Antes de iniciar a lição, quero dizer que em nosso site nwking.org você pode encontrar não apenas informações sobre o curso do CCNA, mas também muitos outros tópicos úteis para um especialista em rede. Nós publicamos lá informações interessantes sobre produtos de outros fabricantes e análises de vários programas.
Hoje discutiremos duas questões importantes: conexões lentas e o recurso de segurança da porta do switch Port Security.
Ao assumir as responsabilidades de um técnico de rede da Cisco, um dos problemas mais importantes que você terá que resolver são as conexões lentas. Um funcionário da empresa pode entrar em contato com você, reclamando que a Internet está lenta, há acesso lento ao servidor, chamadas de voz por telefonia IP estão sendo feitas lentamente e assim por diante. Esse problema é muito comum em redes de escritórios e pode ocorrer por vários motivos, por exemplo, quando o volume de tráfego aumenta acentuadamente em um dia, o que diminui significativamente a conexão.
Como engenheiro de rede, você deve prestar atenção aos mais variados aspectos do problema para descobrir onde está a causa de sua ocorrência. Agora, não estou falando sobre solução de problemas em todo o modelo OSI, mas você deve ter um plano de trabalho, uma sequência de ações para encontrar a fonte do problema e entender exatamente o que é. Se alguém ligar para você e disser que sua conexão com a Internet é muito lenta, você deverá acessar este site e verificar no seu computador. Às vezes, grandes sites de redes sociais ficam mais lentos devido a um grande fluxo de usuários; nesse caso, você não precisa procurar uma solução para o problema na sua rede. Portanto, você deve considerar todos os aspectos de uma conexão lenta, pois às vezes os problemas de seus colegas não dependem do estado de seus computadores. Se um site estiver carregando lentamente, verifique se outros sites estão lentos. Se todos os sites carregarem lentamente, podemos concluir que o motivo não está em um site específico, mas no problema de sua conexão com a Internet.
Você precisa dividir o problema em componentes separados para entender em que parte está o problema.
Na maioria dos casos, existem dois motivos para uma conexão lenta: a velocidade e o duplex da porta do switch. Você sabe que todos os comutadores modernos são projetados para transferência de dados a uma velocidade de 10/100 Mbit / s para dispositivos Fast Ethernet ou 1 Gbit / s para dispositivos Gigabit Ethernet. Naturalmente, os dispositivos Gigabit Ethernet também podem funcionar a 10/100 Mbit / s. Assim, temos dispositivos com velocidades diferentes, mas ainda assim, a maioria dos dispositivos fabricados há 4-5 anos não suporta 1 Gbit / s, fornecendo apenas Fast Ethernet. No entanto, muitos dispositivos modernos não suportam full duplex.
Half-duplex é quando o dispositivo pode enviar ou receber apenas tráfego e full-duplex é quando o dispositivo pode transmitir e receber informações simultaneamente. Se você configurar o computador no modo half-duplex, ou seja, ele poderá enviar ou receber tráfego e a porta do switch à qual o computador está conectado funcionará no modo full-duplex, essa conexão não funcionará. Portanto, o caso ideal é quando ambos os dispositivos operam no mesmo modo duplex - half duplex ou full duplex e na mesma velocidade, por exemplo, 100 Mbps. Se uma porta for executada a 10 Mbps e a outra 100 Mbps, a comunicação poderá falhar. Portanto, você deve ter cuidado com essas coisas.
Na maioria dos casos, a configuração do dispositivo é definida no modo de compatibilidade automática por padrão, ou seja, o modo de velocidade da porta do comutador e a porta da porta de rede do computador são definidas no modo duplex automático. No entanto, para a porta Fast Ethernet do switch a uma velocidade de 100 Mbps, isso pode causar um problema. Na maioria dos casos, as portas do switch oferecem compatibilidade de velocidade, mas às vezes elas são erradas, porque não podem "negociar" com o segundo dispositivo. Nesse caso, um dispositivo pode escolher o modo half-duplex e o segundo - full duplex.
Nesse caso, a Gigabit Ethernet se comporta melhor e há uma explicação para isso. O fato é que, muitos anos atrás, quando o padrão Fast Ethernet foi criado, a grande maioria dos dispositivos trabalhava no modo half-duplex. Por padrão, se o dispositivo não corresponder, o comutador Fast Ethernet, configurado para seleção automática de velocidade e duplex automático, usa uma velocidade de 100 Mbps e modo half duplex.
Suponha que você defina um dos dispositivos para o modo full duplex e atribua uma velocidade de 100 Mbps e deseje estender esses parâmetros a todos os comutadores da sua rede. No entanto, um dos dispositivos na rede pode estar no modo automático e, quando conectado à porta do dispositivo que você configurou, atingirá uma velocidade de 100 Mbps, mas, ao mesmo tempo, por padrão, no modo automático, entrará em half-duplex. Se isso acontecer, você terá grandes problemas.
Mas se os dois dispositivos usam o padrão Gigabit Ethernet e os dois estão no modo automático, então, por padrão, entram em um estado de full duplex a uma velocidade de 1 Gbit / s, ou 1000 Mbit / s.
Se alguém ligar para você e disser que o computador está lento, você pode usar o comando show int <nome da porta> para exibir o status da interface do switch.
A partir daqui, você pode extrair muitas informações úteis. Você pode ver que o Fast Ethernet está ativado (Fast Ethernet0 / 1 está ativo), onde “up” significa que fisicamente essa porta realmente funciona. Também é relatado que o protocolo de rede está ativo, o protocolo de linha está ativo, ou seja, a conexão está estabelecida e funcionando. Além disso, você pode ver que o modo de operação da porta é Full-duplex e a velocidade da conexão é de 100 Mbps.
Se você perceber que o modo está definido como half-duplex, algo pode estar fora de ordem. Nesse caso, você precisa verificar o dispositivo do outro lado da conexão e, se ele também funcionar no modo half-duplex, o motivo da operação lenta do computador será diferente. No entanto, se houver uma inconsistência nos modos "full duplex - half duplex", isso pode ser a causa de muitos problemas.
Se o seu dispositivo estiver no modo half-duplex, ele envia ou recebe apenas dados. Mas o comutador que trabalha no modo full duplex não sabe sobre isso e, recebendo dados, envia dados ao mesmo tempo, enquanto o dispositivo não pode recebê-los, pois está ocupado enviando tráfego. Como resultado, os dados "colidem" e são simplesmente perdidos. Como sabemos nas lições anteriores, o TCP é um mecanismo que verifica a sequência de quadros e, neste caso, tentará repetir a transferência de dados perdidos. No entanto, uma tentativa de repetir a transmissão de tráfego que não atingiu o destino reduzirá significativamente a troca de dados. Ao mesmo tempo, visto que o tráfego não atingiu o destinatário, o TCP tentará repetir a transferência de dados perdidos repetidamente. Esse processo também diminui a velocidade da rede.
Outro parâmetro útil para avaliar a operação de um comutador é a velocidade de entrada e saída de dados durante os últimos 5 minutos de operação, mostrando quantos dados estão sendo recebidos e enviados durante esse período em bits / s ou em pacotes / s. Se o comutador estiver em condições de trabalho, esses parâmetros deverão conter alguns valores. Se você vir 0, o que significa tráfego zero por essa porta, algo está errado. Informações sobre o número de transmissões recebidas e o número de colisões recebidas também são úteis. Como já dissemos, se o switch tiver 48 portas, o número de colisões também deverá ser 48 e, se você vir 0, isso significa que nenhuma das portas desse switch funciona. O número de colisões tardias iguais a 0 também indica um mau funcionamento no comutador.
Vou ao programa Packet Tracer para mostrar como você pode configurar essas coisas. Nós inserimos as configurações do SW0 usando o comando config t. Aconselho que você pegue um pedaço de papel e anote os comandos que vou usar. Penso que, ao escrever comandos manualmente, você os lembrará muito mais rapidamente do que se os digitar no teclado usando os prompts da linha de comando. Portanto, para entrar no modo de configuração global, digito o comando configure terminal e depois vou para a interface na qual estamos interessados com o comando interface fastEthernet 0/1. Para definir a velocidade dessa porta, digite velocidade e o sistema produz 3 parâmetros possíveis.
O Packet Tracer possui apenas um switch Fast Ethernet, não há um switch Gigabit Ethernet, portanto a velocidade máxima é de 100 Mbps. Posso definir a velocidade para 10 ou 100. Para isso, uso o comando speed 100 e, como defino manualmente a velocidade, também devo selecionar manualmente o modo duplex para esta porta.
Você não pode usar o modo de velocidade automática e o modo de configuração de duplex manual; deve definir um desses parâmetros para o modo de seleção automática ou atribuir os dois parâmetros manualmente.
Aviso: nunca altere as configurações desses parâmetros em uma rede em funcionamento durante o horário comercial. Se você fizer isso, o switch desativará a porta, reinicializará e habilitará a porta com os novos parâmetros, mas, durante os 5 segundos em que será reiniciado, as conexões de rede serão interrompidas. Eu recomendo que você faça essas configurações somente em uma rede nova criada recentemente ou após o horário comercial.
Portanto, para configurar o duplex, é necessário inserir o comando duplex, após o qual o sistema exibirá três modos possíveis: automático, full duplex e half duplex.
Vou emitir o comando full duplex para ativar o full duplex para esta porta. Se você observar os parâmetros da interface f0 / 1, poderá ver uma linha nos modos full duplex e 100 Mbps. Ao mesmo tempo, vejamos a configuração atual, para a qual usamos o comando show run.
Você pode ver que os parâmetros de operação da porta FastEthernet0 / 1 estão listados separadamente, enquanto o modo de operação não está especificado para as outras portas. Isso ocorre porque eu o configurei manualmente e todas as outras portas estão configuradas por padrão.
Se eu quiser desativar essa porta e usar o comando de desligamento da interface FastEthernet0 / 1 e analisar a configuração novamente, verei que a linha de desligamento foi adicionada aos parâmetros dessa porta. Portanto, se não houver linha de desligamento abaixo da linha com a designação da interface do comutador, isso significa que essa porta está no estado ligado.
Agora vou mudar o modo de operação desta porta usando os comandos speed auto e duplex auto.
Se observarmos a configuração atual novamente, não veremos nenhuma alteração, porque os comandos speed auto e duplex auto são os comandos padrão e os parâmetros do modo padrão não são exibidos na configuração atual do dispositivo. Então, eu mostrei como configurar a velocidade e o duplex da porta.
E agora a pergunta é: você acha que a idéia de ajustar com precisão a velocidade e o duplex do ponto de vista dos interruptores operacionais no ambiente de trabalho é uma boa idéia? Resposta: depende das condições específicas.
A idéia de ajustar manualmente os parâmetros não é ruim, mas leva a uma enorme quantidade de trabalho - você precisará configurar manualmente cada switch da rede em funcionamento a uma velocidade de 100 Mbps e full duplex. Portanto, existe uma regra tácita - fazer isso apenas para dispositivos críticos de rede, como servidores ou roteadores. Dispositivos finais, computadores ou telefones IP geralmente são conectados a eles, portanto, uma configuração de porta rígida não deve causar surpresas. Após definir a velocidade para 100 Mbit / s ou 1 Gbit / s e o modo full duplex, o dispositivo cliente conectado a esta porta suporta os parâmetros de conexão selecionados sem problemas. Uma configuração tão rígida de dispositivos críticos de rede ajudará você a economizar muito tempo.
Portanto, se você tiver um problema de conexão lenta, uma maneira de resolvê-lo é configurar a velocidade e o duplex.
Antes de avançarmos para a questão da segurança portuária, veremos o que é essa segurança. Imagine que seu escritório tenha tomadas de parede para cabos de rede e seus computadores, principalmente desktops, estejam conectados a essas tomadas.
Pergunta: o que pode me impedir, como hacker, de desconectar o computador e conectar o meu a esta tomada? Nada! Posso trazer meu computador doméstico como trainee e você sabe que os laptops domésticos geralmente são infectados por vírus ou contêm malware, porque você carrega músicas, filmes e outros conteúdos para eles. Se você conectar o computador à rede do escritório usando uma conexão a cabo ou sem fio, poderá comprometê-lo facilmente espalhando vírus por ele. Claro que você não quer isso.
Mas se você é um hacker, pode facilmente realizar um ataque de intermediário. Você conecta seu dispositivo a essa porta, altera o endereço MAC e garante que todos os dispositivos no escritório enviem tráfego através do gateway falso que você criou para ficar online. Usando o Wireshark ou qualquer outro software de análise de pacotes, o hacker poderá descriptografar o tráfego interceptado e obter dados, senhas e outras informações confidenciais de seu interesse.
A primeira linha de defesa é Port Security. Se você me perguntar se esse recurso é a melhor maneira de proteger, eu responderei - é claro que não. Esta é apenas a primeira linha de defesa. Mas a segurança não é um truque engenhoso, é um sistema de vários níveis. Você tem segurança física, segurança do segundo nível OSI, terceiro nível, sétimo e assim por diante. A segurança em geral é muito mais do que apenas a segurança da porta, mas esta é a primeira linha de defesa. Portanto, veremos como você pode garantir isso e como se proteger de alguém desconectando o computador do escritório da rede e conectando o seu.
Voltar ao programa Packet Tracer. Temos um computador PC0, conectado ao switch Sw0, e desejo atribuir um endereço IP a este computador.
Entro no terminal da linha de comando do switch e insiro o comando show int brief, que mostra o status de todas as portas no dispositivo. Aqui são mostradas todas as 24 portas Fast Ethernet e 2 portas Gigabit, bem como a VLAN1 da rede virtual padrão com endereço IP 10.1.1.1. Em seguida, insiro as configurações de rede do PC0, onde inseri todos os parâmetros com antecedência.
Para habilitar a segurança da porta, você deve primeiro fazer o seguinte: Entro no comando interface f0 / 1 porque é a porta à qual o computador está conectado e desejo garantir a segurança dessa porta específica.
Lembre-se de que a função de segurança da porta só pode ser ativada para a porta de acesso e a porta do tronco funciona em um modo diferente. Portanto, antes de tudo, você deve transformar essa porta em uma porta de acesso. Para fazer isso, insiro consistentemente os comandos access mode mode e switchport access vlan 1. Em seguida, desejo habilitar a função de segurança da porta, digite o comando switchport port-security e o sistema oferece três opções para você escolher.
Sob a lista de parâmetros que você vê símbolos (corretos), o que significa que o comando switchport port-security é um comando válido, ou seja, digitando-o e pressionando “Enter”, ative a função de segurança da porta. Se você agora clicar nessa porta, poderá ver que a segurança da porta está ativada. Mas antes de fazer isso, você precisa fazer algumas configurações.
Você pode usar o primeiro parâmetro para proteger o endereço MAC. Para fazer isso, use o comando switchportort-security mac-address, o que significa que essa porta do switch usará apenas o endereço MAC do computador PC0 conectado a ela.
Vejamos a configuração do endereço IP do computador, para o qual inserimos o comando PC> ipconfig / all no terminal da linha de comando. Vemos o nome da conexão - FastEthernet0 e o endereço físico deste computador é 0001.6307.EEAE, ou seja, o endereço MAC.
Se, em vez do Packet Tracer, você tentar visualizar a configuração de rede do computador usando a linha de comando do Windows, o endereço MAC será apresentado em um formato diferente, como um conjunto de 6 grupos de dois caracteres.
Em princípio, esse é o mesmo endereço, mas o MS Windows o apresenta como um número hexadecimal, e a Cisco prefere usar 3 grupos de quatro caracteres, mas o endereço MAC em si é exatamente o mesmo nos dois casos.
Eu copio este endereço MAC e colo no final da linha com o comando switchportort-security mac-address. Isso significa que a porta f0 / 1 pode se comunicar apenas com um determinado endereço MAC.
Se você não quiser digitar esse endereço manualmente, poderá usar o comando do show mac address-table para ver os endereços MAC dos dispositivos conectados à porta selecionada. Você vê que a tabela está vazia, porque esta porta atualmente não está aceitando tráfego.
Para que os dados apareçam aqui, você precisa gerar tráfego. Dou à porta f0 / 1 o comando no shutdown, após o qual a porta deve mudar de vermelho para verde. Por algum motivo, isso não acontece, novamente peço que me mostre o status das portas com o comando show ip interface brief e veja se a porta f0 / 1 ainda está no estado inoperante. Vou tentar descobrir por que ele não foi ativado e direcionarei o tráfego para ele do computador usando o comando ping. Você vê que a conexão foi estabelecida e agora as duas portas são indicadas por pontos verdes.
Emito novamente o comando show mac address-table, e você vê que o endereço MAC do computador agora apareceu aqui. Se você não deseja imprimir este endereço ou ir ao computador para copiá-lo da janela do prompt de comando ipconfig, basta copiá-lo daqui e colá-lo no comando desejado.
Portanto, existem duas maneiras: se você conhece o endereço MAC, pode simplesmente imprimi-lo no final do comando ou navegar na tabela de endereços MAC do switch e copiar o endereço desejado a partir daí.
MAC- stiky, : switchport ort-security mac-address sticky. , , port security. , «» , , . stiky, , MAC- «» MAC- .
. show run , Fa0/1 : switchport mode access switchport ort-security mac-address sticky. switchport ort-security maximum. maximum , MAC- . . , , , IP-, , MAC-. switchport ort-security maximum 2. – maximum 1 – , .
— switchport ort-security violation. MAC-, «» MAC-, , , violation, . ?
switchport ort-security violation. shutdown , MAC-, , , . , . ort-security violation – protect restrict. , . , protect, MAC- , , .
restrict , , «» MAC- «» . , restrict – SNMP- , . , MAC-, . , protect restrict , . ort-security violation shutdown.
, Port Security. switchport ort-security «». , MAC-. show run, , MAC- «» switchport ort-security mac-address sticky 0001.6307.. 48 , 48 , stiky , . , PC0 , SW0.
, , PC1. , , , , IP-, PC0, . , IP- 10.1.1.1. , . , : « 5 : Fast Ethernet 0/1 «».
, . , . 3 , , MAC- . , Packet Tracer – , , «error-disabled», .
, . , - , , show interface brief. , Fa0/1, , manual down, shutdown . , , – show int f0/1, .
, – err-disabled, . , Port Security. , show port-security .
, Fa0/1 , «» MAC-, 1, 1, - – Shutdown. , , MAC-.
. , 15 , CCNA , . CCNA , , Cisco, . , , .
, – show rt-security address. , MAC-.
VLAN 1, MAC- , — SecureSticky — FastEthernet0/1. rt-security interface fastEthernet0/1, , .
Port Status: Secure-shutdown, , - , MAC-. , MAC-, Last Source Address, MAC- .
Aging Time – , MAC- , - , . 0. MAC- 1, MAC- 1, MAC- 0, . «» MAC- 1, MAC- 1 , . , , .
, PC1 PC0. , , , SW0 MAC-, , . , int f0/1 shutdown, , no shutdown. Port Security, show port-security interface f0/1, , Secure-up, . , , .
Port Security. , . ! , Port Security . , , . MAC- MAC- , , . . Port Security .
Obrigado por ficar conosco. Você gosta dos nossos artigos? Deseja ver materiais mais interessantes?
Ajude-nos fazendo um pedido ou recomendando a seus amigos, um desconto de 30% para os usuários da Habr em um análogo exclusivo de servidores básicos que inventamos para você: Toda a verdade sobre o VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps da US $ 20 ou como dividir o servidor? (as opções estão disponíveis com RAID1 e RAID10, até 24 núcleos e até 40GB DDR4).
Dell R730xd 2 vezes mais barato? Somente temos
2 TVs Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 TV a partir de US $ 199 na Holanda! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - a partir de US $ 99! Leia sobre
Como criar um prédio de infraestrutura. classe usando servidores Dell R730xd E5-2650 v4 custando 9.000 euros por um centavo?