VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ FAKULTA INFORMAČNÍCH TECHNOLOGIÍ Přepínání a přepínače CCNA3 Modul č. 5, 6 2007 Pavel Bartoš, Radek Matula
Obsah Obsah 3 1 Úvod 4 1.1 Připojení PC ke konfigurovanému přepínači..................... 4 2 Metodologie návrhu počítačových sítí 5 2.1 Funkce a umístění serverů.............................. 5 2.2 Segmentace a řešení kolizí na sdíleném médiu.................... 6 2.3 Problém velikosti broadcastové domény....................... 6 3 Systematický postup 7 4 Hierarchický model sít ového návrhu 9 5 Návrh sítě na jednotlivých vrstvách referenčního ISO/OSI modelu 10 5.1 Fyzická vrstva..................................... 10 5.2 Linková vrstva.................................... 11 5.3 Sít ová vrstva..................................... 11 6 LED na přepínači 12 6.1 System LED...................................... 12 6.2 Mode LED a Port LED................................ 12 7 Konfigurace přepínače 14 7.1 Tabulka MAC adres.................................. 14 7.2 Nastavení IP adresy.................................. 15 7.3 Rychlost portů a duplex................................ 15 7.4 Http server...................................... 15 7.5 Port security...................................... 15 8 Otázky k procvičení 16 3
Kapitola 1 Úvod Přepínač je jednoúčelový počítač, který se skládá z procesoru, paměti RAM, operačního systému a portů. K portům se připojují bud jednotlivá koncová zařízení (PC, server, router) nebo další sítě. 1.1 Připojení PC ke konfigurovanému přepínači Na přepínači je speciální port určený ke konfiguraci označený console. K němu se připojí tzv. rollover kabel, který má na jednom konci opačně zapojené vodiče. Druhý konec se pomocí redukce připojí na sériový (COM) port PC. Terminál PC se nastaví na rychlost 9600 baudů, parita se nepoužívá. 4
Kapitola 2 Metodologie návrhu počítačových sítí První krok při návrhu sítí je stanovení a dokumentace cílů návrhu. Tyto cíle jsou unikátní pro každou organizaci. Základní cíle jsou ale stejné a jsou to: Funkčnost sít musí pracovat. Musí uživatelům umožnit plnit jejich pracovní povinnosti, poskytnout propojení uživatelů a připojení k sít ovým aplikacím rozumnou rychlostí a spolehlivosti Rozšiřitelnost sít musí být schopna se rozvíjet bez nějakých velkých zásahů do celkového návrhu Přizpůsobitelnost sít musí být navržena s vizí směrem k budoucím technologiím. Neměla by obsahovat prvky, které by mohly omezovat realizaci nových technologií. Spravovatelnost sít by měla být navržena tak, aby umožňovala její jednoduché sledování a spravování k poskytnutí nepřetržité stability provozu. Při návrhu takové sítě je důležité, aby každá použitá sít ová komponenta splňovala takové požadavky. Návrh sítě je velice složitý proces i navzdory zlepšení kvality sít ových zařízení a médií. Použití mnoha druhů médií a topologií sítě značně komplikuje návrh. Dobrý návrh sítě zvětšuje výkon sítě a také zjednodušuje problém vznikající při růstu a rozvoji sítě. Dále musíme vzít v úvahu tyto problémy: Funkce a umístění serverů Kolize na sdíleném médiu Segmentaci Velikost broadcastové domény 2.1 Funkce a umístění serverů Servery dovolují sít ovým uživatelům komunikovat, sdílet soubory, tiskárny a aplikační služby. Servery obvykle nefungují podobně jako pracovní stanice. Na serverech pracují specializované operační systémy jako NetWare, Windows NT, UNIX nebo Linux. Každý server je obvykle vyhrazený pro určitou funkci jako např. e-mail nebo sdílení souborů. Můžeme je rozdělovat bud jako podnikové nebo servery pracovních skupin. Podnikové poskytují všem uživatelům sítě jejich služby jako je 5
e-mail nebo DNS. Servery pracovních stanic poskytují jen specifické množině uživatelů své služby jako je zpracování textu nebo sdílení souborů. Podnikové servery by se měly umist ovat do hlavní distribuční oblasti (MDF Main Distribution Facility). Naopak server pro pracovní skupinu by měl být umístěn ve vedlejší distribuční oblasti nejblíže (IDF Intemediate Distribution Facility) k uživatelům, kteří využívají jeho služeb. 2.2 Segmentace a řešení kolizí na sdíleném médiu Ethernet používají pro detekci a řešení kolizí na sdíleném médiu technologii CSMA/CD. Pokud začnou vysílat dvě zařízení ve stejný čas vzniká kolize. Vysílaný rámec se zničí a do celé kolizní domény se pošle jam signál. Velikost kolizní domény můžeme definovat jako počet zařízení které jsou fyzicky připojené do stejného portu sít ového přepínače. Uzly počkají náhodně dlouhou dobu a pak se pokusí znovu vyslat data. Při velmi častých kolizích na síti může klesnout výkon sítě o 35 40 %. Proto se používá segmentace, kdy se rozděluje jedna velká kolizní doména na několik malých. Menší kolizní doména zmenšuje počet kolizí v sít ovém segmentu a dovoluje větší využití šířky pásma. K tomuto účelu se používají zařízení pracující na 2. vrstvě ISO/OSI modelu (linkové vrstvě). Jsou to mosty a přepínače. Směrovače segmentaci provádějí na 3. vrstvě (sít ové vrstvě). 2.3 Problém velikosti broadcastové domény Broadcastová doména určuje množinu zařízení, které budou přijímat broadcastové datové rámce posílané zařízením z této množiny. Všechny taková zařízení musí tyto data zpracovávat. Toto zpracování spotřebovává určitý výkon a šířku pásma. Broadcastovou adresu získáme, při nastavení všech 48 bitů MAC adresy na 1 a tím zajistíme, že datové rámce s touto cílovou adresou se pošlou všem zařízením v broadcastové doméně. Zařízení pracující na linkové vrstvě redukují velikost kolizní domény, ale neredukují velikost broadcastové domény. Směrovače redukují velikost kolizní domény a zároveň i broadcastové domény na sít ové vrstvě. 6
Kapitola 3 Systematický postup Pokud má být sít efektivní a sloužit podle požadavků uživatele, měla by být navržena a implementována na základě následujících systematických kroků: sbírat požadavky uživatelů na sít analyzovat požadavky a data návrh struktury a topologie sítě (fyzická, linková a sít ová vrstva referenčního ISO/OSI modelu) dokumentace fyzické a logické topologie Při sběru informací o síti bychom se měli soustředit především na tyto věci: firemní struktura tok podnikových informací používané aplikace současná topologie Analýza požadavků a dat analyzujeme typy aplikací provozovaných v síti analyzujeme požadavky na přístupové práva na data Dokumentací požadavků může spočítat předběžnou cenu a časový plán návrhu a implementace sítě. Použitelnost sítě závisí na jejím účelu. Zde je několik parametrů výrazně ovlivňujících použitelnost: Propustnost Odezva Přístup ke zdrojům 7
Návrh sítě by měl poskytovat největší použitelnost za nejmenší cenu. LAN sít, která není schopná poskytnout okamžité a přesné informace je nepoužitelná. Další krok je rozhodnutí se pro celkovou sít ovou topologii, která bude vyhovovat požadavkům. Topologie hvězdy a rozšířené hvězdy používá ethernetové technologie CSMA/CD. Topologie do hvězdy je nejrozšířenější topologií v průmyslu. Poslední krok v návrhu LAN sítě je dokumentace fyzické a logické topologie sítě. Fyzická topologie sítě popisuje způsoby propojení nejrůznějších zařízení mezi sebou navzájem. Logická topologie sítě popisuje tok dat síti. To zahrnuje také nejrůznější adresní schémata (jména zařízení, IP adresy, příslušnost k VLAN atd.). 8
Kapitola 4 Hierarchický model sít ového návrhu Při návrhu velkých podnikových sítí se používá hierarchický model sítě, který má tyto vrstvy: Přístupovou vrstvu, která připojuje koncové uživatele do sítě Distribuční vrstvu, poskytující pravidla pro propojení mezi jednotlivými podsítěmi Core vrstvu, která zajišt uje rychlé propojení mezi distribučními body Každá z vrstev hierarchického sít ového návrhu vyžaduje přepínače, které jsou nejvíce vhodné pro danou úlohu. Vlastnosti, funkce a technická specifikace pro každý přepínač se liší na základě vrstvy pro kterou je přepínač určen. Pro nejlepší výkon počítačové sítě je důležité porozumět roli každé z těchto vrstev a vybrat ten nejvhodnější přepínač splňující dané požadavky. 9
Kapitola 5 Návrh sítě na jednotlivých vrstvách referenčního ISO/OSI modelu 5.1 Fyzická vrstva Při návrhu struktury sítě na fyzické vrstvě referenčního ISO/OSI modelu se zejména zabýváme volbou vhodné kabeláže a s ní spojených záležitostí (maximální délka, zapojení konektorů, šířka pásma, atd.). Dále zde spadá případné použití rozbočovačů a opakovačů. Veškerá použitá kabeláž by měla být opatřena popisovým štítkem, kde by mělo být uvedeno odkud kam kam vede (včetně např. čísel portů přepínačů) a řádně zadokumentována. 10
5.2 Linková vrstva Návrh a implementace sítě na linkové vrstvě spočívá především v použití zařízení a konfiguraci zařízení jako jsou sít ové mosty a přepínače. Ty umožňují především detekovat chyby v posílaných rámcích a snižovat zahlcení sítě díky redukci kolizní domény (pomocí mikrosegmentace). Sít ové mosty a přepínače poskytují segmentaci sítě: vzniká několik kolizních domén stále zůstává jedna broadcastová doména stanice mohou mít vyhrazenou šířku pásma Inteligentnější přepínače umí např. přepínat pakety mezi různě rychlými linkami (asymetrické přepínání), využívat technologie VLAN apod. 5.3 Sít ová vrstva Na sít ové vrstvě pracuje směrovač. Je to nejschopnější zařízení používané při návrhu sítě. Umožňuje vytvářet unikátní sít ové segmenty (redukuje jak broadcastovou, tak kolizní doménu) a mezi nimi dále přeposílat datové pakety na základě adres sít ové vrstvy (IP adresy, DLCI u Frame Relay technologie) a směrovacích tabulek. Připojují lokální LAN sítě k rozlehlým WAN sítím (např. Internet). Umožňují komunikaci různých VLAN sítí mezi sebou navzájem. 11
Kapitola 6 LED na přepínači 6.1 System LED Významy jednotlivých stavů systémové LED: Nesvítí Pokud je přivedeno napájecí napětí, probíhá POST 1. Svítí zeleně POST 1 proběhl v pořádku. Svítí žlutě Při POST 1 došlo k chybě. 6.2 Mode LED a Port LED Jde o více LED zobrazující mód, který určuje význam LED portů. STAT Nesvítí Nepřipojeno Zelená Připojeno Zelená bliká Přijímají nebo odesílají se data Střídavě zelená a žlutá Chyba linky Žlutá Port data neodesílá, protože je vypnut nebo je blokovován Spanning tree protokolem UTIL Každá nesvítící LED znamená pokles vytížení přepínače o polovinu. LED zhasínají zprava doleva. Pokud nesvítí nejpravější LED, vytížení přepínače je menší než 50 %, pokud nesvítí dvě nejpravější LED, vytížení přepínače je menší než 25 % atd. Pokud svítí všechny LED, je vytížení větší než 50 %. DUPLX SPEED Nesvítí Poloviční duplex Zelená Plný duplex 1 POST Série testů ověřující správnou funkčnost přepínače. 12
Nesvítí 10 MBps Zelená 100 MBps Zelená bliká 1000 MBps 13
Kapitola 7 Konfigurace přepínače Při konfiguraci přepínače (stejně jako směrovače)lze pracovat ve 3 režimech: 1. Uživatelský 2. Privilegovaný 3. Konfigurační Přechod mezi režimy, práce s operačním systémem a ukládání konfigurace je stejné jako u směrovačů, proto jej nebudeme dále rozebírat. 7.1 Tabulka MAC adres Přepínač si průběžně vytváří tabulku MAC adres. V této tabulce je také uvedeno číslo portu, číslo VLAN a zda jde o přiřazení dynamické či statické. Tabulku lze vypsat příkazem Switch>show mac-address-table. Aby se předešlo přeplnění tabulky a optimalizovalo se vyhledávání jsou záznamy, u kterých nedošlo k použití, po 300 vteřinách vymazány. MAC tabulku lze smazat i příkazem Switch#clear mac-address-table dynamic Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0007.ec9e.420a DYNAMIC Fa0/1 1 000b.bee9.beb9 DYNAMIC Fa1/1 1 0060.47b8.8a0d DYNAMIC Fa3/1 1 00d0.ba3b.7b58 DYNAMIC Fa2/1 Switch#clear mac-address-table dynamic Switch#show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- Switch# 14
MAC adresa může být portu trvale přiřazena. Zvýší se tak bezpečnost. Statický záznam se přidá takto: Switch(config)#mac-address-table static <mac-address of host> interface FastEthernet <Ethernet number> vlan <vlan name> Zrušení statického záznamu se provede přidáním no před tento příkaz. 7.2 Nastavení IP adresy Aby byl přepínač dosažitelný pomocí Telnetu nebo www, musí být nastavena IP adresa. Tato IP adresa by měla být v management VLAN, standardně je to VLAN 1. Pokud jsou všechna sít ová zařízení v této VLAN, jsou spravovatelná z jednoho PC, které je také v této VLAN. Nastavení této IP adresy se provádí těmito příkazy: Switch(config)#interface VLAN1 Switch(config-if)#ip address 192.168.1.2 255.255.255.0 Switch(config)#ip default-gateway 192.168.1.1 7.3 Rychlost portů a duplex Standardně je rychlost i duplex nastavován automaticky, lze je ovšem nastavit i ručně. Switch(config)#interface f0/1 Switch(config-if)#duplex half Switch(config-if)#speed 10 7.4 Http server Pokud je nakonfigurována IP adresa, standardně běží na této adrese portu 80 http server s konfiguračním sytémem. Zakázat nebo povolit server a zvolit číslo portu lze těmito příkazy. Switch(config)#ip http server povolí server Switch(config)#no ip http server zakáže server Switch(config)#ip http port 8080 nastavení portu 7.5 Port security Protože k přepínači se mohou připojit i neautorizovaní uživatelé, je třeba omezit přístup k portu na max. 1 MAC adresu. To lze provést pomocí statických záznamů v MAC tabulce, ale je to velice zdlouhavé a náchylné k chybě při psaní MAC adres. Lepší řešení je použít port security. Lze zde nastavit maximum MAC adres připojených k portu. Pokud se toto maximum nastaví na 1, první připojené zařízení se zapíše do tabulky MAC adres a žádnému dalšímu zařízení není na tomto portu komunikace povolena. Switch(config)#interface f0/1 Switch(config-if)#switchport port-security maximum 1 15
Kapitola 8 Otázky k procvičení 1. Vyjmenujte 3 vrstvy hierarchického modelu sít ového návrhu velkých podnikových sítí a popište jejich základní činnosti. 2. S jakými vrstvami referenčního ISO/OSI modelu se pracuje při návrhu počítačové sítě? 3. Vysvětlete význam pojmu VLAN. 4. Co znamená asymetrické přepínání? 5. Jaké parametry je třeba nastavit na terminálu při připojování k přepínači přes port console? 6. Je vhodné umíst ovat IP adresy sít ových zařízení do jedné VLAN? Vysvětlete proč. 7. Co znamená žlutě svítící LED u portu v módu STAT? 8. Jakým příkazem se vytvoří statický záznam v MAC tabulce? 9. Vysvětlete rozdíl mezi statickým záznamem v MAC tabulce a použitím port security. 16