Avant de commencer la leçon, je tiens à dire que sur notre site Web nwking.org, vous pouvez trouver non seulement des informations sur l'étude du cours CCNA, mais également de nombreux autres sujets utiles pour un spécialiste du réseau. Nous y publions des informations intéressantes sur les produits d'autres fabricants et des critiques de divers programmes.
Aujourd'hui, nous allons discuter de deux problèmes importants: les connexions lentes et la fonction de sécurité des ports du commutateur de sécurité portuaire.
Lorsque vous assumez les responsabilités d'un technicien réseau Cisco, l'un des problèmes les plus importants que vous devrez résoudre est la lenteur des connexions. Un employé de la société peut vous contacter pour vous plaindre que l'Internet est lent, que l'accès au serveur est lent, que les appels vocaux de téléphonie IP sont effectués lentement, etc. Ce problème est très courant dans les réseaux de bureau et peut se produire pour diverses raisons, par exemple, lorsque le volume de trafic augmente fortement un jour, ce qui ralentit considérablement la connexion.
En tant qu'ingénieur réseau, vous devez faire attention aux aspects les plus variés du problème afin de trouver où se trouve la cause de son apparition. Maintenant, je ne parle pas de dépannage dans l'ensemble du modèle OSI, mais vous devez avoir un plan de travail, une séquence d'actions que vous prenez pour trouver la source du problème, et vous devez comprendre en quoi il consiste exactement. Si quelqu'un vous appelle et vous dit qu'il a une connexion Internet trop lente, vous devez vous rendre sur ce site vous-même et le vérifier depuis votre ordinateur. Parfois, les grands sites de réseaux sociaux sont ralentis en raison d'un afflux important d'utilisateurs, auquel cas vous n'avez pas besoin de chercher une solution au problème sur votre réseau. Par conséquent, vous devez considérer tous les aspects d'une connexion lente, car parfois les problèmes de vos collègues ne dépendent pas de l'état de leurs ordinateurs. Si un site se charge lentement, vous devez vérifier si d'autres sites sont lents. Si tous les sites se chargent lentement, nous pouvons conclure que la raison n'est pas dans un site particulier, mais dans le problème de votre connexion Internet.
Vous devez diviser le problème en composants séparés afin de comprendre dans quelle partie se situe le problème.
Dans la plupart des cas, il y a deux raisons à une connexion lente: la vitesse et le duplex du port du commutateur. Vous savez que tous les commutateurs modernes sont conçus pour le transfert de données à une vitesse de 10/100 Mbit / s pour les appareils Fast Ethernet ou 1 Gbit / s pour les appareils Gigabit Ethernet. Naturellement, les appareils Gigabit Ethernet peuvent également fonctionner à 10/100 Mbit / s. Ainsi, nous avons des appareils à différentes vitesses, mais la plupart des appareils fabriqués il y a 4-5 ans ne prennent pas en charge 1 Gbit / s, fournissant uniquement Fast Ethernet. Cependant, de nombreux appareils modernes ne prennent pas en charge le duplex intégral.
Le semi-duplex est lorsque l'appareil peut uniquement envoyer ou recevoir uniquement du trafic, et le duplex intégral est lorsque l'appareil peut simultanément transmettre et recevoir des informations. Si vous définissez votre ordinateur en mode semi-duplex, c'est-à-dire qu'il peut envoyer ou recevoir du trafic, et le port du commutateur auquel l'ordinateur est connecté fonctionnera en mode duplex intégral, alors une telle connexion ne fonctionnera pas. Par conséquent, le cas idéal est lorsque les deux appareils fonctionnent dans le même mode duplex - semi-duplex ou duplex intégral et à la même vitesse, par exemple, 100 Mbps. Si un port s'exécute à 10 Mbps et l'autre à 100 Mbps, la communication peut échouer. Par conséquent, vous devez être prudent avec ces choses.
Dans la plupart des cas, la configuration du périphérique est définie par défaut sur le mode de compatibilité automatique, c'est-à-dire que le mode de vitesse du port du commutateur et le port du port réseau de l'ordinateur sont définis sur le mode duplex automatique. Cependant, pour le port Fast Ethernet du commutateur à une vitesse de 100 Mbps, cela peut provoquer un problème. Dans la plupart des cas, les ports du commutateur offrent une compatibilité de vitesse, mais ils se trompent parfois, car ils ne peuvent pas "négocier" avec le deuxième périphérique. Dans ce cas, un appareil peut choisir pour lui-même le mode semi-duplex et le second - duplex intégral.
Dans ce cas, Gigabit Ethernet se comporte mieux, et il y a une explication à cela. Le fait est qu'il y a de nombreuses années, lorsque la norme Fast Ethernet a été créée, la grande majorité des appareils fonctionnaient en mode semi-duplex. Par défaut, si le périphérique ne correspond pas, le commutateur Fast Ethernet, défini sur la sélection automatique de la vitesse et le duplex automatique, utilise une vitesse de 100 Mbps et le mode semi-duplex.
Supposons que vous définissiez l'un des périphériques en mode duplex intégral et affectiez une vitesse de 100 Mbps, puis que vous souhaitiez étendre ces paramètres à tous les commutateurs de votre réseau. Cependant, l'un des appareils sur le réseau peut être en mode automatique et lorsqu'il est connecté au port de l'appareil que vous avez configuré, il passera à une vitesse de 100 Mbps, mais en même temps, par défaut pour le mode automatique, il passera en semi-duplex. Si cela se produit, vous avez de gros problèmes.
Mais si les deux appareils utilisent la norme Gigabit Ethernet et les deux sont en mode automatique, ils passent par défaut en duplex intégral à une vitesse de 1 Gbit / s, ou 1000 Mbit / s.
Si quelqu'un vous appelle et dit que son ordinateur est lent, vous pouvez utiliser la commande show int <nom du port> pour afficher l'état de l'interface du commutateur.
De là, vous pouvez extraire de nombreuses informations utiles. Vous pouvez voir que Fast Ethernet est activé (Fast Ethernet0 / 1 est en place), où «up» signifie que physiquement ce port fonctionne vraiment. Il est en outre signalé que le protocole réseau est actif, que le protocole de ligne est actif, c'est-à-dire que la connexion est établie et fonctionne. De plus, vous pouvez voir que le mode de fonctionnement du port est Full-duplex et la vitesse de connexion est de 100 Mbps.
Si vous voyez que le mode est réglé sur semi-duplex, alors quelque chose peut être en panne. Dans ce cas, vous devez vérifier le périphérique de l'autre côté de la connexion, et s'il fonctionne également en mode semi-duplex, la raison du lent fonctionnement de l'ordinateur est différente. Cependant, s'il y a une incohérence des modes «full duplex - half duplex», cela peut être la cause de nombreux problèmes.
Si votre appareil est en mode semi-duplex, il envoie ou reçoit uniquement des données. Mais le commutateur fonctionnant en mode duplex intégral ne le sait pas et, en recevant des données, envoie des données en même temps, tandis que votre appareil n'est pas en mesure de les recevoir, car il est occupé à envoyer du trafic. Par conséquent, les données «entrent en collision» et sont tout simplement perdues. Comme nous le savons des leçons précédentes, TCP est un mécanisme qui vérifie la séquence des trames et, dans ce cas, essaiera de répéter le transfert des données perdues. Cependant, une tentative de répétition de la transmission du trafic qui n'a pas atteint la destination ralentira considérablement l'échange de données. Dans le même temps, voyant que le trafic n'a pas atteint le destinataire, TCP essaiera de répéter encore et encore le transfert des données perdues. Ce processus ralentit également le réseau.
Un autre paramètre utile pour évaluer le fonctionnement d'un commutateur est la vitesse d'entrée et de sortie des données au cours des 5 dernières minutes de fonctionnement, indiquant la quantité de données reçues et envoyées pendant ce temps en bits / s ou en paquets / s. Si le commutateur est en état de marche, ces paramètres doivent contenir certaines valeurs. Si vous voyez 0, ce qui signifie zéro trafic via ce port, alors quelque chose ne va pas. Des informations sur le nombre d'émissions reçues et le nombre de collisions reçues sont également utiles. Comme nous l'avons déjà dit, si le commutateur a 48 ports, le nombre de collisions devrait également être de 48, et si vous voyez 0, cela signifie qu'aucun des ports de ce commutateur ne fonctionne. Le nombre de collisions tardives égal à 0 indique également un dysfonctionnement du commutateur.
Je vais aller au programme Packet Tracer pour montrer comment vous pouvez configurer ces choses. Nous entrons les paramètres de SW0 à l'aide de la commande config t. Je vous conseille de prendre un morceau de papier et d'écrire les commandes que j'utiliserai. Je pense qu'en écrivant les commandes manuellement, vous vous en souviendrez beaucoup plus rapidement que si vous les tapiez au clavier à l'aide des invites de ligne de commande. Donc, pour entrer en mode de configuration globale, je tape la commande configure terminal puis je vais sur l'interface qui nous intéresse avec la commande interface fastEthernet 0/1. Afin de régler la vitesse de ce port, je tape speed, et le système produit 3 paramètres possibles.
Packet Tracer ne dispose que d'un commutateur Fast Ethernet, il n'y a pas de commutateur Gigabit Ethernet, donc la vitesse maximale est de 100 Mbps. Je peux régler la vitesse sur 10 ou 100, pour cela j'utilise la commande speed 100, et comme j'ai réglé manuellement la vitesse, je dois également sélectionner manuellement le mode duplex pour ce port.
Vous ne pouvez pas utiliser le mode de vitesse automatique et le mode de réglage duplex manuel; vous devez régler l'un de ces paramètres sur le mode de sélection automatique ou affecter les deux paramètres manuellement.
Je vous préviens: ne modifiez jamais les paramètres de ces paramètres dans un réseau de travail pendant les heures de bureau. Si vous faites cela, le commutateur désactivera le port, redémarrera et activera le port avec de nouveaux paramètres, mais pendant les 5 secondes pendant lesquelles il redémarrera, les connexions réseau seront interrompues. Je vous recommande de définir ces paramètres uniquement dans un nouveau réseau nouvellement créé ou après les heures.
Ainsi, pour configurer le duplex, vous devez entrer la commande duplex, après quoi le système affichera trois modes possibles: auto, duplex intégral et semi-duplex.
J'émettrai la commande duplex complet pour activer le duplex intégral pour ce port. Si vous regardez les paramètres de l'interface f0 / 1, vous pouvez voir une ligne avec des modes full duplex et 100 Mbps. Dans le même temps, regardons la configuration actuelle, pour laquelle nous utilisons la commande show run.
Vous pouvez voir que les paramètres de fonctionnement du port FastEthernet0 / 1 sont répertoriés séparément, tandis que le mode de fonctionnement n'est pas spécifié pour les autres ports. En effet, je l'ai configuré manuellement et tous les autres ports sont configurés par défaut.
Si je veux désactiver ce port et utiliser la commande d'arrêt de l'interface FastEthernet0 / 1 et revoir la configuration, je verrai que la ligne d'arrêt a été ajoutée aux paramètres de ce port. Ainsi, s'il n'y a pas de ligne d'arrêt sous la ligne avec la désignation d'interface de commutateur, cela signifie que ce port est à l'état activé.
Je vais maintenant changer le mode de fonctionnement de ce port en utilisant les commandes speed auto et duplex auto.
Si nous regardons à nouveau la configuration actuelle, nous ne verrons aucun changement, car les commandes speed auto et duplex auto sont les commandes par défaut et les paramètres de mode par défaut ne sont pas affichés dans la configuration actuelle de l'appareil. Je vous ai donc montré comment configurer la vitesse et le duplex du port.
Et maintenant, la question est: pensez-vous que l'idée de régler durement la vitesse et le duplex du point de vue du fonctionnement des commutateurs dans l'environnement de travail est une bonne idée? Réponse: cela dépend des conditions spécifiques.
L'idée de régler manuellement les paramètres n'est pas mauvaise, mais elle entraîne une énorme quantité de travail - vous devrez configurer manuellement chaque commutateur du réseau de travail à une vitesse de 100 Mbps et en duplex intégral. Par conséquent, il existe une règle tacite - de le faire uniquement pour les périphériques réseau critiques, tels que les serveurs ou les routeurs. Les terminaux, les ordinateurs ou les téléphones IP y sont généralement connectés, donc une configuration de port dur ne devrait pas vous surprendre. Après avoir réglé la vitesse sur 100 Mbit / s ou 1 Gbit / s et le mode duplex intégral, le périphérique client connecté à ce port prend en charge les paramètres de connexion sélectionnés sans aucun problème. Une configuration si serrée des périphériques réseau critiques vous aidera à gagner beaucoup de temps.
Donc, si vous avez un problème de connexion lente, une façon de le résoudre est de configurer la vitesse et le duplex.
Avant de passer à la question de la sécurité des ports, nous verrons ce qu'est cette sécurité. Imaginez que votre bureau dispose de prises murales pour les câbles réseau et que vos ordinateurs, principalement des ordinateurs de bureau, sont connectés à ces prises.
Question: qu'est-ce qui peut m'empêcher, en tant que pirate, de déconnecter votre ordinateur et de connecter le mien à cette prise? Rien! Je peux apporter mon ordinateur personnel en tant que stagiaire, et vous savez que les ordinateurs portables domestiques sont généralement infectés par des virus ou contiennent des logiciels malveillants, car vous y téléchargez de la musique, des films et d'autres contenus. Si vous connectez votre ordinateur au réseau du bureau à l'aide d'un câble ou d'une connexion sans fil, vous pouvez facilement le compromettre en propageant des virus à travers lui. Bien sûr, vous ne voulez pas cela.
Mais si vous êtes un hacker, vous pouvez facilement effectuer une attaque d'homme au milieu. Vous connectez votre appareil à ce port, modifiez l'adresse MAC et assurez-vous que tous les appareils du bureau envoient du trafic via la fausse passerelle que vous avez créée pour se connecter. À l'aide de Wireshark ou de tout logiciel d'analyse de paquets, le pirate pourra décrypter le trafic intercepté et obtenir les données, mots de passe et autres informations confidentielles qui l'intéressent.
La première ligne de défense est la sécurité portuaire. Si vous me demandez si cette fonctionnalité est la meilleure façon de protéger, je répondrai - bien sûr que non. Ce n'est que la première ligne de défense. Mais la sécurité n'est pas une astuce ingénieuse, c'est un système à plusieurs niveaux. Vous avez la sécurité physique, la sécurité du deuxième niveau OSI, le troisième niveau, le septième et ainsi de suite. La sécurité en général est bien plus que la simple sécurité des ports, mais il s'agit de la première ligne de défense, nous allons donc voir comment vous pouvez la garantir et comment vous protéger contre une déconnexion de votre ordinateur de bureau de votre réseau et une connexion à la place.
Retour au programme Packet Tracer. Nous avons un ordinateur PC0, que j'ai connecté au commutateur Sw0, et je veux attribuer une adresse IP à cet ordinateur.
J'entre dans le terminal de ligne de commande du commutateur et saisis la commande show int brief, qui indique l'état de tous les ports de l'appareil. Voici les 24 ports Fast Ethernet et 2 ports Gigabit, ainsi que le réseau virtuel par défaut VLAN1 avec l'adresse IP 10.1.1.1. Ensuite, j'entre les paramètres du réseau PC0, où j'ai entré tous les paramètres à l'avance.
Pour activer la sécurité des ports, vous devez d'abord procéder comme suit: J'entre la commande interface f0 / 1 car c'est le port auquel l'ordinateur est connecté, et je veux assurer la sécurité de ce port particulier.
Vous devez vous rappeler que la fonction de sécurité du port ne peut être activée que pour le port d'accès et que le port de jonction fonctionne dans un mode différent. Par conséquent, vous devez tout d'abord transformer ce port en un port d'accès. Pour ce faire, j'entre systématiquement les commandes d'accès en mode switchport et d'accès switchlan vlan 1. Ensuite, je veux activer la fonction de sécurité du port, tapez la commande switchport port-security, et le système me propose trois options.
Sous la liste des paramètres, vous voyez des symboles (corrects), ce qui signifie que la commande switchport port-security est elle-même une commande valide, c'est-à-dire en la tapant et en appuyant sur "Entrée", j'active la fonction de sécurité du port. Si vous cliquez maintenant sur ce port, vous pouvez voir que la sécurité du port est activée. Mais avant de faire cela, vous devez effectuer certains réglages.
Vous pouvez utiliser le premier paramètre pour protéger l'adresse MAC. Pour ce faire, utilisez la commande switchportort-security mac-address, ce qui signifie que ce port de commutateur utilisera uniquement l'adresse MAC de l'ordinateur PC0 qui lui est connecté.
Examinons la configuration de l'adresse IP de l'ordinateur, pour laquelle nous entrons la commande PC> ipconfig / all dans le terminal de ligne de commande. Nous voyons le nom de la connexion - FastEthernet0 et l'adresse physique de cet ordinateur est 0001.6307.EEAE, c'est-à-dire l'adresse MAC.
Si au lieu de Packet Tracer vous essayez d'afficher la configuration réseau de l'ordinateur à l'aide de la ligne de commande Windows, l'adresse MAC sera présentée dans un format différent sous la forme d'un ensemble de 6 groupes de deux caractères.
En principe, c'est la même adresse, c'est juste que MS Windows la présente comme un nombre hexadécimal, et Cisco préfère utiliser 3 groupes de quatre caractères, mais l'adresse MAC elle-même est exactement la même dans les deux cas.
Je copie cette adresse MAC et la colle à la fin de la ligne avec la commande switchportort-security mac-address. Cela signifie que le port f0 / 1 ne peut communiquer qu'avec une adresse MAC donnée.
Si vous ne souhaitez pas saisir cette adresse manuellement, vous pouvez utiliser la commande do show mac address-table pour voir les adresses MAC des périphériques connectés au port sélectionné. Vous voyez que la table est vide, car ce port n'accepte actuellement pas de trafic.
Pour que les données apparaissent ici, vous devez générer du trafic. Je donne au port f0 / 1 la commande no shutdown, après quoi le port doit passer du rouge au vert. Pour une raison quelconque, cela ne se produit pas, je demande à nouveau de me montrer l'état des ports avec la commande show ip interface brief et de voir que le port f0 / 1 est toujours à l'état bas. J'essaierai de comprendre pourquoi il ne s'est pas activé et je dirigerai le trafic vers lui depuis l'ordinateur à l'aide de la commande ping. Vous voyez que la connexion a été établie et les deux ports sont maintenant indiqués par des points verts.
Je relance la commande show mac address-table et vous voyez que l'adresse MAC de l'ordinateur est maintenant apparue ici. Si vous ne souhaitez pas imprimer cette adresse ou aller sur l'ordinateur pour la copier à partir de la fenêtre d'invite de commandes ipconfig, vous pouvez simplement la copier à partir d'ici et la coller dans la commande souhaitée.
Donc, il y a 2 façons: si vous connaissez l'adresse MAC, vous pouvez simplement l'imprimer à la fin de la commande, ou parcourir la table d'adresses MAC du commutateur et copier l'adresse souhaitée à partir de là.
MAC- stiky, : switchport ort-security mac-address sticky. , , port security. , «» , , . stiky, , MAC- «» MAC- .
. show run , Fa0/1 : switchport mode access switchport ort-security mac-address sticky. switchport ort-security maximum. maximum , MAC- . . , , , IP-, , MAC-. switchport ort-security maximum 2. – maximum 1 – , .
— switchport ort-security violation. MAC-, «» MAC-, , , violation, . ?
switchport ort-security violation. shutdown , MAC-, , , . , . ort-security violation – protect restrict. , . , protect, MAC- , , .
restrict , , «» MAC- «» . , restrict – SNMP- , . , MAC-, . , protect restrict , . ort-security violation shutdown.
, Port Security. switchport ort-security «». , MAC-. show run, , MAC- «» switchport ort-security mac-address sticky 0001.6307.. 48 , 48 , stiky , . , PC0 , SW0.
, , PC1. , , , , IP-, PC0, . , IP- 10.1.1.1. , . , : « 5 : Fast Ethernet 0/1 «».
, . , . 3 , , MAC- . , Packet Tracer – , , «error-disabled», .
, . , - , , show interface brief. , Fa0/1, , manual down, shutdown . , , – show int f0/1, .
, – err-disabled, . , Port Security. , show port-security .
, Fa0/1 , «» MAC-, 1, 1, - – Shutdown. , , MAC-.
. , 15 , CCNA , . CCNA , , Cisco, . , , .
, – show rt-security address. , MAC-.
VLAN 1, MAC- , — SecureSticky — FastEthernet0/1. rt-security interface fastEthernet0/1, , .
Port Status: Secure-shutdown, , - , MAC-. , MAC-, Last Source Address, MAC- .
Aging Time – , MAC- , - , . 0. MAC- 1, MAC- 1, MAC- 0, . «» MAC- 1, MAC- 1 , . , , .
, PC1 PC0. , , , SW0 MAC-, , . , int f0/1 shutdown, , no shutdown. Port Security, show port-security interface f0/1, , Secure-up, . , , .
Port Security. , . ! , Port Security . , , . MAC- MAC- , , . . Port Security .
Merci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? ,
30% entry-level , : VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps $20 ? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
Dell R730xd 2 fois moins cher? Nous avons seulement
2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV à partir de 199 $ aux Pays-Bas! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - à partir de 99 $! Pour en savoir plus sur la
création d'un bâtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?