GB tinklo jungiklio prievado konfigūracijos paaiškinimas
Dec 19, 2025|
Gigabito eterneto prievado konfigūracija yra 2 sluoksnio tinklo administravimo,{1}}valdančio, kaip kadrai juda per komutuojamą infrastruktūrą, kurie įrenginiai gauna prieigą ir kas nutinka, kai kažkas pakrypsta į šoną, esmė. Peršokus nuo 100 Mb/s prie gigabito, atsirado eksploatacinių keistenybių, kurios vis dar trikdo žmones: privalomas pilnas-dvipusis 1000 Mb/s, išrankesni kabelio reikalavimai ir automatinės-derybos, kurios ne visada veikia. Šiame vadove aprašoma praktinė valdomų jungiklių GB prievadų konfigūravimo mechanika, ypatingą dėmesį skiriant dalykams, kurie iš tikrųjų nutrūksta gamyboje.
Kodėl nepavyksta derybos dėl uosto greičio (ir ką jūs galite iš tikrųjų padaryti)
Štai dalykas, kurio jums niekas nesako, kai pradedate veiklą: automatinės{0}}derybos dėl Gigabito prievadų veikia kitaip nei 10/100 sąsajose. IEEE 802.3ab specifikacija reikalauja, kad 1000BASE-T jungtys veiktų tik pilno-dvipusio ryšio režimu. Nėra pus-dvipusio ryšio parinkties esant gigabito greičiui. Laikotarpis.
Taigi, kai matote prievadą, įstrigusį 100 Mbps greičiu, ir susimąstote, kas nutiko, kaltininkas paprastai yra vienas iš trijų dalykų:
Kabelis. „Cat5“ gali techniškai palaikyti gigabitą per trumpą laiką, bet aš stebėjau, kaip inžinieriai gaišta valandas ieškodami trikčių, kol kas nors galiausiai pakeitė „Cat5e“ arba „Cat6“. Visos keturios poros turi būti tinkamai nutrauktos-, o ne tik dvi, kaip kad būtų galima pasiekti greituoju eterneto greičiu.
Priverstinis nustatymas viename gale. Jei kas nors sukonfigūravo greitį iki 100 ant uplink jungiklio, o jūsų prievadas yra automatinis, jūsų diena bus bloga. Automatinė-derybų pusė grįžta prie lygiagretaus aptikimo, ir šis mechanizmas netvarkingai sutvarko parametrus taip, kaip tikėtumėtės.
Blogi SFP moduliai. Ypač su šviesolaidinėmis nuorodomis. Ne visi siųstuvai-imtuvai puikiai veikia su visais pardavėjais-kai kurie jungikliai tikrai pasirenka, ką priimti tuose lizduose.
Patekimas į sąsajos konfigūraciją
Kelias į sąsajos konfigūravimo režimą yra pakankamai paprastas naudojant „Cisco IOS“. Pradėkite įvesdami įgalinti pradiniame raginime, tada įveskite konfigūruoti terminalą, kad pasiektumėte visuotinį konfigūracijos režimą. Iš ten, nurodant sąsają GigabitEthernet0/1, patenkama į to konkretaus prievado sąsajos konfigūracijos kontekstą.
Kai būsite ten, greičio ir dvipusio spausdinimo nustatymas yra paprastas. 1000 greičio komanda užrakina prievadą prie gigabito veikimo, o dvipusis pilnas užtikrina dvikryptį vienalaikį perdavimą. Dauguma administratorių palieka abu parametrus automatiniu režimu, o tai puikiai tinka prieigos prievadams, jungiantiems prie galutinio -naudotojo darbo vietų. Šiuolaikiniai NIC derasi be dramos. Tačiau tarp-jungiklių nuorodos nusipelno daugiau pagalvoti-kai kurios tinklo komandos jas užkoduoja, kad pašalintų dar vieną kintamąjį trikčių šalinimo metu.
Verta paminėti: kai užfiksuojate 1000 greitį, prievadas atsisako visko, kas lėtesnis. Nešiojamasis kompiuteris su neryškiu NIC nesumažės iki 100 Mbps; jis tiesiog nesusijungs. Tokio elgesio kartais norisi. Dažnai taip nėra.
VLAN priskyrimas: prieigos prievadai ir magistraliniai tinklai
Čia konfigūracija tampa įdomi{0}}ir klaidų kaupiasi greičiausiai.
Prieigos prievadas priklauso tiksliai vienam VLAN. Įeinantys kadrai atkeliauja nepažymėti; jungiklis susieja juos su bet kokiu jūsų nurodytu VLAN. Tai galite padaryti įvesdami sąsają, suteikdami prieigą prie perjungimo prievado režimo, kad nustatytumėte prievado tipą, tada perjungimo prievado prieigos vlan 10 (arba bet kurį VLAN numerį), kad galėtumėte priskirti.
Magistraliniai prievadai vienu metu perduoda kelių VLAN srautą. Kiekvienas kadras gauna 802.1Q antraštę, identifikuojančią, kuriam VLAN jis priklauso. Išimtis yra vietinis VLAN{3}}jo kadrai kerta kamieną be žymų. Konfigūracija apima switchport režimo magistralinį nustatymą, tada vietinio VLAN apibrėžimą su Switchport magistraliniu VLAN 99 ir galiausiai apribojimą, kurie VLAN kerta nuorodą, naudojant switchport magistralinį leistiną vlan ir kableliais atskirtą -VLAN ID sąrašą.
Tai leido VLAN specifikacijai svarbiau, nei žmonės supranta. Pagal numatytuosius nustatymus magistraliniai tinklai leidžia visus VLAN{1}}nuo 1 iki 4094. To retai norisi. Genėkite agresyviai.
Native VLAN neatitikimai
Kai jungiklio A magistralė naudoja vietinį VLAN 1, o B jungiklis naudoja vietinį VLAN 99, nepažymėti kadrai patenka į skirtingus VLAN kiekvienoje pusėje. Apskaičiuojant medžius supainiojama. Įrenginiai praranda ryšį tokiais būdais, kurie atrodo beveik atsitiktiniai.
CDP tai užfiksuoja ir įrašo įspėjimą, bet jūs turite iš tikrųjų peržiūrėti žurnalus. Ir CDP reikia įjungti, o tai draudžia kai kurios saugos politikos. Taigi neatitikimas slypi ten, sukeldamas nuolatinius keistumus, kol kas nors pagaliau sugalvoja palyginti konfigūracijas.
Uosto apsaugos pagrindai
Prievado saugumas riboja, kurie MAC adresai gali siųsti srautą per sąsają. Klasikinis scenarijus: neleidžiama kam nors atjungti jam priskirto darbalaukio ir vietoj to prijungti asmeninį įrenginį.
Sąranka pradedama įgalinant funkciją per sąsajos jungiklio prievado{0}}saugą. Tada apibrėžiate, kiek MAC adresų prievadas turi toleruoti-switchport prievadas-saugumas, didžiausias 2 leidžia du įrenginius. Toliau nurodomas atsakymas į pažeidimą; switchport port-saugos pažeidimo išjungimas nurodo jungikliui visiškai išjungti prievadą, kai atsiranda neleistinų MAC. Galiausiai, switchport prievado-security mac-addressy sticky nurodo jungikliui dinamiškai išmokti adresus ir įrašyti juos į veikiančią konfigūraciją.
Lipnus variantas yra tikrai patogus. Jungiklis dinamiškai išmoksta MAC adresus ir įrašo juos į veikiančią konfigūraciją. Išsaugojus, tie adresai išliks perkraunami be rankinio įvedimo.
Pažeidimo režimai nustato, kas nutinka, kai pasirodo neteisėtas MAC:
Išjungimas perkelia prievadą į err{0}}neleidžiamą būseną. Eismas visiškai sustoja. Kažkas turi jį atkurti rankiniu būdu arba jums reikia EEM scenarijaus, tvarkančio automatinį atkūrimą.
Apriboti sumažina srautą iš pažeidžiančio MAC, tačiau prievadas veikia. Sistemos žurnalo pranešimas įrašo įvykį. Teisėtas įrenginys toliau veikia.
Protect veikia kaip apriboti, bet negeneruoja žurnalo. Tyli nesėkmė. Nesu gerbėjas-jūs nesužinosite, kad kas nors atsitiko, kol kas nors nepasiskųs.
Pasikartojantis galvos skausmas: IP telefonai su kompiuteriais{0}}su grandinėmis už jų. Tai du MAC adresai per vieną prievadą. Jei nustatėte didžiausią 1, prievadas išsijungia tuo metu, kai kompiuteris siunčia kadrą. Nustatydami šiuos apribojimus, atsižvelkite į balso VLAN scenarijus.
Dvipusiai neatitikimai: tylaus veikimo žudikas
Visiškai{0}}dvipusis ir pusiau{1}}dvipusis klaidingas konfigūravimas nepažeidžia ryšio. Jie palaipsniui jį degraduoja. Paketai susiduria, kai neturėtų. Pakyla vėlyvų susidūrimų skaitikliai. Retransliacijos kaupiasi. Vartotojai praneša, kad „tinklas yra lėtas“, tačiau ping veikia gerai ir atrodo, kad niekas neveikia.
Patikrinkite sąsajos skaitiklius naudodami komandą rodyti sąsają ir konkretų prievado identifikatorių. Ieškokite vėlyvų susidūrimų, įvesties klaidų, CRC klaidų, paleidimų. Tinkamas gigabito prievadas, veikiantis visiškai-dupleksu, šiuose laukuose rodo nulius. Viską kitą reikia ištirti.
Įprastas neatitikimo scenarijus: viena pusė užkoduota iki visiško-duplekso, kita pusė paliekama automatiškai. Automatinė pusė negali tinkamai nustatyti dvipusio režimo, nes nuotolinis galas nedalyvauja derybose. Pagal numatytuosius nustatymus jis yra pusiau-dvipusis kaip atsarginis saugos elementas. Dabar viena pusė siunčia ir gauna vienu metu, o kita pusė mano, kad prieš siųsdama jai reikia palaukti tylos. Susidūrimai vyksta nuolat.
Pataisymas paprastas: suderinkite abiejų galų nustatymus. Arba abu automatiniai, arba abu aiškiai sukonfigūruoti pagal tas pačias reikšmes.
Transliuoti audros valdymą
Transliacijos audra visiškai išlygins tinklą. Vienas netinkamai sukonfigūruotas įrenginys arba perjungimo kilpa su išjungtu aprėpiančiu medžiu užlieja audinį transliacijos srautu. Kiekvienas jungiklis tai atkartoja. Kiekvienas uostas jį persiunčia. CPU panaudojimo šuoliai visoje infrastruktūroje.
Audros valdymas užtikrina droselį. Sąsajos konfigūracijos režime nurodote storm-control transliacijos lygį ir procentą,-pvz., 20,00-, kad apribotumėte transliacijos srautą iki tos ribos. Panašios komandos yra daugialypės siuntimo ir unicast srautui. Audros valdymo veiksmų išjungimo direktyva nurodo jungikliui išjungti prievadą, kai viršijami slenksčiai; Arba trap generuoja SNMP įspėjimą, išlaikydamas prievadą gyvą.
Lygis rodo prievado pralaidumo procentą. Kai transliacijos srautas viršija 20 % gigabito nuorodos-tai yra 200 Mb/s transliacijos-, prievadas imasi veiksmų. Išjungimas yra agresyvus, bet veiksmingas.
Aš nekonfigūruoju audros valdymo kiekviename prievade. Tai padidina veiklos sudėtingumą. Tačiau prieigos lygmenys nenuspėjamose aplinkose-gamybos aukštuose, universitetų rezidencijose, konferencijų salėse-buvo naudingi ne kartą.
PortFast ir BPDU apsauga
Pereinantis medis per 30–50 sekundžių perjungia prievadą nuo blokavimo į persiuntimą. Ši delsa apsaugo nuo kilpų perjungimo-į-jungimuose, kur svarbūs topologijos pokyčiai. Vargina -galutinio naudotojo prievadai, prie kurių kas nors tiesiog nori prisijungti ir gauti IP adresą.
„PortFast“ apeina klausymosi ir mokymosi būsenas. Jį įgalinate sąsajoje su spanning-tree portfast ir prievadas pradedamas peradresuoti iškart po nuorodos sukūrimo.
Rizika: jei kas nors prie to prievado prijungia nevaldomą jungiklį, galite sukurti kilpą. „PortFast“ neišjungia aprėpties medžio-prievadas vis tiek apdoroja BPDU. Tačiau jis nukreipia eismą iš karto, o ne laukia.
BPDU apsauga papildo apsaugą. Jį įjungus sąsajoje naudojant spanning-tree bpduguard įgalinimą, reiškia, kad bet koks gautas BPDU suaktyvina tiesioginę klaidą-. Jei į šį prievadą patenka BPDU, kažkas negerai,{4}}čia neturėtų būti kito jungiklio. Gausite įspėjimą, bet tinklas išliks nepakitęs.
Visuotiniai numatytieji nustatymai automatiškai taiko šias funkcijas visuose prieigos prievaduose. Visuotinės konfigūracijos režimu, apimantis-numatytąjį medžio portfast, PortFast įgalinamas visuotinai, o apimantis-tree portfast bpduguard default suaktyvina BPDU apsaugą tuose pačiuose prievaduose. Magistraliniai prievadai neįtraukiami į šiuos numatytuosius nustatymus. Tai yra pagrįstas verslo prieigos lygių pagrindas.
EtherChannel: nuorodų kaupimas
Kai vienas gigabitinis ryšys neužtikrina pakankamai pralaidumo tarp jungiklių, EtherChannel sujungia kelis fizinius prievadus į vieną loginę sąsają. Du, keturi arba aštuoni prievadai sujungiami kartu ir rodomi kaip viena nuoroda į apimančius medžio skaičiavimus.
LACP tvarko derybas naudodamas 802.3ad standartą. Jūs pasirenkate fizines sąsajas-naudodami sąsajų diapazoną GigabitEthernet0/1 - 4, kad vienu metu sukonfigūruotumėte kelis prievadus-, tada priskirkite jas kanalų grupei su aktyviu kanalo-1 grupės režimu. Išėję iš diapazono konfigūracijos, sukonfigūruojate pačią loginę sąsają įvesdami sąsajos prievadą-channel1 ir pritaikydami norimus nustatymus, paprastai perjungimo prievado režimo magistralę, skirtą tarp{11}}jungimo nuorodoms.
Nuotoliniam galui reikia atitinkamos konfigūracijos. Aktyvūs-aktyvūs darbai. Aktyvūs-pasyvūs darbai. Pasyvus-pasyvus ne-abi pusės laukia amžinai, kol kita inicijuos.
Srauto paskirstymui tarp narių nuorodų naudojamas maišos algoritmas, paprastai pagrįstas šaltinio{0}}paskirties MAC arba IP adresais. Atskiri srautai vis dar kerta atskiras fizines nuorodas; jungiklis neskaido TCP seansų keliais keliais. Didelis failų perkėlimas tarp dviejų serverių naudoja vieną nario nuorodą, neatsižvelgiant į tai, kiek jų sugrupavote.
Balso VLAN konfigūracija
IP telefonai padidina sudėtingumą. Telefoną reikia įdėti į balso VLAN, kad būtų galima apdoroti QoS, o kompiuteris, prijungtas per jo perėjimo prievadą, turėtų patekti į duomenų VLAN. Abu įrenginiai turi vieną fizinį jungiklio prievadą.
Konfigūracija apima prievado nustatymą kaip prieigos prievadą su prievado prievado prievadu, duomenų VLAN priskyrimą per 10 prievado prieigos vlan, o tada atskirai nurodant balso VLAN naudojant Switchport balso vlan 50. Telefonas VLAN priskyrimą gauna per CDP arba LLDP-MED ir atitinkamai pažymi srautą. Kompiuteris siunčia nepažymėtus kadrus, kurie patenka į duomenų VLAN. Viskas veikia per vieną laidą.
Tai reiškia du MAC adresus viename prievade. Prievado saugos nustatymai turi atitikti abu, kitaip jūs sugaišite laiko atkurdami išjungtas sąsajas kiekvieną kartą, kai įrenginiai perkelia stalą.
Automatinis-MDIX
Kryžminiai kabeliai ir tiesūs{0}}laidai buvo svarbūs. Prijunkite jungiklį, kad perjungtumėte tiesioginiu-laidu senesnėje įrangoje ir nuoroda neatsiras-jums reikėjo kryžminio perjungimo.
Šiuolaikinės Gigabit Ethernet sąsajos su automatiniu{0}}MDIX aptinka reikiamus laidus ir kompensuoja viduje. Ši funkcija valdoma naudojant „mdix auto“ sąsajos konfigūravimo režimą ir pagal numatytuosius nustatymus įjungta daugumoje dabartinės „Cisco“ aparatinės įrangos. Kai kuriai senai įrangai ir tam tikrai ne-„Cisco“ įrangai šios funkcijos trūksta. Jei nuoroda atsisako užmegzti ir atmetėte kabelio pažeidimo galimybę, pabandykite pakeisti į kryžminį jungtį, prieš manydami, kad prievado gedimas.
Naudingos patvirtinimo komandos
Nuolat vykdomos komandos:
Komanda rodyti sąsajų būseną suteikia greitą apžvalgą-prijungta ir neprisijungta, VLAN priskyrimas, greitis, dvipusis ryšys visuose prievaduose viename rodinyje.
Veikiančios parodos sąsajos, po kurių nurodomas konkretus prievado identifikatorius, pateikia išsamius skaitiklius: įvesties / išvesties paketus, klaidas, eilės sumažėjimą, paskutinį išvalymo laiką.
Komanda rodyti mac adresą{0}}lentelės sąsaja ir prievadas atskleidžia, kurie MAC adresai buvo išmokti toje sąsajoje.
Aprėpiamojo medžio būsenai rodyti aprėpimo-medžio sąsają rodo prievado STP vaidmenį ir kelio kainą.
Komandoje „Show interfaces trunk“ pateikiami visi aktyvūs magistraliniai kanalai su leidžiamais ir aktyviais VLAN.
Prievado saugos būsena gaunama iš rodymo prievado{0}}saugos sąsajos, kuri praneša apie pažeidimų skaičių ir šiuo metu sužinotus adresus.
Filtruoti galite išvestis vamzdžiu per įtraukti. Vykdant būsenos komandą su vamzdžiu, kad būtų įtraukta prijungta, rodomi tik prievadai su aktyviomis nuorodomis. Išsaugo slinkimą per išjungtų sąsajų puslapius.
Atkuriami Err{0}}Išjungti prievadai
Prievadas rodo, kad klaida -išjungta. Prieš atmušdami, supraskite, kodėl. Komanda rodyti sąsajų būseną atskleidžia esamą būseną, o rodyti netinkamą atkūrimą rodo, kokie atkūrimo mechanizmai sukonfigūruoti ir jų laikmačiai.
Įprasti paleidikliai yra prievado saugumo pažeidimai, BPDU apsaugos aktyvinimas, pernelyg didelis nuorodų perjungimas ir UDLD gedimai, aptinkantys vienakrypčių skaidulų problemas.
Automatinį atkūrimą galima konfigūruoti visuotinės konfigūracijos režimu. Klaidingo atkūrimo priežasties all komanda įgalina automatinį visų tipų paleidiklio atkūrimą, o 300 netinkamo atkūrimo intervalas nustato pakartotinio bandymo laikmatį iki 300 sekundžių.
Nesukonfigūravus automatinio atkūrimo, reikia rankinio įsikišimo. Įveskite sąsajos konfigūracijos kontekstą, išjunkite išjungimą, kad administraciniu būdu išjungtumėte prievadą, tada neišjunkite, kad jį vėl atkurtumėte.
Aklas pakartotinis{0}}įjungimas netirdamas garantuoja, kad netrukus tai darysite dar kartą. Jei suveikė BPDU apsauga, kažkas įjungė jungiklį. Jei suveikė uosto apsauga, pasirodė neleistinas įrenginys. Būtina pašalinti pagrindinę priežastį.
Baigiamieji stebėjimai
GB prievado konfigūracija nėra konceptualiai sudėtinga, tačiau detalės kaupiasi. Praleistas VLAN priskyrimas, neteisingas magistralinis nustatymas, prievado saugos riba, neatsižvelgiant į IP telefono{1}}mažas klaidas, sukelia didelių gedimų.
Dokumentuokite savo konfigūracijas. Aiškiai pažymėkite fizinius prievadus. Kurkite šablonus įprastiems scenarijams ir nuosekliai juos taikykite.
Kai tik įmanoma, išbandykite pakeitimus per priežiūros langus. Tai akivaizdus patarimas. Tai taip pat yra patarimas, kurio aš nepaisiau 15 val. atsitiktinį antradienį, o rezultatai buvo visiškai nuspėjami.