Dieses Dokument enthält eine Beispielkonfiguration und -verifizierung für die portbasierten Datenverkehrskontrollfunktionen Ihrer Catalyst Switches der Serien 3550/3560. In diesem Dokument wird insbesondere die Konfiguration der portbasierten Datenverkehrskontrollfunktionen auf einem Catalyst Switch der Serie 3550 erläutert.
Stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen, bevor Sie diese Konfiguration vornehmen:
Grundkenntnisse der Konfiguration von Cisco Catalyst Switches der Serien 3550/3560
Grundlegendes Verständnis der portbasierten Funktionen zur Datenverkehrssteuerung
Die Informationen in diesem Dokument beziehen sich auf Cisco Catalyst Switches der Serie 3550.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Der Catalyst Switch 3550/3560 bietet eine portbasierte Datenverkehrssteuerung, die auf verschiedene Weise implementiert werden kann:
Sturmkontrolle
Geschützte Ports
Port-Blockierung
Kanal-Sicherheit
Die Sturmkontrolle verhindert Datenverkehr wie Broadcast, Multicast oder Unicast-Stürme an einer der physischen Schnittstellen des Switches. Übermäßiger Datenverkehr im LAN, der als LAN-Sturm bezeichnet wird, führt zu einer Verschlechterung der Netzwerkleistung. Verwenden Sie die Sturmkontrolle, um eine Beeinträchtigung der Netzwerkleistung zu vermeiden.
Storm Control überwacht die über eine Schnittstelle übertragenen Pakete und bestimmt, ob es sich um Unicast-, Multicast- oder Broadcast-Pakete handelt. Legen Sie den Schwellenwert für eingehenden Datenverkehr fest. Der Switch zählt die Anzahl der Pakete entsprechend dem Typ des empfangenen Pakets. Wenn Broadcast- und Unicast-Datenverkehr den Schwellenwert einer Schnittstelle überschreiten, wird nur der Datenverkehr eines bestimmten Typs blockiert. Wenn der Multicast-Datenverkehr den Schwellenwert einer Schnittstelle überschreitet, wird der gesamte eingehende Datenverkehr blockiert, bis dieser Schwellenwert unterschritten wird. Verwenden Sie den Befehl storm-control interface configuration, um die für die Schnittstelle angegebene Sturmkontrolle für den Datenverkehr zu konfigurieren.
Konfigurieren Sie geschützte Ports auf einem Switch, der in einem Fall verwendet wird, in dem ein Nachbar den von einem anderen Nachbarn generierten Datenverkehr nicht sehen sollte, sodass ein Teil des Anwendungsdatenverkehrs nicht zwischen Ports auf demselben Switch weitergeleitet wird. In einem Switch leitet Protected Ports keinen Datenverkehr (Unicast, Multicast oder Broadcast) an andere geschützte Ports weiter, aber ein Protected Port kann Datenverkehr an ungeschützte Ports weiterleiten. Verwenden Sie den Konfigurationsbefehl switchport protected interface auf einer Schnittstelle, um den Datenverkehr auf Layer 2 von anderen geschützten Ports zu isolieren.
Sicherheitsprobleme können auftreten, wenn Datenverkehr mit unbekannten MAC-Zieladressen (Unicast und Multicast) an alle Ports im Switch geleitet wird. Um zu verhindern, dass unbekannter Datenverkehr von einem Port an einen anderen Port weitergeleitet wird, müssen Sie die Portblockierung konfigurieren, durch die unbekannte Unicast- oder Multicast-Pakete blockiert werden. Verwenden Sie den Konfigurationsbefehl switchport block interface, um die Weiterleitung von unbekanntem Datenverkehr zu verhindern.
Verwenden Sie die Port-Sicherheit, um die Eingabe auf eine Schnittstelle zu beschränken, indem Sie MAC-Adressen der Stationen identifizieren, die auf den Port zugreifen dürfen. Weisen Sie einem sicheren Port sichere MAC-Adressen zu, sodass der Port keine Pakete mit Quelladressen außerhalb der Gruppe definierter Adressen weiterleitet. Verwenden Sie die Sticky Learning-Funktion an einer Schnittstelle, um die dynamischen MAC-Adressen in klebrige sichere MAC-Adressen umzuwandeln. Verwenden Sie den Befehl switchport-security interface configuration, um die Einstellungen für die Port-Sicherheit auf der Schnittstelle zu konfigurieren.
In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.
Hinweis: Verwenden Sie das Command Lookup Tool (nur für registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.
In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:
In diesem Dokument wird folgende Konfiguration verwendet:
Catalyst Switch der Serie 3550 |
---|
Switch#configure terminal Switch(config)#interface fastethernet0/3 !--- Configure the Storm control with threshold level. Switch(config-if)#storm-control unicast level 85 70 Switch(config-if)#storm-control broadcast level 30 !--- Configure the port as Protected port. Switch(config-if)#switchport protected !--- Configure the port to block the multicast traffic. Switch(config-if)#switchport block multicast !--- Configure the port security. Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security !--- set maximum allowed secure MAC addresses. Switch(config-if)#switchport port-security maximum 30 !--- Enable sticky learning on the port. Switch(config-if)#switchport port-security mac-address sticky !--- To save the configurations in the device. switch(config)#copy running-config startup-config Switch(config)#exit |
Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
Verwenden Sie den Befehl show interfaces [interface-id] switchport, um Ihre Einträge zu überprüfen:
Beispiele:
Switch#show interfaces fastEthernet 0/3 switchport Name: Fa0/3 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: true Unknown unicast blocked: disabled Unknown multicast blocked: enabled Appliance trust: none
Verwenden Sie show storm-control [interface-id] [broadcast]. | Multicast | unicast] -Befehl, um die Sturmkontrolle zu überprüfen, die für den angegebenen Verkehrstyp an der Schnittstelle festgelegt wurde.
Beispiele:
Switch#show storm-control fastEthernet 0/3 unicast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 Forwarding 85.00% 70.00% 0.00% Switch#show storm-control fastEthernet 0/3 broadcast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 Forwarding 30.00% 30.00% 0.00% Switch#show storm-control fastEthernet 0/3 multicast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 inactive 100.00% 100.00% N/A
Verwenden Sie den Befehl show port-security [interface-id], um die Port-Sicherheitseinstellungen für die angegebene Schnittstelle zu überprüfen.
Beispiele:
Switch#show port-security interface fastEthernet 0/3 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 30 Total MAC Addresses : 4 Configured MAC Addresses : 0 Sticky MAC Addresses : 4 Last Source Address : 0012.0077.2940 Security Violation Count : 0
Verwenden Sie den Befehl show port-security [interface-id] address, um alle sicheren MAC-Adressen zu überprüfen, die an einer angegebenen Schnittstelle konfiguriert sind.
Beispiele:
Switch#show port-security interface fastEthernet 0/3 address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 000d.65c3.0a20 SecureSticky Fa0/3 - 1 0011.212c.0e40 SecureSticky Fa0/3 - 1 0011.212c.0e41 SecureSticky Fa0/3 - 1 0012.0077.2940 SecureSticky Fa0/3 - ------------------------------------------------------------------- Total Addresses: 4