Dit document biedt een voorbeeldconfiguratie en -verificatie voor de poortgebaseerde verkeersleidingsfuncties op uw Catalyst 3550/3560 Series Switches. In het bijzonder wordt in dit document getoond hoe u de poortgebaseerde verkeersregelfuncties op een Catalyst 3550-switch kunt configureren.
Zorg ervoor dat u aan deze vereisten voldoet voordat u deze configuratie probeert:
Basiskennis hebben van de configuratie op Cisco Catalyst 3550/3560 Series Switches.
Basiskennis hebben van op poorten gebaseerde verkeersleidingsfuncties.
De informatie in dit document is gebaseerd op de Switches van Cisco Catalyst 3550 Series.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
De Catalyst 3550/3560 switch biedt poortgebaseerde verkeerscontrole die op verschillende manieren kan worden geïmplementeerd:
Stormcontrole
Beschermde poorten
Poortblokkering
Poortbeveiliging
Storm Control voorkomt verkeer zoals een broadcast, een multicast of een unicaststorm op een van de fysieke interfaces van de switch. Het buitensporige verkeer in het LAN, dat als een LAN-storm wordt aangeduid, zal leiden tot een verslechtering van de netwerkprestaties. Gebruik stormcontrole om achteruitgang van netwerkprestaties te voorkomen.
Storm Control observeert de pakketten die door een interface gaan en bepaalt of de pakketten unicast, multicast of broadcast zijn. Stel het drempelniveau in voor inkomend verkeer. De switch telt het aantal pakketten volgens het ontvangen pakkettype. Als de uitzending en unicastverkeer het drempelniveau op een interface overschrijden, dan wordt alleen het verkeer van een bepaald type geblokkeerd. Als het multicast verkeer het drempelniveau op een interface overschrijdt, wordt al het inkomende verkeer geblokkeerd tot het verkeersniveau onder het drempelniveau daalt. Gebruik het bevel van de onweer-controle interfaceconfiguratie om de verkeer gespecificeerde onweerstaancontrole op de interface te vormen.
Configureer beschermde poorten op een switch die in een case wordt gebruikt wanneer een buur het verkeer dat door een andere buur gegenereerd wordt, niet moet zien, zodat er niet wat toepassingsverkeer doorgestuurd wordt tussen poorten op dezelfde switch. In een switch, door:sturen de Beschermde Havens geen verkeer (unicast, multicast, of uitzending) aan een andere beschermde havens, maar een Beschermde Haven kan om het even welk verkeer aan niet beschermde havens door:sturen. Gebruik de switchport beschermde interfaceconfiguratieopdracht op een interface om het verkeer op Layer 2 te isoleren van andere beschermde poorten.
Beveiligingsproblemen kunnen optreden wanneer onbekend MAC-adresseringsverkeer (unicast en multicast) wordt overspoeld naar alle poorten in de switch. Om onbekend verkeer te voorkomen dat van de ene poort naar een andere wordt doorgestuurd, moet u poortblokkering configureren. Deze blokkeert onbekende unicast- of multicast-pakketten. Gebruik de opdracht interfaceconfiguratie van switchport block om onbekend verkeer te voorkomen.
Gebruik Port Security om de invoer naar een interface te beperken door MAC-adressen te identificeren van de stations die toegang hebben tot de poort. Wijs beveiligde MAC-adressen toe aan een beveiligde poort, zodat de poort geen pakketten met bronadressen buiten de groep gedefinieerde adressen doorstuurt. Gebruik de kleverige leerfunctie op een interface om de dynamische MAC-adressen om te zetten naar de kleverige beveiligde MAC-adressen. Gebruik het switchport-security bevel om de poortbeveiligingsinstellingen op de interface te configureren.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
Opmerking: Gebruik de Command Lookup Tool (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.
Het netwerk in dit document is als volgt opgebouwd:
Dit document gebruikt deze configuratie:
Catalyst 3550 Switch |
---|
Switch#configure terminal Switch(config)#interface fastethernet0/3 !--- Configure the Storm control with threshold level. Switch(config-if)#storm-control unicast level 85 70 Switch(config-if)#storm-control broadcast level 30 !--- Configure the port as Protected port. Switch(config-if)#switchport protected !--- Configure the port to block the multicast traffic. Switch(config-if)#switchport block multicast !--- Configure the port security. Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security !--- set maximum allowed secure MAC addresses. Switch(config-if)#switchport port-security maximum 30 !--- Enable sticky learning on the port. Switch(config-if)#switchport port-security mac-address sticky !--- To save the configurations in the device. switch(config)#copy running-config startup-config Switch(config)#exit |
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik OIT om een analyse van show opdrachtoutput te bekijken.
Gebruik het bevel van de showinterfaces [interface-id] switchport om uw ingangen te verifiëren:
Voorbeeld:
Switch#show interfaces fastEthernet 0/3 switchport Name: Fa0/3 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Voice VLAN: none Administrative private-vlan host-association: none Administrative private-vlan mapping: none Administrative private-vlan trunk native VLAN: none Administrative private-vlan trunk encapsulation: dot1q Administrative private-vlan trunk normal VLANs: none Administrative private-vlan trunk private VLANs: none Operational private-vlan: none Trunking VLANs Enabled: ALL Pruning VLANs Enabled: 2-1001 Capture Mode Disabled Capture VLANs Allowed: ALL Protected: true Unknown unicast blocked: disabled Unknown multicast blocked: enabled Appliance trust: none
Gebruik de show storm-control [interface-id] [broadcast | multicast | unicast]-opdracht om de suppressieniveaus van de stormcontrole te verifiëren die op de interface voor het gespecificeerde verkeerstype zijn ingesteld.
Voorbeeld:
Switch#show storm-control fastEthernet 0/3 unicast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 Forwarding 85.00% 70.00% 0.00% Switch#show storm-control fastEthernet 0/3 broadcast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 Forwarding 30.00% 30.00% 0.00% Switch#show storm-control fastEthernet 0/3 multicast Interface Filter State Upper Lower Current --------- ------------- ----------- ----------- ----------- Fa0/3 inactive 100.00% 100.00% N/A
Gebruik de opdracht show port-security [interface-id] om de poortbeveiligingsinstellingen voor de gespecificeerde interface te verifiëren.
Voorbeeld:
Switch#show port-security interface fastEthernet 0/3 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 30 Total MAC Addresses : 4 Configured MAC Addresses : 0 Sticky MAC Addresses : 4 Last Source Address : 0012.0077.2940 Security Violation Count : 0
Gebruik de show port-security [interface-id] adresopdracht om alle beveiligde MAC-adressen te verifiëren die op een gespecificeerde interface zijn geconfigureerd.
Voorbeeld:
Switch#show port-security interface fastEthernet 0/3 address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 000d.65c3.0a20 SecureSticky Fa0/3 - 1 0011.212c.0e40 SecureSticky Fa0/3 - 1 0011.212c.0e41 SecureSticky Fa0/3 - 1 0012.0077.2940 SecureSticky Fa0/3 - ------------------------------------------------------------------- Total Addresses: 4