Catalyst Switches der Serien 3550/3560 mit Konfigurationsbeispiel für die portbasierte Datenverkehrssteuerung

Einleitung

Dieses Dokument enthält eine Beispielkonfiguration und -verifizierung für die portbasierten Datenverkehrskontrollfunktionen Ihrer Catalyst Switches der Serien 3550/3560. In diesem Dokument wird insbesondere die Konfiguration der portbasierten Datenverkehrskontrollfunktionen auf einem Catalyst Switch der Serie 3550 erläutert.

Voraussetzungen

Anforderungen

Stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen, bevor Sie diese Konfiguration vornehmen:

• Grundkenntnisse der Konfiguration von Cisco Catalyst Switches der Serien 3550/3560

• Grundlegendes Verständnis der portbasierten Funktionen zur Datenverkehrssteuerung

Verwendete Komponenten

Die Informationen in diesem Dokument beziehen sich auf Cisco Catalyst Switches der Serie 3550.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Portbasierte Datenverkehrssteuerung - Übersicht

Der Catalyst Switch 3550/3560 bietet eine portbasierte Datenverkehrssteuerung, die auf verschiedene Weise implementiert werden kann:

• Sturmkontrolle

• Geschützte Ports

• Port-Blockierung

• Kanal-Sicherheit

Die Sturmkontrolle verhindert Datenverkehr wie Broadcast, Multicast oder Unicast-Stürme an einer der physischen Schnittstellen des Switches. Übermäßiger Datenverkehr im LAN, der als LAN-Sturm bezeichnet wird, führt zu einer Verschlechterung der Netzwerkleistung. Verwenden Sie die Sturmkontrolle, um eine Beeinträchtigung der Netzwerkleistung zu vermeiden.

Storm Control überwacht die über eine Schnittstelle übertragenen Pakete und bestimmt, ob es sich um Unicast-, Multicast- oder Broadcast-Pakete handelt. Legen Sie den Schwellenwert für eingehenden Datenverkehr fest. Der Switch zählt die Anzahl der Pakete entsprechend dem Typ des empfangenen Pakets. Wenn Broadcast- und Unicast-Datenverkehr den Schwellenwert einer Schnittstelle überschreiten, wird nur der Datenverkehr eines bestimmten Typs blockiert. Wenn der Multicast-Datenverkehr den Schwellenwert einer Schnittstelle überschreitet, wird der gesamte eingehende Datenverkehr blockiert, bis dieser Schwellenwert unterschritten wird. Verwenden Sie den Befehl storm-control interface configuration, um die für die Schnittstelle angegebene Sturmkontrolle für den Datenverkehr zu konfigurieren.

Konfigurieren Sie geschützte Ports auf einem Switch, der in einem Fall verwendet wird, in dem ein Nachbar den von einem anderen Nachbarn generierten Datenverkehr nicht sehen sollte, sodass ein Teil des Anwendungsdatenverkehrs nicht zwischen Ports auf demselben Switch weitergeleitet wird. In einem Switch leitet Protected Ports keinen Datenverkehr (Unicast, Multicast oder Broadcast) an andere geschützte Ports weiter, aber ein Protected Port kann Datenverkehr an ungeschützte Ports weiterleiten. Verwenden Sie den Konfigurationsbefehl switchport protected interface auf einer Schnittstelle, um den Datenverkehr auf Layer 2 von anderen geschützten Ports zu isolieren.

Sicherheitsprobleme können auftreten, wenn Datenverkehr mit unbekannten MAC-Zieladressen (Unicast und Multicast) an alle Ports im Switch geleitet wird. Um zu verhindern, dass unbekannter Datenverkehr von einem Port an einen anderen Port weitergeleitet wird, müssen Sie die Portblockierung konfigurieren, durch die unbekannte Unicast- oder Multicast-Pakete blockiert werden. Verwenden Sie den Konfigurationsbefehl switchport block interface, um die Weiterleitung von unbekanntem Datenverkehr zu verhindern.

Verwenden Sie die Port-Sicherheit, um die Eingabe auf eine Schnittstelle zu beschränken, indem Sie MAC-Adressen der Stationen identifizieren, die auf den Port zugreifen dürfen. Weisen Sie einem sicheren Port sichere MAC-Adressen zu, sodass der Port keine Pakete mit Quelladressen außerhalb der Gruppe definierter Adressen weiterleitet. Verwenden Sie die Sticky Learning-Funktion an einer Schnittstelle, um die dynamischen MAC-Adressen in klebrige sichere MAC-Adressen umzuwandeln. Verwenden Sie den Befehl switchport-security interface configuration, um die Einstellungen für die Port-Sicherheit auf der Schnittstelle zu konfigurieren.

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Command Lookup Tool (nur für registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

Konfiguration

In diesem Dokument wird folgende Konfiguration verwendet:

Switch#configure terminal
Switch(config)#interface fastethernet0/3


!--- Configure the Storm control with threshold level.

Switch(config-if)#storm-control unicast level 85 70
Switch(config-if)#storm-control broadcast level 30



!--- Configure the port as Protected port.

Switch(config-if)#switchport protected



!--- Configure the port to block the multicast traffic.

Switch(config-if)#switchport block multicast



!--- Configure the port security.

Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security


!--- set maximum allowed secure MAC addresses.

Switch(config-if)#switchport port-security maximum 30


!--- Enable sticky learning on the port.

Switch(config-if)#switchport port-security mac-address sticky


!--- To save the configurations in the device.

switch(config)#copy running-config startup-config
Switch(config)#exit

Überprüfung

Nutzen Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der Ausgabe des Befehls show anzuzeigen.

Verwenden Sie den Befehl show interfaces [interface-id] switchport, um Ihre Einträge zu überprüfen:

Beispiele:

Switch#show interfaces fastEthernet 0/3 switchport
Name: Fa0/3
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk private VLANs: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: true
Unknown unicast blocked: disabled
Unknown multicast blocked: enabled
Appliance trust: none

Verwenden Sie show storm-control [interface-id] [broadcast]. | Multicast | unicast] -Befehl, um die Sturmkontrolle zu überprüfen, die für den angegebenen Verkehrstyp an der Schnittstelle festgelegt wurde.

Beispiele:

Switch#show storm-control fastEthernet 0/3 unicast
Interface  Filter State   Upper        Lower        Current
---------  -------------  -----------  -----------  -----------
Fa0/3      Forwarding       85.00%       70.00%        0.00%

Switch#show storm-control fastEthernet 0/3 broadcast
Interface  Filter State   Upper        Lower        Current
---------  -------------  -----------  -----------  -----------
Fa0/3      Forwarding       30.00%       30.00%        0.00%

Switch#show storm-control fastEthernet 0/3 multicast
Interface  Filter State   Upper        Lower        Current
---------  -------------  -----------  -----------  -----------
Fa0/3      inactive        100.00%      100.00%       N/A

Verwenden Sie den Befehl show port-security [interface-id], um die Port-Sicherheitseinstellungen für die angegebene Schnittstelle zu überprüfen.

Beispiele:

Switch#show port-security interface fastEthernet 0/3
Port Security              : Enabled
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 30
Total MAC Addresses        : 4
Configured MAC Addresses   : 0
Sticky MAC Addresses       : 4
Last Source Address        : 0012.0077.2940
Security Violation Count   : 0

Verwenden Sie den Befehl show port-security [interface-id] address, um alle sicheren MAC-Adressen zu überprüfen, die an einer angegebenen Schnittstelle konfiguriert sind.

Beispiele:

Switch#show port-security interface fastEthernet 0/3 address
          Secure Mac Address Table
-------------------------------------------------------------------
Vlan    Mac Address       Type                Ports   Remaining Age
                                                         (mins)
----    -----------       ----                -----   -------------
   1    000d.65c3.0a20    SecureSticky        Fa0/3        -
   1    0011.212c.0e40    SecureSticky        Fa0/3        -
   1    0011.212c.0e41    SecureSticky        Fa0/3        -
   1    0012.0077.2940    SecureSticky        Fa0/3        -
-------------------------------------------------------------------
Total Addresses: 4

Zugehörige Informationen

• Support-Seite für Cisco Catalyst Switches der Serie 3550
• Support-Seite für Cisco Catalyst Switches der Serie 3650
• Produkt-Support für Switches
• Support für LAN-Switching-Technologie
• Technischer Support und Dokumentation für Cisco Systeme