По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Чтобы перенести сетевой трафик групп распределенных портов в группу агрегации каналов (Link Aggregation Group - LAG), нужно создать новую группу LAG на распределяющем коммутаторе.
Порядок действий
В веб-клиенте vSphere перейдите к распределяющему коммутатору.
Во вкладке Configure (Конфигурация) разверните Settings (Настройки) и выберите LACP()
Щелкните на значок New Link Aggregation Group(Создать группу объединенных ссылок)
Введите имя для новой LAG.
Установите количество портов для LAG. Установите такое же количество портов для группы LAG, как и количество портов в канале портов LACP на физическом коммутаторе. Порт LAG имеет ту же функцию, что и восходящая линия (uplink) на распределяющем коммутаторе. Все порты LAG образуют команду NIC в контексте LAG.
Выберите режим согласования LACP для группы LAG.
Активный режимВсе порты LAG находятся в активном режиме согласования. Порты LAG инициируют согласование с каналом порта LACP на физическом коммутаторе, отправляя пакеты LACP.Пассивный режимПорты LAG находятся в режиме пассивного согласования. Они отвечают на пакеты LACP, которые они получают, но не согласовывают с LACP.
Если порты с поддержкой LACP на физическом коммутаторе находятся в активном режиме, вы можете установить порты LAG в пассивный режим и наоборот.
Выберите режим балансировки нагрузки из алгоритмов хэширования, которые определяет LACP.
Алгоритм хеширования должен совпадать с алгоритмом, установленным для канала порта LACP на физическом коммутаторе.
Установите виртуальную локальную сеть (VLAN) и политики NetFlow для LAG. Этот параметр активен, когда переопределение политик VLAN и NetFlow для отдельных портов восходящей линии связи включено в группе портов восходящей линии связи. Если вы установите политики VLAN и NetFlow для LAG, они переопределят политики, установленные на уровне группы портов восходящей линии связи.
Нажмите OK
Итоги
Новая LAG не используется в порядке группировки и отработки отказа распределенных групп портов. Физические сетевые карты не назначены портам LAG.
Как и в случае автономных каналов связи, LAG представляется на каждом хосте, связанном с распределяющим коммутатором. Например, если вы создаете LAG1 с двумя портами на распределяющем коммутаторе, LAG 1 с двумя портами создается на каждом хосте, связанном с распределяющим коммутатором.
Что делать дальше
Установить LAG как резервную в конфигурации группирования и отработки отказа распределенных групп портов. Таким образом, вы создаете промежуточную конфигурацию, которая позволяет переносить сетевой трафик в группу LAG без потери сетевого подключения.
Привет! Сегодня мы оговорим немного о базовой сетевой безопасности, а именно о Port-Security и о том, как его настроить на коммутаторах Cisco.
Для начала разберемся, что же вообще такое Port-Security. Port-Security – это функция коммутатора, при помощи которой мы можем указать каким устройствам можно пропускать трафик через определенные порты. Устройство определяется по его MAC-адресу.
Эта функция предназначена для защиты от несанкционированного подключения к сети и атак, направленных на переполнение таблицы MAC-адресов. При помощи нее мы можем указывать конкретные адреса, с которых разрешен доступ или указывать максимальное количество MAC-адресов, которые могут передавать трафик через порт.
Типы Port-Security
Существует несколько способов настройки port-security:
Статические MAC-адреса – MAC-адреса, которые вручную настроены на порту, из режима конфигурации порта при помощи команды switchport port-security mac-address [MAC-адрес] . MAC-адреса, сконфигурированные таким образом, сохраняются в таблице адресов и добавляются в текущую конфигурацию коммутатора.
Динамические MAC-адреса - MAC-адреса, которые динамически изучаются и хранятся только в таблице адресов. MAC-адреса, сконфигурированные таким образом, удаляются при перезапуске коммутатора.
Sticky MAC-адреса - MAC-адреса, которые могут быть изучены динамически или сконфигурированы вручную, затем сохранены в таблице адресов и добавлены в текущую конфигурацию.
Sticky MAC-адреса
Если необходимо настроить port-security со sticky MAC-адресами, которые преобразуются с из динамически изученных адресов и добавляются в текущую конфигурацию, то необходимо настроить так называемое sticky изучение. Для того чтобы его включить необходимо на интерфейсе коммутатора выполнить команду switchport port-security mac-address sticky из режима конфигурации интерфейса.
Когда эта команда введена, коммутатор преобразует все динамически изученные MAC-адреса (включая те, которые были динамически изучены до того, как было включено sticky обучение) к sticky MAC-адресам. Все sticky MAC-адреса добавляются в таблицу адресов и в текущую конфигурацию.
Также sticky адреса можно указать вручную. Когда sticky MAC-адреса настроены при помощи команды switchport port-security mac-address sticky [MAC-адрес], все указанные адреса добавляются в таблицу адресов и текущую конфигурацию.
Если sticky MAC-адреса сохранены в файле конфигурации, то при перезапуске коммутатора или отключении интерфейса интерфейс не должен будет переучивать адреса. Если же sticky адреса не будут сохранены, то они будут потеряны.
Если sticky обучение отключено при помощи команды no switchport port-security mac-address sticky , то эти адреса будут оставаться в таблице адресов, но удалятся из текущей конфигурации.
Обратите внимание, что port-security не будут работать до тех пор, пока не будет введена команда, включающая его - switchport port-security
Нарушение безопасности
Нарушением безопасности являются следующие ситуации:
Максимальное количество MAC-адресов было добавлено в таблицу адресов для интерфейса, а устройство, MAC-адрес которого отсутствует в таблице адресов, пытается получить доступ к интерфейсу.
Адрес, полученный или сконфигурированный на одном интерфейсе, отображается на другом интерфейсе в той же VLAN.
На интерфейсе может быть настроен один из трех режимов реагирования при нарушении:
Protect - когда количество MAC-адресов достигает предела, разрешенного для порта, пакеты с неизвестными исходными адресами отбрасываются до тех пор, пока не будет удалено достаточное количество MAC-адресов или количество максимально допустимых адресов для порта не будет увеличено. Уведомление о нарушении безопасности отсутствует в этом случае.
Restrict – то же самое, что и в случае Protect, однако в этом случае появляется уведомление о нарушении безопасности. Счетчик ошибок увеличивается
Shutdown – стандартный режим, в котором нарушения заставляют интерфейс немедленно отключиться и отключить светодиод порта. Он также увеличивает счетчик нарушений. Когда порт находится в этом состоянии (error-disabled), его можно вывести из него введя команды shutdown и no shutdown в режиме конфигурации интерфейса.
Чтобы изменить режим нарушения на порту коммутатора, используется команда port-security violation {protect | restrict |shutdown} в режиме конфигурации интерфейса.
.tg {border-collapse:collapse;border-spacing:0;}
.tg td{font-family:Arial, sans-serif;font-size:14px;padding:10px 5px;border-style:solid;border-width:1px;overflow:hidden;word-break:normal;border-color:black;}
.tg th{font-family:Arial, sans-serif;font-size:14px;font-weight:normal;padding:10px 5px;border-style:solid;border-width:1px;overflow:hidden;word-break:normal;border-color:black;}
.tg .tg-fymr{font-weight:bold;border-color:inherit;text-align:left;vertical-align:top}
.tg .tg-0pky{border-color:inherit;text-align:left;vertical-align:top}
Режим реагирования
Передача траффика
Отправка сообщения syslog
Отображение сообщения об ошибке
Увеличение счетчика нарушений
Выключение порта
Protect
Нет
Нет
Нет
Нет
Нет
Restrict
Нет
Да
Нет
Да
Нет
Shutdown
Нет
Нет
Нет
Да
Да
Настройка
Рассмотрим пример настройки:
Switch#interface fa0/1 – заходим в режим конфигурации порта
Switch(config-ig)#switchport mode access – делаем порт access
Switch(config-ig)#switchport port-security – включаем port-security
Switch(config-ig)#switchport port-security maximum 50 – задаем максимальное количество адресов на порту
Switch(config-ig)#switchport port-security mac-address sticky – включаем sticky изучение
Если мы не будем ничего уточнять и просто включим port-security командой switchport port-security в режиме конфигурации интерфейса, то максимальное количество адресов на порту будет один, sticky изучение будет выключено, а режим нарушения безопасности будет shutdown.
Проверка порта
Чтобы отобразить параметры port-security используется команда show port-security [номер_интерфейса] .
Чтобы отобразить все защищенные MAC-адреса используется команда show port-security address.
Настройка SNMP на коммутаторах и маршрутизаторах Cisco позволит вам мониторить состояние девайсов и сохранить свои нервы/время, в случаях, когда они начинают сбоить (игра на опережение). В целом, выглядит это так: сетевое устройство будет отправлять информацию о CPU, памяти, температуре, I/O и прочих на NMS (Network Management System) сервер. Изи – поехали.
Настройка
Подключаемся по SSH на наш сетевой узел и входим в режим конфигурации:
Кстати, о том, как настроить доступ по SSH к устройствам Cisco мы написали в статье.
en
conf t
Далее, необходимо создать группу (community), которая будет иметь права на чтение SNMP трапов (read – only). Назовем ее public:
SNMP – trap (трапы) – сообщения, которые отправит девайс, находящийся под мониторингом. Они нужны для того, чтобы информировать систему сбора трапов о наступлении различных событий.
snmp-server community public RO
Далее, аналогичным образом создаем частную группу (с правами на чтение и запись). Назовем ее private:
snmp-server community private RW
Сохраняем конфигурацию в NVRAM:
write memory
Важно! Проверьте сетевую связность между маршрутизатором и системой NMS, куда по плану роутер будет отправлять трапы.
Включаем трапы в Cisco IOS
Для передачи трапов в NMS, их необходимо включить. Сделать это не трудно – дайте в консоль девайса следующую команду (она включит все возможные виды трапов):
snmp-server enable traps
Если вам нужно конкретизировать, например, отправлять уведомления об окружении (температура, напряжение), или получать уведомление только о BGP, конкретизируйте это (полный список трапов можно найти на сайте вендора):
snmp-server enable traps envmon temperature
snmp-server enable traps bgp
Настройка NMS хоста
И напоследок, самое главное :) Укажем IP – адрес NMS – сервера, на который необходимо отправлять наши трапы. Опять же, если хотим отправлять все:
snmp-server host 192.168.0.2 public
Где, конечно, вместо 192.168.0.2 нужно указать адрес вашей NMS (это может быть Nagios, MRTG, Zabbix, Cacti и многие другие). Так же, вы можете указать конкретные события, которые нужно отправлять на этот NMS:
snmp-server host 192.168.0.2 public snmp bgp