Sebelum memulai pelajaran, saya ingin mengatakan bahwa di situs web kami nwking.org Anda tidak hanya dapat menemukan informasi tentang belajar kursus CCNA, tetapi juga banyak topik lain yang berguna untuk spesialis jaringan. Kami mempublikasikan di sana informasi menarik tentang produk dari produsen lain dan ulasan dari berbagai program.
Hari ini kita akan membahas dua masalah penting: koneksi yang lambat dan fitur keamanan port Security port switch.
Ketika Anda mengambil tanggung jawab teknisi jaringan Cisco, salah satu masalah terpenting yang harus Anda selesaikan adalah koneksi yang lambat. Seorang karyawan perusahaan dapat menghubungi Anda yang mengeluh bahwa Internet lambat, ada akses lambat ke server, panggilan suara IP-telephony secara perlahan dilakukan, dan sebagainya. Masalah ini sangat umum di jaringan kantor dan dapat terjadi karena berbagai alasan, misalnya, ketika volume lalu lintas meningkat tajam pada suatu hari, yang secara signifikan memperlambat koneksi.
Sebagai seorang insinyur jaringan, Anda harus memperhatikan aspek yang paling beragam dari masalah untuk menemukan di mana penyebab terjadinya itu. Sekarang saya tidak berbicara tentang pemecahan masalah di seluruh model OSI, tetapi Anda harus memiliki rencana kerja, serangkaian tindakan yang Anda ambil untuk menemukan sumber masalahnya, dan Anda perlu memahami apa sebenarnya itu. Jika seseorang memanggil Anda dan mengatakan bahwa mereka memiliki koneksi Internet yang terlalu lambat, Anda harus pergi ke situs ini sendiri dan memeriksanya dari komputer Anda. Terkadang situs jejaring sosial besar melambat karena masuknya besar pengguna, dalam hal ini Anda tidak perlu mencari solusi untuk masalah di jaringan Anda. Karena itu, Anda harus mempertimbangkan semua aspek koneksi yang lambat, karena kadang-kadang masalah kolega Anda tidak tergantung pada kondisi komputer mereka. Jika situs memuat dengan lambat, Anda harus memeriksa apakah situs lain lambat. Jika semua situs dimuat dengan lambat, kami dapat menyimpulkan bahwa alasannya bukan di situs tertentu, tetapi dalam masalah koneksi Internet Anda.
Anda perlu membagi masalah menjadi komponen-komponen terpisah untuk memahami di bagian mana masalahnya.
Dalam kebanyakan kasus, ada dua alasan untuk koneksi yang lambat: kecepatan dan dupleks port switch. Anda tahu bahwa semua sakelar modern dirancang untuk transfer data pada kecepatan 10/100 Mbit / s untuk perangkat Fast Ethernet atau 1 Gbit / s untuk perangkat Gigabit Ethernet. Secara alami, perangkat Gigabit Ethernet juga dapat berjalan pada 10/100 Mbit / s. Jadi, kami memiliki perangkat dengan kecepatan yang berbeda, tetapi tetap saja, sebagian besar perangkat yang dibuat 4-5 tahun yang lalu tidak mendukung 1 Gbit / s, hanya menyediakan Fast Ethernet. Namun, banyak perangkat modern tidak mendukung dupleks penuh.
Half duplex adalah ketika perangkat hanya dapat mengirim atau hanya menerima lalu lintas, dan full duplex adalah ketika perangkat dapat secara bersamaan mengirim dan menerima informasi. Jika Anda mengatur komputer Anda dalam mode setengah dupleks, yaitu, ia dapat mengirim atau menerima lalu lintas, dan port switch yang terhubung dengan komputer akan bekerja dalam mode dupleks penuh, maka koneksi seperti itu tidak akan berfungsi. Oleh karena itu, kasus yang ideal adalah ketika kedua perangkat beroperasi dalam mode dupleks yang sama - half duplex atau full duplex dan pada kecepatan yang sama, misalnya, 100 Mbps. Jika satu port berjalan pada 10 Mbps dan 100 Mbps lainnya, komunikasi mungkin gagal. Karena itu, Anda harus berhati-hati dengan hal-hal ini.
Dalam kebanyakan kasus, konfigurasi perangkat diatur ke mode kompatibilitas otomatis secara default, yaitu, mode kecepatan port switch dan port port jaringan komputer diatur ke mode duplex otomatis. Namun, untuk port Fast Ethernet pada switch dengan kecepatan 100 Mbps, ini dapat menyebabkan masalah. Dalam kebanyakan kasus, port switch memberikan kompatibilitas kecepatan, tetapi kadang-kadang mereka salah, karena mereka tidak dapat "bernegosiasi" dengan perangkat kedua. Dalam hal ini, satu perangkat dapat memilih sendiri mode setengah dupleks, dan yang kedua - dupleks penuh.
Dalam hal ini, Gigabit Ethernet berperilaku lebih baik, dan ada penjelasannya. Faktanya adalah bertahun-tahun yang lalu, ketika standar Fast Ethernet dibuat, sebagian besar perangkat bekerja dalam mode setengah dupleks. Secara default, jika perangkat tidak cocok, sakelar Fast Ethernet, yang diatur ke pemilihan kecepatan otomatis dan dupleks otomatis, menggunakan kecepatan 100 Mbps dan mode setengah dupleks.
Misalkan Anda mengatur salah satu perangkat ke mode dupleks penuh dan menetapkan kecepatan 100 Mbps, dan kemudian Anda ingin memperluas parameter ini ke semua switch di jaringan Anda. Namun, salah satu perangkat di jaringan mungkin berada dalam mode otomatis, dan ketika terhubung ke port perangkat yang Anda konfigurasi, kecepatannya akan mencapai 100 Mbps, tetapi pada saat yang sama, secara default untuk mode otomatis, ia akan beralih ke setengah dupleks. Jika ini terjadi, Anda berada dalam masalah besar.
Tetapi jika kedua perangkat menggunakan standar Gigabit Ethernet dan keduanya dalam mode otomatis, maka secara default mereka akan menjadi dupleks penuh pada kecepatan 1 Gbit / detik, atau 1000 Mbit / detik.
Jika seseorang memanggil Anda dan mengatakan bahwa komputernya lambat, Anda dapat menggunakan perintah show int <port name> untuk melihat status antarmuka sakelar.
Dari sini Anda dapat mengekstrak banyak informasi berguna. Anda dapat melihat bahwa Fast Ethernet diaktifkan (Fast Ethernet0 / 1 sudah habis), di mana "naik" berarti bahwa port ini benar-benar berfungsi. Lebih lanjut dilaporkan bahwa protokol jaringan aktif, protokol garis naik, yaitu koneksi dibuat dan berfungsi. Lebih jauh, Anda dapat melihat bahwa mode operasi port Full-duplex dan kecepatan koneksi 100 Mbps.
Jika Anda melihat bahwa mode diatur ke setengah dupleks, maka ada sesuatu yang tidak beres. Dalam hal ini, Anda perlu memeriksa perangkat di sisi lain koneksi, dan jika itu juga berfungsi dalam mode half-duplex, maka alasan pengoperasian komputer yang lambat berbeda. Namun, jika ada ketidakkonsistenan dari mode “full duplex - half duplex”, ini bisa menjadi penyebab banyak masalah.
Jika perangkat Anda dalam mode setengah dupleks, ia hanya mengirim atau hanya menerima data. Tetapi sakelar yang bekerja dalam mode dupleks penuh tidak mengetahuinya, dan, menerima data, mengirim data secara bersamaan, sementara perangkat Anda tidak dapat menerimanya, karena sibuk mengirimkan lalu lintas. Akibatnya, data "bertabrakan" dan hilang begitu saja. Seperti yang kita ketahui dari pelajaran sebelumnya, TCP adalah mekanisme yang memeriksa urutan frame dan dalam hal ini akan mencoba mengulangi transfer data yang hilang. Namun, upaya untuk mengulang transmisi lalu lintas yang tidak mencapai tujuan akan secara signifikan memperlambat pertukaran data. Pada saat yang sama, melihat bahwa lalu lintas belum mencapai penerima, TCP akan mencoba mengulangi transfer data yang hilang berulang kali. Proses ini juga memperlambat jaringan.
Parameter lain yang berguna untuk mengevaluasi operasi switch adalah kecepatan input dan output data selama 5 menit terakhir operasi, menunjukkan berapa banyak data yang diterima dan dikirim selama waktu ini dalam bit / s atau dalam paket / s. Jika sakelar dalam kondisi kerja, parameter ini harus mengandung beberapa nilai. Jika Anda melihat 0, yang berarti nol lalu lintas melalui port ini, maka ada sesuatu yang salah. Informasi tentang jumlah siaran yang diterima dan jumlah tabrakan yang diterima juga berguna. Seperti yang telah kami katakan, jika switch memiliki 48 port, jumlah collision juga harus 48, dan jika Anda melihat 0, ini berarti tidak ada port di switch ini yang berfungsi. Jumlah tabrakan lambat sama dengan 0 juga menunjukkan kerusakan pada sakelar.
Saya akan pergi ke program Paket Tracer untuk menunjukkan bagaimana Anda dapat mengkonfigurasi hal-hal ini. Kami memasuki pengaturan SW0 menggunakan perintah t config. Saya menyarankan Anda untuk mengambil selembar kertas dan menuliskan perintah yang akan saya gunakan. Saya pikir, menuliskan perintah secara manual, Anda akan mengingatnya lebih cepat daripada jika Anda mengetiknya di keyboard menggunakan perintah baris perintah. Jadi, untuk masuk ke mode konfigurasi global, saya mengetik perintah configure terminal dan kemudian pergi ke antarmuka yang kami tertarik dengan antarmuka fastEthernet 0/1 perintah. Untuk mengatur kecepatan port ini, saya mengetikkan kecepatan, dan sistem menghasilkan 3 parameter yang mungkin.
Packet Tracer hanya memiliki sakelar Fast Ethernet, tidak ada sakelar Gigabit Ethernet, sehingga kecepatan maksimumnya adalah 100 Mbps. Saya dapat mengatur kecepatan ke 10 atau 100, untuk ini saya menggunakan perintah kecepatan 100, dan karena saya secara manual mengatur kecepatan, saya juga harus secara manual memilih mode duplex untuk port ini.
Anda tidak dapat menggunakan mode kecepatan otomatis dan mode pengaturan dupleks manual; Anda harus mengatur salah satu dari parameter ini ke mode pemilihan otomatis, atau menetapkan kedua parameter secara manual.
Saya memperingatkan Anda: jangan pernah mengubah pengaturan parameter ini dalam jaringan kerja selama jam kerja. Jika Anda melakukan ini, saklar akan menonaktifkan port, reboot dan mengaktifkan port dengan parameter baru, tetapi selama 5 detik selama itu akan reboot, koneksi jaringan akan terputus. Saya sarankan Anda membuat pengaturan ini hanya di jaringan baru yang baru dibuat, atau setelah jam.
Jadi, untuk mengkonfigurasi duplex, Anda harus memasukkan perintah duplex, setelah itu sistem akan menampilkan tiga mode yang mungkin: otomatis, dupleks penuh dan dupleks setengah.
Saya akan mengeluarkan perintah full duplex untuk mengaktifkan full duplex untuk port ini. Jika Anda melihat parameter antarmuka f0 / 1, Anda dapat melihat garis dengan mode dupleks penuh dan 100 Mbps. Pada saat yang sama, mari kita lihat konfigurasi saat ini, yang kami gunakan perintah show run.
Anda dapat melihat bahwa parameter operasi port FastEthernet0 / 1 terdaftar secara terpisah, sedangkan mode operasi tidak ditentukan untuk port lain. Ini karena saya mengkonfigurasinya secara manual, dan semua port lain dikonfigurasi secara default.
Jika saya ingin menonaktifkan port ini dan menggunakan antarmuka perintah FastEthernet0 / 1 shutdown dan melihat konfigurasi lagi, saya akan melihat bahwa garis shutdown telah ditambahkan ke parameter port ini. Jadi, jika tidak ada garis mati di bawah garis dengan penunjukan antarmuka saklar, ini berarti bahwa port ini dalam keadaan on.
Sekarang saya akan mengubah mode operasi port ini menggunakan perintah otomatis otomatis dan dupleks otomatis.
Jika kita melihat konfigurasi saat ini lagi, kita tidak akan melihat perubahan, karena perintah kecepatan otomatis dan dupleks otomatis adalah perintah default, dan parameter mode default tidak ditampilkan dalam konfigurasi perangkat saat ini. Jadi, saya tunjukkan cara mengkonfigurasi kecepatan dan dupleks port.
Dan sekarang pertanyaannya adalah: apakah menurut Anda ide penyetelan keras kecepatan dan dupleks dari sudut pandang sakelar operasi di lingkungan kerja adalah ide yang bagus? Jawaban: itu tergantung pada kondisi spesifik.
Gagasan menyesuaikan parameter secara manual tidak buruk, tetapi mengarah ke sejumlah besar pekerjaan - Anda harus mengkonfigurasi secara manual setiap switch jaringan yang bekerja pada kecepatan 100 Mbps dan dupleks penuh. Oleh karena itu, ada aturan yang tidak diucapkan - untuk melakukan ini hanya untuk perangkat jaringan kritis, seperti server atau router. Perangkat akhir, komputer, atau telepon IP biasanya terhubung, jadi pengaturan port yang keras tidak akan menghasilkan kejutan. Setelah mengatur kecepatan ke 100 Mbit / s atau 1 Gbit / s dan mode dupleks penuh, perangkat klien yang terhubung ke port ini mendukung parameter koneksi yang dipilih tanpa masalah. Jadi konfigurasi ketat dari perangkat jaringan kritis akan membantu Anda menghemat banyak waktu.
Jadi, jika Anda memiliki masalah koneksi yang lambat, salah satu cara untuk mengatasinya adalah dengan mengkonfigurasi kecepatan dan dupleks.
Sebelum beralih ke masalah keamanan port, mari kita lihat apa keamanan ini. Bayangkan kantor Anda memiliki soket dinding untuk kabel jaringan, dan komputer Anda, terutama desktop, terhubung ke soket ini.
Pertanyaan: apa yang bisa mencegah saya, sebagai seorang peretas, untuk melepaskan komputer Anda dan menghubungkan komputer saya ke outlet ini? Tidak ada! Saya dapat membawa komputer di rumah sebagai peserta pelatihan, dan Anda tahu bahwa laptop rumahan biasanya terinfeksi virus atau mengandung malware, karena Anda mengunggah musik, film, dan konten lainnya ke dalamnya. Jika Anda menyambungkan komputer ke jaringan kantor menggunakan kabel atau koneksi nirkabel, Anda dapat dengan mudah mengompromikannya dengan menyebarkan virus melalui itu. Tentu Anda tidak menginginkan ini.
Tetapi jika Anda seorang hacker, Anda dapat dengan mudah melakukan serangan manusia-di-tengah. Anda menghubungkan perangkat Anda ke port ini, mengubah alamat MAC dan memastikan bahwa semua perangkat di kantor mengirim lalu lintas melalui gerbang palsu yang Anda buat untuk online. Dengan menggunakan Wireshark atau perangkat lunak analisis paket apa pun, peretas akan dapat mendekripsi lalu lintas yang dicegat dan mendapatkan data, kata sandi, dan informasi rahasia lainnya yang menarik baginya.
Garis pertahanan pertama adalah Port Security. Jika Anda bertanya kepada saya apakah fitur ini adalah cara terbaik untuk melindungi, saya akan menjawab - tentu saja tidak. Ini hanya garis pertahanan pertama. Tetapi keamanan bukanlah salah satu trik cerdik, ini adalah sistem multi-level. Anda memiliki keamanan fisik, keamanan OSI tingkat kedua, tingkat ketiga, ketujuh dan seterusnya. Keamanan secara umum jauh lebih dari sekadar keamanan pelabuhan, tetapi ini adalah garis pertahanan pertama, jadi kami akan melihat bagaimana Anda dapat memastikannya dan bagaimana melindungi diri Anda dari seseorang yang melepaskan komputer kantor Anda dari jaringan Anda dan menghubungkannya dengan komputer Anda sendiri.
Kembali ke program Paket Tracer. Kami memiliki komputer PC0, yang saya sambungkan ke sakelar Sw0, dan saya ingin menetapkan alamat IP ke komputer ini.
Saya memasuki terminal baris perintah sakelar dan memasukkan perintah show int brief, yang menunjukkan status semua port pada perangkat. Yang ditunjukkan di sini adalah semua 24 port Fast Ethernet dan 2 port Gigabit, serta VLAN1 jaringan virtual default dengan alamat IP 10.1.1.1. Selanjutnya, saya memasuki pengaturan jaringan PC0, di mana saya memasukkan semua parameter terlebih dahulu.
Untuk mengaktifkan keamanan Port, Anda harus terlebih dahulu melakukan hal berikut: Saya memasukkan perintah antarmuka f0 / 1 karena ini adalah port tempat komputer terhubung, dan saya ingin memastikan keamanan port khusus ini.
Anda harus ingat bahwa fungsi keamanan port hanya dapat diaktifkan untuk port akses, dan port trunk berfungsi dalam mode yang berbeda. Karena itu, pertama-tama, Anda harus mengubah port ini menjadi port akses. Untuk melakukan ini, saya secara konsisten memasuki perintah mode switchport akses dan akses switchport vlan 1. Selanjutnya, saya ingin mengaktifkan fungsi keamanan port, ketik perintah switchport-security port, dan sistem menawarkan kepada saya tiga opsi untuk dipilih.
Di bawah daftar parameter yang Anda lihat simbol (benar), yang berarti bahwa perintah port-security switchport itu sendiri adalah perintah yang valid, yaitu, mengetiknya dan menekan "Enter", saya mengaktifkan fungsi keamanan port. Jika sekarang Anda mengklik port ini, Anda dapat melihat bahwa keamanan Port diaktifkan. Tetapi sebelum Anda melakukan ini, Anda perlu melakukan beberapa pengaturan.
Anda dapat menggunakan parameter pertama untuk melindungi alamat MAC. Untuk melakukan ini, gunakan perintah mac-address switchportort-security, yang berarti bahwa port switch ini hanya akan menggunakan alamat MAC komputer PC0 yang terhubung dengannya.
Mari kita lihat konfigurasi alamat IP komputer, yang kita masukkan perintah PC> ipconfig / all di terminal baris perintah. Kami melihat nama koneksi - FastEthernet0 dan alamat fisik komputer ini adalah 0001.6307.EEAE, yaitu, alamat MAC.
Jika alih-alih Packet Tracer Anda mencoba melihat konfigurasi jaringan komputer menggunakan baris perintah Windows, alamat MAC akan disajikan dalam format yang berbeda sebagai satu set 6 kelompok dua karakter.
Pada prinsipnya, ini adalah alamat yang sama, hanya saja MS Windows menyajikannya sebagai angka heksadesimal, dan Cisco lebih suka menggunakan 3 grup empat karakter, tetapi alamat MAC itu sendiri persis sama dalam kedua kasus.
Saya menyalin alamat MAC ini dan menempelkannya di akhir baris dengan perintah mac-address switchportort-security. Ini berarti bahwa port f0 / 1 hanya dapat berkomunikasi dengan alamat MAC yang diberikan.
Jika Anda tidak ingin mengetik alamat ini secara manual, Anda dapat menggunakan perintah do show mac address-table untuk melihat alamat MAC perangkat yang terhubung ke port yang dipilih. Anda melihat bahwa tabel itu kosong, karena port ini saat ini tidak menerima lalu lintas.
Agar data muncul di sini, Anda perlu menghasilkan lalu lintas. Saya memberi port f0 / 1 perintah no shutdown, setelah itu port harus berubah merah menjadi hijau. Untuk beberapa alasan ini tidak terjadi, saya kembali meminta untuk menunjukkan kepada saya status port dengan perintah show ip interface brief dan melihat bahwa port f0 / 1 masih dalam keadaan down. Saya akan mencoba mencari tahu mengapa itu tidak menyala, dan saya akan mengarahkan lalu lintas ke sana dari komputer menggunakan perintah ping. Anda melihat bahwa koneksi telah dibuat dan kedua port sekarang ditunjukkan oleh titik hijau.
Saya menerbitkan kembali perintah show mac address-table, dan Anda melihat bahwa alamat MAC komputer sekarang telah muncul di sini. Jika Anda tidak ingin mencetak alamat ini atau pergi ke komputer untuk menyalinnya dari jendela prompt perintah ipconfig, Anda dapat menyalinnya dari sini dan menempelkannya ke perintah yang diinginkan.
Jadi, ada 2 cara: jika Anda tahu alamat MAC, Anda cukup mencetaknya di akhir perintah, atau telusuri tabel alamat MAC saklar dan salin alamat yang diinginkan dari sana.
MAC- stiky, : switchport ort-security mac-address sticky. , , port security. , «» , , . stiky, , MAC- «» MAC- .
. show run , Fa0/1 : switchport mode access switchport ort-security mac-address sticky. switchport ort-security maximum. maximum , MAC- . . , , , IP-, , MAC-. switchport ort-security maximum 2. – maximum 1 – , .
— switchport ort-security violation. MAC-, «» MAC-, , , violation, . ?
switchport ort-security violation. shutdown , MAC-, , , . , . ort-security violation – protect restrict. , . , protect, MAC- , , .
restrict , , «» MAC- «» . , restrict – SNMP- , . , MAC-, . , protect restrict , . ort-security violation shutdown.
, Port Security. switchport ort-security «». , MAC-. show run, , MAC- «» switchport ort-security mac-address sticky 0001.6307.. 48 , 48 , stiky , . , PC0 , SW0.
, , PC1. , , , , IP-, PC0, . , IP- 10.1.1.1. , . , : « 5 : Fast Ethernet 0/1 «».
, . , . 3 , , MAC- . , Packet Tracer – , , «error-disabled», .
, . , - , , show interface brief. , Fa0/1, , manual down, shutdown . , , – show int f0/1, .
, – err-disabled, . , Port Security. , show port-security .
, Fa0/1 , «» MAC-, 1, 1, - – Shutdown. , , MAC-.
. , 15 , CCNA , . CCNA , , Cisco, . , , .
, – show rt-security address. , MAC-.
VLAN 1, MAC- , — SecureSticky — FastEthernet0/1. rt-security interface fastEthernet0/1, , .
Port Status: Secure-shutdown, , - , MAC-. , MAC-, Last Source Address, MAC- .
Aging Time – , MAC- , - , . 0. MAC- 1, MAC- 1, MAC- 0, . «» MAC- 1, MAC- 1 , . , , .
, PC1 PC0. , , , SW0 MAC-, , . , int f0/1 shutdown, , no shutdown. Port Security, show port-security interface f0/1, , Secure-up, . , , .
Port Security. , . ! , Port Security . , , . MAC- MAC- , , . . Port Security .
Terima kasih telah tinggal bersama kami. Apakah Anda suka artikel kami? Ingin melihat materi yang lebih menarik?
Dukung kami dengan melakukan pemesanan atau merekomendasikannya kepada teman-teman Anda, diskon 30% untuk pengguna Habr pada analog unik dari server entry-level yang kami temukan untuk Anda: Seluruh kebenaran tentang VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps dari $ 20 atau bagaimana membagi server? (opsi tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).
Dell R730xd 2 kali lebih murah? Hanya kami yang memiliki
2 x Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV dari $ 199 di Belanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - mulai dari $ 99! Baca tentang
Cara Membangun Infrastruktur Bldg. kelas menggunakan server Dell R730xd E5-2650 v4 seharga 9.000 euro untuk satu sen?