in stroške poti.

Ukaz show interfaces trunk prikaže seznam vseh aktivnih povezav z njihovimi dovoljenimi in aktivnimi VLAN-ji.

Stanje varnosti vrat izvira iz varnostnega vmesnika show port-, ki poroča o številu kršitev in trenutno naučenih naslovih.

Izhod lahko napeljujete skozi vključitev za filtriranje. Zagon ukaza status s cevjo za vključitev povezanih prikaže samo vrata z aktivnimi povezavami. Prihrani pomikanje po straneh onemogočenih vmesnikov.

 

Obnavljanje napak-onemogočenih vrat

 

Vrata prikazujejo napako-onemogočeno. Preden ga odbijete, razumejte, zakaj. Ukaz show interfaces status razkrije trenutno stanje, medtem ko show errdisable recovery prikaže, kateri obnovitveni mehanizmi so konfigurirani in njihove časovnike.

Pogosti sprožilci vključujejo kršitve varnosti vrat, aktivacijo BPDU Guard, pretirano plapolanje povezave in napake UDLD pri zaznavanju težav z enosmernimi vlakni.

Samodejno obnovitev je mogoče konfigurirati v načinu globalne konfiguracije. Ukaz errdisable recovery cause all omogoča samodejno obnovitev za vse vrste sprožilcev, medtem ko interval obnovitve errdisable 300 nastavi časovnik ponovnega poskusa na 300 sekund.

Brez konfiguracije samodejne obnovitve je potreben ročni poseg. Vnesite kontekst konfiguracije vmesnika, izdajte zaustavitev, da administrativno onemogočite vrata, nato pa brez zaustavitve, da se znova vzpostavi.

Ponovno slepo -omogočanje brez preiskave zagotavlja, da boste to kmalu znova storili. Če se je sprožil BPDU Guard, je nekdo vtaknil stikalo. Če se je sprožila zaščita vrat, se je pojavila nepooblaščena naprava. Treba je obravnavati osnovni vzrok.

 

Zaključne ugotovitve

 

Konfiguracija vrat GB konceptualno ni zapletena, vendar se podrobnosti kopičijo. Zgrešena dodelitev VLAN, nepravilna nastavitev trunk-a, varnostna omejitev vrat, ki ne upošteva IP-telefona-majhni spregledi se zlijejo v znatne izpade.

Dokumentirajte svoje konfiguracije. Jasno označite fizična vrata. Ustvarite predloge za običajne scenarije in jih dosledno uporabljajte.

Preizkusite spremembe med vzdrževalnimi okni, kadar koli je to mogoče. To je očiten nasvet. To je tudi nasvet, ki sem ga prezrl ob 15. uri na naključni torek, s povsem predvidljivimi rezultati.

 

Par: Optični oddajnik-sprejemnik SFP izpolnjuje podatkovne standarde
Naslednji: Za povezljivost se uporabljajo omrežja FTTX
Pošlji povpraševanje