Курсы ETTH

Материал из ГутиВики

Перейти к: навигация, поиск

Курс "Построение сетей доступа ETTH на основе управляемых коммутаторов D-link" включает в себя 5 групповых лабораторных работ и три индивидуальных занятия. Перед каждой лабораторной работой обычно проходит небольшая вводная лекция. Занятия ориентированы прежде всего на приобретение практических навыков работы с оборудованием, чему в курсе и отведено большинство времени.
Можно также скачать полную Медиа:Программа_курса_ETTH.doc программу курса.
Материал, используемый в лабораторных работах является переработкой методических указаний "Вычислительные машины, системы и сети. Часть 2" университета НГТУ.

Содержание

[править] Лабораторная работа №1

[править] Краткие теоретические сведения

Коммутатор - сетевое устройство, которое фильтрует, пересылает и направляет кадры в зависимости от их адреса приемника. Коммутатор работает на 2-м канальном уровне модели OSI.
Управляемые коммутаторы - коммутаторы, которые поддерживают широкий набор функций управления и настройки, включающие Web-интерфейс управления, интерфейс командной строки (CLI), Telnet, SNMP (Simple Network Management Protocol), TFTP (Trivial File Transfer Protocol) и др. В качестве примера можно привести коммутаторы D-Link DES-3226S, DES-3526, DES-3326SR и др.
Локальная консоль- терминал или компьютер с программой эмуляции терминала, подключенный к коммутатору через последовательный порт RS-232, расположенный на передней панели коммутатора. Конфигурирование коммутатора через интерфейс RS-232 (консоль) осуществляется независимо от сети Ethernet. Изменение настроек осуществляется через программу HyperTerminal.
Web-интерфейс - управляемый коммутатор позволяет использовать в качестве станции управления любой компьютер в сети, оснащенный Web-браузером, например, Microsoft Internet Explorer или Netscape Navigator/Communicator. Web-браузер выступает в качестве универсального средства управления и позволяет настраивать коммутатор, используя протокол HTTP.

Внешний вид коммутатора DES-3526

На рисунке представлен внешний вид коммутатора DES-3526. При работе коммутатора светодиоды (LED, Light Emitting Diodes) отображают следующую информацию:

  • Power Светится в течение выполнения теста по самодиагностике при включении питания Power-On Self Test (POST). Он загорается зеленым цветом приблизительно через 2 с после включения питания коммутатора, показывая готовность устройства.
  • Console Горит зеленым цветом при управлении коммутатором по локальной консоли («Out-of-Band»), подключенной к консольному порту RS-232 через прямой последовательный кабель.
  • RPS Горит, если резервный блок питания присутствует и находится в использовании. Иначе - индикатор темный.
  • Port LED's Красно-желтый (янтарный) цвет индикатора показывает, что скорость порта- 10 Мбит/с, зеленый цвет- скорость 100 Мбит/с. При приемопередаче индикаторы мигают.


Гигабитные порты, совмещенные с портами miniGBIC (GBIC – «GigaBit Interface Converter», что означает «преобразователь гигабитного интерфейса».), имеют следующие отдельные индикаторы:

  • Speed Индикатор мигает зеленым, когда порт передает данные на скорости 1000 Мбит/с. Когда он темный - данные передаются на скорости 10 или 100 Мбит/с.
  • Link/Act Индикатор мигает зеленым, когда происходит прием или передача данных портом.

Установка IP-адреса коммутатора необходима для последующего доступа к управлению коммутатором через Web-интерфейс, telnet или SNMP.
Учетные записи предназначены для защиты коммутатора от доступа неавторизованных пользователей. Учетные записи задают один из трех уровней привилегий: Admin, Operator или User. Учетная запись Admin имеет наивысший уровень привилегий (см. табл. Ш .2).
Full duplex (дуплексная передача)- одновременная передача данных между станцией-отправителем и станцией-получателем.
Half duplex (полудуплексный режим) - способность канала в каждый момент времени только передавать или принимать информацию. Прием и передача, таким образом, должны выполняться поочередно. По умолчанию порты всех коммутаторов D Link поддерживают автоматическое определение скорости и режима работы (дуплекса).
ARP (Address Resolution Protocol)- протокол разрешения адресов. Протокол Internet, используемый для динамического преобразования адресов Internet в физические (аппаратные) адреса устройств локальной сети. В общем случае ARP требует передачи широковещательных сообщений всем узлам, на которые отвечает узел с соответствующим запросу IP-адресом.
FDB (Forwarding Data Base) - таблица соответствия МАС-адресов портам коммутатора. Всего на управляемых коммутаторах D-Link можно прописать в статической таблице до 256 МАС-адресов. При этом все количество МАС-адресов можно привязать как на один порт, так и на разные порты коммутатора.
Firmware («прошивка») - программное обеспечение (ПО), встроенное в аппаратное устройство. Часто представляется в виде микросхем флеш-ПЗУ или в виде файлов образов микропрограммы, которые могут быть загружены в аппаратное обеспечение. На управляемых коммутаторах D-Link возможно производить обновление (замену) ПО, а также осуществлять резервное копирование и восстановление конфигурации коммутатора. Новая версия ПО должна находиться на TFTP-сервере. TFTP-сервер должен быть включен и находиться в той же подсети, что и коммутатор.
TFTP (англ. Trivial File Transfer Protocol- простой протокол передачи файлов) - используется главным образом для первоначальной загрузки бездисковых рабочих станций. TFTP, в отличие от FTP, не содержит возможностей аутентификации (хотя возможна фильтрация по IP-адресу) и основан на транспортном протоколе UDP. В процессе обновления ПО нельзя выключать питание коммутатора!!! На коммутаторе DES-3526 можно хранить две версии ПО, и пользователь выбирает, какая из версий будет загружаться при старте коммутатора.
Функция Factory Reset (сброс к заводским установкам) имеет несколько опций. Некоторые текущие настройки могут быть сохранены, в то время как все остальные сбрасываются к заводским установкам по умолчанию. Только опция reset system сохраняет заводские установки в NVRAM коммутатора. Все остальные опции применяют заводские установки к текущей конфигурации, но не сохраняют ее. Опция reset system вернет коммутатор к настройкам, определенным на заводе. Опция reset config выполняет сброс всех настроек коммутатора к заводским установкам без сохранения их NV-RAM коммутатора. Если сброс был выполнен с этой опцией, а затем настройки не были сохранены командой save, то коммутатор вернется к последней сохраненной конфигурации после перезагрузки.
Применение команды reset без параметров позволяет сохранить учетные записи пользователей и журнал событий коммутатора при сбросе всех остальных настроек к заводским установкам. Если сброс был выполнен с этой опцией, а затем настройки не были сохранены командой save, то коммутатор вернется к последней сохраненной конфигурации после перезагрузки.

[править] Изучаемые команды

  • show switch - просмотр текущей конфигурации коммутатора;
  • create account admin/operator/user <username>- создание учетной записи;
  • show account - просмотр созданных учетных записей;
  • logout - завершение текущего сеанса пользователя;
  • delete account <username> - удаление учетной записи;
  • config ipif System ipaddress <IP-адрес/маска> - установка коммутатору нового IP адреса;
  • show ipif - просмотр установленного IP-адреса;
  • create iproute [default] <ipaddr> {<metric 1-65535>} – создание шлюза для коммутатора.
  • delete iproute [default] – удаление записи шлюза для коммутатора.
  • enable sntp – разрешение использования протокола SNTP.
  • disable sntp – запрещение использования протокола SNTP.
  • show sntp – просмотр настроек протокола SNTP.
  • config sntp {primary <ipaddr> | secondary <ipaddr> | pollinterval <int 30-99999>} – установка параметров протокола SNTP.
  • config time <date ddmmmyyyy> <time hh:mm:ss> - установка времени на коммутаторе вручную
  • config time_zone {operator [+ | -] | hour <gmt_hour 0-13> | min <minute 0-59>} – установка параметров часового пояса.
  • config ports <список портов> speed 10_full flow_control enable - конфигурирование портов с заданием скорости 10 Мбит/с, дуплексного режима работы и управления потоком;
  • show ports <список портов> — просмотр состояния портов;
  • config ports <список портов> learning disable - отключение режима обучения МАС-адресам;
  • clear fdb <список портов> - удаление динамических записей из таблицы МАС-адресов;
  • show fdb - просмотр таблицы соответствия МАС-адресов портам коммутатора;
  • create fdb <имя_VLAN> <macaddr> port <port>- внесение статической записи в таблицу МАС-адресов с соответствующими ей VLAN, МАС-адресом и портом коммутатора;
  • config arp_aging time <value 0-65535> - время
  • clear arptable – очистка таблицы ARP.
  • create arpentry <ipaddr> <macaddr> - создание статической записи в ARP таблице.
  • config arpentry <ipaddr> <macaddr> - изменение статической записи в ARP таблице.
  • delete arpentry {[<ipaddr> | all]} - удаление статической записи в ARP таблице.
  • show arpentry {ipif <ipif_name 12> | ipaddress <ipaddr> | [static | local]} – просмотр таблицы ARP.
  • download firmware <ipaddr> <имя_файла> - загрузка ПО с TFTP-сервера;
  • show firmware information - просмотр записанных на коммутатор версий ПО;
  • config firmware image_id <int l-2> boot_up - изменение номера загружаемой при следующем старте версии ПО;
  • config firmware image_id <int l-2> delete - удаление файла с версией ПО коммутатора;
  • upload configuration <ipaddr> <имя_файла> - сохранение настроек коммутатора на TFTP-сервере;
  • reset system - сброс коммутатора к заводским установкам с сохранением их в NV RAM коммутатора;
  • reset config - сброс всех настроек коммутатора к заводским установкам без сохранения их NV RAM коммутатора;
  • reset - сброс настроек коммутатора к заводским установкам, с сохранением IP-адреса.


[править] Лабораторная работа №2

[править] Краткие теоретические сведения

Виртуальная локальная сеть (ВЛВС, Virtual LAN, VLAN) - логические локальные сети, построенные с помощью одних и тех же коммутаторов (их программного обеспечения), полностью обособленных друг от друга. В коммутаторах могут использоваться три типа VLAN:

  • VLAN на базе портов (каждый порт назначается в определенную VLAN, независимо от того, какой пользователь или компьютер подключен к этому порту);
  • VLAN на базе МАС-адресов (основан на группировке МАС-адресов);
  • VLAN на основе меток в дополнительном поле кадра - стандарт IEЕЕ 802.1Q (используются дополнительные поля кадра для хранения информации о принадлежности кадра при его перемещениях между коммутаторами сети).


Asymmetric VLAN - асимметричные VLAN позволяют серверу (или нескольким серверам) и подключенному к нетегированному порту, взаимодействовать с разными клиентами, также подключенными к нетегированным портам, через один физический канал связи с коммутатором. Клиенты при этом будут полностью изолированы друг от друга.

Generic VLAN Registration Protocol (GVRP) - позволяет устройству локальной сети сообщить соседним устройства, что оно желает принять пакеты для одной или нескольких VLAN. Главная цель GVRP- позволить коммутаторам автоматически обнаружить информацию о VLAN, которая иначе должна была бы быть вручную сконфигурирована в каждом коммутаторе. Этого можно достичь использованием GVRP - распространять идентификаторы VLAN по локальной сети. GVRP также может быть использован сетевыми серверами, которые вынуждены работать с несколькими VLAN и, таким образом, разделять полномочия, т.е. серверы обычно конфигурируются для вхождения в несколько VLAN, затем сообщить коммутаторам о VLAN, к которым они хотят присоединиться.

[править] Изучаемые команды

  • create vlan <имя_VLAN> tag <идентификатор(VID) 1-4094> - создание VLAN;
  • config vlan <имя VLAN> delete <список портов> - удаление портов из VLAN;
  • config vlan <имя_VLAN> add untagged <список портов> - добавление нетегированных портов в VLAN;
  • config vlan <имя_VLAN> add tagged <список портов> - добавление тегированных портов в VLAN;
  • show vlan - просмотр настройки VLAN;
  • config vlan <имя_VLAN> advertisement enable - разрешение отправки объявлений о VLAN при помощи протокола GVRP;
  • enable gvrp - разрешение использования GVRP на коммутаторе;
  • config gvrp <список портов> state enable- включение GVRP на портах;
  • show gvrp - просмотр конфигурации GVRP на коммутаторе;
  • enable asymmetric_vlan - разрешение использования асимметричных VLAN на коммутаторе;
  • show asymmetric_vlan - просмотр состояния асимметричных VLAN;
  • config gvrp <список портов> pvid <идентификатор(VID) 1-4094> - определение портов к VLAN по умолчанию.


[править] Лабораторная работа №3

[править] Краткие теоретические сведения

STP (Spanning Tree Protocol) - протокол остовного дерева (стандарт IEEE 802.1d) базируется на простом требовании отсутствия логических петель в присутствии физических петель. Другими словами, протокол остовного дерева на основе физической топологии с резервными связями организует логическую топологию (обычно дерево) без петель и резервных связей путем блокирования портов мостов (коммутаторов), связанных с избыточными связями.
STA (Spanning Tree Algorithm) - алгоритм остовного дерева следит за установленной текущей топологией сети и реконфигурирует топологию в случае сбоев активных связей- использует резервные связи, включая их в активную конфигурацию и исключая сбойные.
RSTP (Rapid Spanning Tree Protocol) - ускоренная версия протокола STP (Стандарт IEEE 802.1w).
MSTP (Multiply Spanning Tree Protocol) - расширение стандарта IEEE 802.1w (RSTP) для поддержки нескольких копий STP. (Стандарт IEEE 802.1s.) MSTP позволяет для каждой созданной на коммутаторе VLAN строить свое остовное дерево, имеющее собственную, независимую от других деревьев, топологию.
Корневой коммутатор (root switch)- коммутатор, от которого строится древовидная структура сети без петель в сети.
Идентификатор коммутатора - число длиной восемь байт, шесть младших байт которого составляет МАС-адрес его блока управления, а два старших байта конфигурируются вручную.
Корневой порт (root port) - порт коммутатора, который имеет по сети кратчайшее расстояние до корневого коммутатора.
Назначенный мост (designated bridge) - коммутатор, выбранный для каждого логического сегмента сети, один из портов которого будет принимать пакеты от сегмента и передавать их в направлении корневого моста через корневой порт данного моста.
Назначенный порт (designated port) - порт назначенного моста, который принимает пакеты от сегментов и передает их в направлении корневого моста через корневой порт. Назначенный порт у сегмента может быть только один. У корневого моста все порты являются назначенными, а их расстояние до корня полагается равным нулю. Корневого порта у корневого моста нет.
Пограничный порт (Edge port) - порт, непосредственно подключенный к сегменту, в котором не могут быть созданы петли. Например, непосредственно подключенный к рабочей станции порт. Пограничный порт теряет свой статус и становится обычным портом связующего дерева в том случае, если получит пакет BPDU.
Порт Р2Р - порт, используемый для подключения к другим мостам. При работе RSTP все порты, функционирующие в полнодуплексном режиме, рассматриваются как порты Р2Р до тех пор, пока не будут переконфигурированы вручную.
Метрика (Root Path Cost) - используется в качестве расстояния в STA, определяется как суммарное условное время на передачу данных от порта данного коммутатора до порта корневого коммутатора.
Port Cost - относительная стоимость пути до корневого коммутатора. Параметр Port Cost может изменяться от 1 до 200000000. Чем меньше значение параметра для данного порта, тем больше вероятность, что порт будет выбран для продвижения пакетов.

Link Aggregation - агрегирование каналов (объединение портов в транк) используется для объединения нескольких портов вместе для образования высокоскоростного канала передачи данных. Включенные в транк порты называются членами транковой группы. Один из портов в группе выступает в качестве «связующего». Поскольку все члены группы в транке должны быть настроены для работы в одинаковом режиме, изменения настроек, произведенные по отношению к «связующему» порту, относятся ко всем членам транковой группы. Таким образом, для настройки портов в группе необходимо только настроить «связующий» порт.

Протокол управления агрегированием каналов IEЕЕ 802.1ad Link Aggregation Control Protocol (LACP) используется для установления динамического агрегированного канала между коммутатором и другим сетевым устройством. При статической организации транка (по умолчанию для портов задан режим статического агрегирования) соединяемые коммутаторы должны быть настроены вручную и не допускают динамических изменений внутри транковой группы портов. Для динамической организации транка (объединяются LACP-совместимые порты) коммутатор должен поддерживать протокол LACP для установления агрегированного канала. Динамический агрегированный канал может быть установлен, если одна группа портов настроена как «активная» группа, в то время как другая настроена в качестве «пассивной» группы.

[править] Изучаемые команды

  • enable stp - разрешение использования STP на коммутаторе;
  • config stp version rstp - задание версии протокола RSTP;
  • config stp priority 4096 instance_id 0- установка приоритета коммутатору (по умолчанию приоритет равен 32768);
  • config stp ports <список портов> externalCost <value 1-200000000> - установка относительной стоимости пути портов до корневого коммутатора;
  • config stp ports <список портов> edge true - конфигурирование портов в качестве «пограничных»;
  • show stp - просмотр конфигурации протокола STP на коммутаторе;
  • show stp ports <список портов>— просмотр состояния протокола STP на портах;
  • show stp instance 0 - просмотр состояния протокола STP на коммутаторе;
  • config stp version mstp - задание версии протокола MSTP;
  • config stp mst_config_id name <имя_МSТР-области> revision_level <int 0-65535> - задание идентификаторов MSTP-области;
  • create stp instance_id <value l-4> - создание копии дерева STP;
  • config stp instance_id <value l-4> add_vlan <VID_VLAN>-добавление VLAN в копию дерева STP;
  • config stp priority <0-61440> instance_id <0-4>- установка приоритета копии дерева STP (по умолчанию приоритет равен 32768);
  • config stp mst_ports <список портов> instance_id <value 0-4> internalCost <value l-200000000> - установка относительной стоимости передачи пакетов на порты корневого коммутатора, принадлежащих этой же копии STP;
  • create link_aggregation group_id <value 1-6> type [lacp|static] - создание транковой группы;
  • config link_aggregation group_id <value 1-6> master_port <port> ports <portlist> - включение портов коммутатора в транк, где порт "port" является «связующим»;
  • config link_aggregation group_id <value 1-6> state enable - активизация транковой группы;
  • config link_aggregation algorithm mac_source - конфигурация алгоритма агрегирования портов, распределяющего трафик по каналам транка на основе МАС-адреса источника;
  • config link_aggregation algorithm mac destination - конфигурация алгоритма агрегирования портов, распределяющего трафик по каналам транка на основе МАС-адреса назначения;
  • show link_aggregation - проверка настройки транковой группы на коммутаторе;
  • config lacp_port <список портов> mode [active | passive] - конфигурирование lacp-портов в режиме как активных, так и пассивных;
  • show lacp_port - просмотр состояния LACP-портов.

[править] Лабораторная работа №4

[править] Краткие теоретические сведения

Port Security - безопасность портов. Функция, применяемая в коммутаторах для обеспечения безопасности. Коммутатор позволяет заблокировать динамическое изучение МАС-адресов для указанного диапазона портов таким образом, что текущий МАС-адрес источника, введенный в адресную таблицу, невозможно будет изменить до тех пор, пока порт не будет разблокирован. Если компьютер с неизвестным коммутатору МАС-адресом попытается передать пакет через заблокированный порт, то пакет будет отброшен. Это приведет к тому, что на данном порту возможно использовать только те рабочие станции, МАС-адрес которых уже известен коммутатору. Следовательно, данный режим сделает невозможным несанкционированное подключение дополнительных устройств в сеть.
Traffic segmentation - сегментация трафика. Функция, используемая в коммутаторах для разграничения доменов на уровне 2. Данная функция позволяет настраивать порты таким образом, чтобы они были изолированы друг от друга, но в то же время имели доступ к разделяемым портам, используемым для подключения сервером к магистрали сети провайдера. Таблица сегментации трафика используется для ограничения трафика от одного порта к другим портам коммутатора, но не может быть использована для разграничения трафика между коммутаторами в стеке.
ACL (Access Control Lists) - списки управления доступом обеспечивают ограничение прохождения трафика через коммутатор. Профили доступа указывают коммутатору, какие виды пакетов принимать, а какие - отвергать. Прием пакетов или отказ в приеме основывается на определенных признаках, таких как адрес источника, адрес приемника или адрес порта. Профиль управления доступом дает возможность управлять трафиком и просматривать определенные пакеты, применяя списки доступа (ACL) на всех интерфейсах коммутатора. В коммутаторах D-Link существует два основных типа профилей управления доступом: Ethernet и IР. Фильтрация в этих типах профилей может выполняться на основе МАС-адресов источника и приемника, VLAN, IР-адресов, номеров портов. При помощи списков доступа ACL реализованы функции отсечения сегментов сети при детектировании угроз оборудованием, работающим на третьем и четвертом уровнях, например, сетевыми фильтрами DFL.
IP-MAC Binding - функция, ограничивающая доступ через коммутатор только тем пользователям, для которых было настроено соответствие IP адреса МАС-адресу. Всем другим пользователям, пытающимся получить доступ через порты с включенной функцией IP-MAC Binding, доступ в сеть будет запрещен. Это особенно полезно при наличии биллинговых систем в сети в целях исключения несанкционированного использования чужих квот путем подмены IP адреса.
Зеркалирование портов (port mirroring) - функция, позволяющая перенаправить копию трафика отдельных портов на другой порт. Например, это может требоваться администратору сети для анализа трафика в сети. Функция особенно удобна для настройки и отладки различных сетевых систем, где приостановка обслуживания клиентов нежелательна. Более быстрый порт нельзя зеркалировать на медленный, например, порт 1000 Мбит/с нельзя зеркалировать на порт 100 Мбит/с, так как много пакетов будет просто отбрасываться.
Контроль полосы пропускания (bandwidth control) используется для ограничения скорости передачи и приема данных для любого порта.

[править] Изучаемые команды

  • config port_security ports <список портов> max_learning_addr 2 lock_address_mode Permanent admin state enable - конфигурирование Port Security для портов коммутатора, позволяющее портам изучать не более 2 MAC-адресов, без удаления из FDB динамических записей с истекшим временем жизни;
  • show port_security <список портов> - просмотр конфигурации Port Security на портах коммутатора;
  • clear port_security_entry port <список портов> - удаление записей МАС-адресов с портов коммутатора;
  • delete port_security_entry vlan_name <имя_VLAN> mac_address <macaddr> port <port> - удаление одной записи Port Security с указанием имени VLAN, МАС-адреса и номера порта;
  • config traffic_segmentation <список портов> forward_list [<список портов>| null] - конфигурирование сегментации трафика, где указываются порты, для которых настраивается сегментация трафика и порты, которые могут принимать кадры от вышеуказанных портов, null - означает, что нет портов, принимающих кадры;
  • show traffic_segmentation <список портов> - просмотр настроек сегментации трафика для указанных портов коммутатора;
  • create access_profile ethernet source_mac FF-FF-FF-FF-FF-FF destination mac FF-FF-FF-FF-FF-FF profile_id <идентификатор профиля> - создание профиля доступа на основе МАС-адресов источника и назначения с заданным идентификатором;
  • create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id <идентификатор профиля> - создание профиля доступа на основе МАС-адреса назначения с заданным идентификатором;
  • config access_profile profile_id <идентификатор профиля> add access_id <номер правила> ethernet source_mac <macaddr> destination mac <mac-адрес> port <список портов> permit - добавление разрешающего правила с заданным номером для указанных портов в профиль доступа с заданным идентификатором с указанием МАС-адресов источника и назначения;
  • config access_profile profile_id <идентификатор профиля> add access_id <номер правила> ethernet destination_mac <mac-адрес> port <список портов> deny - добавление запрещающего правила с заданным номером для указанных портов в профиль доступа с заданным идентификатором с указанием МАС-адресов назначения;
  • show access_profile - просмотр настроек профилей доступа на коммутаторе;
  • delete access_profile profile_id <идентификатор профиля> - удаление профиля доступа с заданным идентификатором;
  • create access_profile ip source_ip_mask destination_ip_mask <netmask> profile_id <идентификатор профиля> - создание профиля доступа на основе IP-адресов источника и назначения с заданным идентификатором;
  • config access_profile profile_id <идентификатор профиля> add access_id <номер правила> ip source_ip <ip-адрес> destination_ip <ip-адрес> port <список портов> deny -добавление запрещающего правила с заданным номером для указанных портов в профиль доступа с заданным идентификатором с указанием IP-адресов источника и назначения;
  • config access_profile profile_id <идентификатор профиля> add access_id <номер правила> ip source_ip <ipaddr> destination_ip <ipaddr> port <список портов> permit - добавление разрешающего правила с заданным номером для указанных портов в профиль доступа с заданным идентификатором и с указанием IP-адресов источника и назначения;
  • create access_profile ip destination_ip_mask <netmask> profile_id <идентификатор профиля> - создание профиля доступа на основе IP-адреса назначения с заданным идентификатором;
  • config access_profile profile_id <идентификатор профиля> add access_id <номер правила> ip destination_ip <ipaddr> port <список портов> deny - добавление запрещающего правила с заданным номером для указанных портов в профиль доступа с указанием IP адреса назначения;
  • create address_binding ip_mac ipaddress <ipaddr> mac_address <macaddr> - создание записи IP-MAC с указанием соответствия IP-адреса МАС-адресу;
  • config address_binding ip_mac ports <список портов> state enable - включение IP-MAC на указанных портах;
  • show address_binding ip_mac - просмотр записей IP-MAC Binding;
  • show address_binding blocked - просмотр заблокированных записей IP-MAC Binding;
  • config address_binding ip_mac ports <список портов> state disable - отключение IP-MAC Binding на указанных портах;
  • delete address_binding ip_mac all - удаление всех записей IP-MAC Binding на коммутаторе;
  • config bandwidth_control <список портов> tx_rate 1 rx_rate 1 - настройка полосы пропускания для указанных портов со скоростью передачи и приема пакетов 1 Мбит/с;
  • show bandwidth_control - просмотр настройки полосы пропускания на портах коммутатора;
  • show 802.1р default_priority - просмотр настройки значений приоритетов по умолчанию;
  • show 802.1p user_priority - просмотр настройки приоритетов пакетов 802.1р на коммутаторе;
  • config 802.1p default_priority <список портов> - настройка значения приоритета 802.1р, используемого по умолчанию, равного 7 для указанных портов коммутатора;
  • enable mirror - включение функции зеркалирования на коммутаторе;
  • config mirror port <port> add source ports <список портов> both -конфигурирование зеркалирования как принимаемых, так и отправляемых пакетов с указанных портов на порт со сниффером;
  • disable mirror - выключение функции зеркалирования на коммутаторе;
  • show mirror - просмотр состояния функции зеркалирования портов на коммутаторе.

[править] Лабораторная работа №5

[править] Краткая теория

SIM (Single IP Management) - управление через единый IP-адрес, технология, которая позволяет объединять коммутаторы в стек поверх Ethernet без стекирующих портов или модулей стекирования. С помощью встроенного Web-менеджера можно получить информацию, представленную в виде дерева (Tree View) о членах стека и топологии сети с указанием месторасположения устройств стека и связей между ними.
Коммутаторы, использующие SIM, можно разделить на три группы:

  • Commander switch (CS) - мастер-коммутатор в группе (id 0);
  • Member switch (MS) - коммутатор, являющийся членом группы;
  • Candidate switch (CaS)- коммутатор, имеющий физическую связь с SIM-группой, но не являющийся членом группы.


Необходимо помнить, что:

  • каждый коммутатор может входить только в одну группу;
  • в каждой группе может быть только один Commander switch;
  • все коммутаторы-члены одной SIM-группы должны находиться в одной IP-подсети и не могут быть подключены через маршрутизаторы;
  • в группе может быть до 32 коммутаторов;
  • количество разных SIM-групп в одной IP-подсети не ограничено;
  • если на коммутаторах настроено множество VLAN, SIM-гpyппa должна использовать default VLAN на каждом коммутаторе;
  • SIM может работать через промежуточные устройства, которые не поддерживают SIM.

[править] Изучаемые команды

  • enable sim - включение SIM на коммутаторе;
  • show sim - просмотр состояния SIM на коммутаторе;
  • config sim commander group name <имя_SIМ-группы> - конфигурирование коммутатора в состояние Commander switch для SIM-группы;
  • show sim candidates - просмотр списка коммутаторов, являющихся кандидатами в члены SIM-группы;
  • config sim_group add 1 - добавление коммутатора-кандидата с идентификатором 1 в члены SIM-группы;
  • show sim members - просмотр списка коммутаторов, являющихся членами SIM-группы