Reti moderne continuano ad evolvere per tenere il passo con le organizzazioni che

cambiano modo in cui svolgono la loro attivit quotidiana. Gli utenti ora si aspettano
un accesso immediato alle risorse aziendali da qualsiasi luogo e in qualsiasi momento.
Queste risorse includono non solo i dati tradizionali, ma anche di video e voce. Vi
anche un crescente bisogno di tecnologie di collaborazione che consentono la
condivisione in tempo reale delle risorse tra pi individui remoti come se fossero nella
stessa posizione fisica.Diversi dispositivi devono lavorare insieme senza soluzione di
continuit per fornire una connessione veloce, sicuro, affidabile e tra gli host. Switch
LAN offrono il punto di connessione per gli utenti finali nella rete aziendale e sono
anche i primi responsabili del controllo delle informazioni all'interno del ambiente LAN.
I router agevolare la circolazione delle informazioni tra LAN e sono generalmente a
conoscenza di singoli host. Tutti i servizi avanzati dipendono dalla disponibilit di un
instradamento robusto e infrastrutture di commutazione su cui possono costruire.
Questa infrastruttura deve essere attentamente progettato, implementato, e sono
riusciti a fornire una piattaforma stabile necessario.Questo capitolo inizia un esame del
flusso di traffico in una rete moderna. Esso esamina alcuni dei modelli di progettazione
di rete attuali e il modo in cui gli switch LAN costruire tabelle di inoltro e utilizzare
l'indirizzo MAC informazioni per passare in modo efficiente i dati tra host.
Lan Design Converged NETwork
Reti moderne continuano ad evolvere per tenere il passo con le organizzazioni che
cambiano modo in cui svolgono la loro attivit quotidiana. Gli utenti ora si aspettano
un accesso immediato alle risorse aziendali da qualsiasi luogo e in qualsiasi momento.
Queste risorse includono non solo i dati tradizionali, ma anche di video e voce. Vi
anche un crescente bisogno di tecnologie di collaborazione che consentono la
condivisione in tempo reale delle risorse tra pi individui remoti come se fossero nella
stessa posizione fisica.Diversi dispositivi devono lavorare insieme senza soluzione di
continuit per fornire una connessione veloce, sicuro, affidabile e tra gli host. Switch
LAN offrono il punto di connessione per gli utenti finali nella rete aziendale e sono
anche i primi responsabili del controllo delle informazioni all'interno del ambiente LAN.
I router agevolare la circolazione delle informazioni tra LAN e sono generalmente a
conoscenza di singoli host. Tutti i servizi avanzati dipendono dalla disponibilit di un
instradamento robusto e infrastrutture di commutazione su cui possono costruire.
Questa infrastruttura deve essere attentamente progettato, implementato, e sono
riusciti a fornire una piattaforma stabile necessario.Questo capitolo inizia un esame del
flusso di traffico in una rete moderna. Esso esamina alcuni dei modelli di progettazione
di rete attuali e il modo in cui gli switch LAN costruire tabelle di inoltro e utilizzare
l'indirizzo MAC informazioni per passare in modo efficiente i dati tra host.
Per supportare la collaborazione, reti di imprese utilizzano soluzioni convergenti che
utilizzano sistemi voce, telefoni IP, gateway voce, il supporto video e videoconferenza
(Figura 1). Compresi i servizi di dati, una rete convergente con supporto collaborazione
possono includere caratteristiche come la seguente:
- Call Control - l'elaborazione delle chiamate di telefono, ID chiamante, trasferimento
di chiamata, tenere, e conferenza
- Messaggistica vocale Segreteria
- Mobilit - Ricevere chiamate importanti ovunque tu sia
- Operatore automatico - servire i clienti pi velocemente instradare le chiamate
direttamente al reparto giusto o individuo
Uno dei principali vantaggi di transizione verso la rete convergente che c' solo una
rete fisica per installare e gestire. Ci si traduce in un notevole risparmio nell'arco
l'installazione e gestione di reti voce, video e dati separate. Tale soluzione rete
convergente integra la gestione in modo che eventuali muove, aggiunte e
cambiamenti sono stati completati con un'interfaccia di gestione intuitiva. Una
soluzione di rete convergente fornisce inoltre supporto per le applicazioni PC
Softphone, cos come il video point-to-point, in modo che gli utenti possono godere di

comunicazioni personali con la stessa facilit di somministrazione e l'uso come una

chiamata vocale. La convergenza dei servizi sulla rete ha comportato una evoluzione
nelle reti da un ruolo di trasporto dati tradizionale, ad una superstrada per dati, voce e
video comunicazione. Questa rete fisica deve essere adeguatamente progettato e
realizzato per consentire la gestione affidabile dei diversi tipi di informazioni che deve
svolgere. Un disegno strutturato necessario per consentire la gestione di questo
ambiente complesso.
Con le crescenti richieste della rete convergente, la rete deve essere sviluppato con un
approccio architetturale che incorpora l'intelligenza, semplifica le operazioni, ed
scalabile per soddisfare le esigenze future. Uno degli sviluppi pi recenti nella
progettazione della rete illustrata l'architettura Cisco Borderless Network illustrato
nella figura 1.Cisco Borderless Network un'architettura di rete che combina diverse
innovazioni e le considerazioni di progettazione per consentire alle organizzazioni di
collegarsi chiunque, ovunque, in qualsiasi momento, e su qualsiasi dispositivo in modo
sicuro, affidabile e senza soluzione di continuit. Questa architettura stato
progettato per affrontare le sfide di business e IT, ad esempio sostenere il rete
convergente e il cambiamento dei modelli di lavoro.Cisco Borderless Network
costruita su un'infrastruttura hardware e software scalabile e resiliente. Permette
diversi elementi, da switch di accesso a punti di accesso wireless per lavorare insieme
e consentire agli utenti di accedere alle risorse da qualsiasi luogo, in qualsiasi
momento, fornendo ottimizzazione, scalabilit e sicurezza per la collaborazione e la
virtualizzazione.
Creazione di una rete a commutazione senza bordi richiede che i principi di
progettazione di rete audio sono utilizzate per garantire la massima disponibilit, la
flessibilit, la sicurezza e la gestibilit. Il bordi commutata rete deve mantenere le
esigenze attuali e future dei servizi richiesti e tecnologie. Borderless acceso linee
guida di progettazione di rete sono costruiti sui seguenti principi:
Gerarchia - Facilita la comprensione del ruolo di ogni dispositivo a ogni livello,
semplifica la distribuzione, il funzionamento e la gestione, e riduce domini di errore ad
ogni livello
Modularit - Permette l'espansione della rete senza soluzione di continuit e
abilitazione servizio integrato su base on-demand
Resilienza - Soddisfa le aspettative degli utenti per mantenere la rete sempre su
Flessibilit - Consente la condivisione del carico di traffico intelligente utilizzando tutte
le risorse di reteQuesti non sono principi indipendenti. La comprensione di come ogni
principio si inserisce nel contesto degli altri critica. Progettare una rete commutata
senza bordi in modo gerarchico crea una base che permette ai progettisti di rete di
sovrapporre la sicurezza, la mobilit, e funzionalit di comunicazione unificata. Due
quadri di design gerarchico e comprovata time-tested per reti campus sono lo strato di
tre livelli ed i modelli di livello a due stadi, come illustrato in figura.I tre strati critici
all'interno di questi disegni a pi livelli sono i livelli di accesso, distribuzione e core.
Ogni livello pu essere visto come un modulo strutturato ben definito con ruoli e
funzioni specifiche nella rete del campus. L'introduzione di modularit nel campus
progettazione gerarchica inoltre assicura che la rete del campus rimane elastica e
flessibile abbastanza per fornire servizi di rete critici. Modularit aiuta anche a
consentire la crescita e variazioni nel tempo.
Access Layer
Il livello di accesso rappresenta la periferia della rete, dove il traffico entra o esce la
rete del campus. Tradizionalmente, la funzione primaria di un interruttore livello di
accesso di fornire accesso alla rete per l'utente. Switch layer di accesso si collegano
agli interruttori di livello di distribuzione, che implementano tecnologie di fondazione
di rete come il routing, la qualit del servizio, e la sicurezza. Per soddisfare le
applicazioni di rete e la domanda degli utenti finali, le piattaforme di switching di
nuova generazione ora forniscono pi convergente, integrato e servizi intelligenti a

diversi tipi di endpoint alla periferia della rete. Costruzione intelligenza in switch layer
di accesso consente alle applicazioni di operare in rete in modo pi efficiente e sicuro.
Distribution Layer
Le interfacce di livello di distribuzione tra il livello di accesso e lo strato di base per
fornire molte funzioni importanti, tra cui:
Aggregazione reti wiring closet su larga scala
Aggregating livello 2 domini di broadcast e di livello 3 confini di routing
Fornire switching, routing e funzioni di criteri di accesso di rete intelligenti per
accedere al resto della rete
Fornire elevata disponibilit attraverso ridondanti switch layer di distribuzione ai
percorsi degli utenti finali e dei costi pari al nucleo
Fornire servizi differenziati per diverse classi di applicazioni di servizio a bordo di rete
Core Layer
Lo strato centrale la spina dorsale di rete. Si collega diversi strati di rete del campus.
Lo strato centrale funge da aggregatore per tutti gli altri blocchi Campus e lega il
campus insieme al resto della rete. Lo scopo principale del livello di nucleo di fornire
isolamento dei guasti e connettivit backbone ad alta velocit.La figura 1 mostra una
a tre livelli campus progettazione di rete per le organizzazioni in cui l'accesso, la
distribuzione e nucleo sono ogni strati separati. Per costruire una efficiente
progettazione del layout cavo fisico semplificata, scalabilit, rapporto costo-efficacia,
e, la raccomandazione quella di costruire una rete fisica topologia estesa stelle da
una postazione centralizzata edificio a tutti gli altri edifici sulla stessa citt
universitaria. In alcuni casi, a causa di una mancanza di restrizioni scalabilit fisici o di
rete, mantenendo una distribuzione e strato di nucleo separato non richiesto. In
ambienti campus pi piccole dove ci sono meno gli utenti che accedono alla rete o in
siti campus costituiti da un unico edificio, potrebbero non essere necessari strati di
base e di distribuzione separate. In questo scenario, la raccomandazione la due
livelli di progettazione di rete del campus alternativa, conosciuta anche come la
progettazione della rete nucleo collassato. La figura 2 mostra a due livelli esempio
progettazione di rete del campus per un campus aziendale in cui gli strati di
distribuzione e di base sono crollati in un unico livello.
Switched Networks
Il ruolo delle reti commutate si evoluto notevolmente negli ultimi due decenni. Non
molto tempo fa, che di livello piatto 2 reti a commutazione erano la norma. Piatti di
livello 2 reti dati invocato le propriet di base Ethernet e l'ampio uso di ripetitori hub
per propagare il traffico LAN in tutta l'organizzazione. Come mostrato in figura 1, le
reti sono fondamentalmente cambiato LAN commutate in una rete gerarchica. Una
LAN commutata consente una maggiore flessibilit, la gestione del traffico, e funzioni
aggiuntive, quali: Qualit del servizio Maggiore sicurezza Supporto per reti
wireless e connettivit Supporto per le nuove tecnologie, come la telefonia IP e
servizi di mobilit
Figura 2 mostra la struttura gerarchica utilizzato nella rete a commutazione di bordi.
TIPI DI SWITCH
Ci sono vari tipi di interruttori utilizzati in reti aziendali. E 'importante per distribuire i
tipi appropriati di interruttori basati su requisiti di rete. Figura 1 mette in evidenza
alcune considerazioni di business comuni nella scelta di attrezzature interruttore.Nella
scelta del tipo di interruttore, il progettista di rete deve scegliere tra fisso o
configurazione modulare, e impilabile o non impilabili. Un'altra considerazione lo
spessore del commutatore, che viene espressa in numero di unit rack. Questo
importante per gli interruttori che sono montati in un rack. Ad esempio, gli interruttori
di configurazione fissa mostrati nella Figura 2 sono tutte le unit 1 rack (1U). Queste
opzioni sono a volte indicato come fattori di forma interruttore.Switch a configurazione
fissaSwitch a configurazione fissa non supportano funzioni o opzioni al di l di quelli
che originariamente fornito con l'interruttore (Figura 2). Il modello particolare
determina le caratteristiche e le opzioni disponibili. Ad esempio, uno switch a 24 porte

gigabit fisso non pu sostenere porte aggiuntive. Ci sono in genere diverse scelte di
configurazione che variano in quanti e quali tipi di porte sono inclusi con un
interruttore configurazione fissa.Interruttori configurazione modulareInterruttori di
configurazione modulari offrono una maggiore flessibilit nella loro configurazione.
Configurazione modulare switch tipicamente sono dotati di telai di dimensioni diverse
che consentono l'installazione di un diverso numero di schede di linea modulari (Figura
3). Le schede di linea in realt contengono le porte. La scheda di linea si inserisce nel
telaio interruttore modo che le schede di espansione si inseriscono in un PC. Pi
grande il telaio, le pi moduli che possono supportare. Ci possono essere molti
formati differenti chassis tra cui scegliere. Un interruttore modulare con una scheda di
linea 24 porta supporta una scheda aggiuntiva linea 24 porta, per portare il numero
totale di porte fino a 48.Interruttori di configurazione impilabiliInterruttori di
configurazione impilabili possono essere interconnessi con un cavo speciale che
fornisce un throughput elevata larghezza di banda tra gli interruttori (Figura 4).
Tecnologia Cisco StackWise permette l'interconnessione di un massimo di nove
interruttori. Gli interruttori possono essere impilati uno sopra l'altro con i cavi di
collegamento degli interruttori in daisy chain. Gli interruttori impilati funzionano
efficacemente come un singolo interruttore grande. Switch stackable sono desiderabili
dove la tolleranza ai guasti e disponibilit di banda sono fondamentali e un interruttore
modulare troppo costosa da implementare. Utilizzando collegamenti trasversali
connessi, la rete pu recuperare rapidamente se un singolo interruttore fallisce. Switch
stackable utilizzano una porta speciale per le interconnessioni. Molti switch stackable
Cisco supportano inoltre la tecnologia StackPower, che consente la condivisione del
potere tra i membri dello stack.
COME SCEGLIERE UNO SWITCH
Costo - Il costo di un interruttore dipende dal numero e la velocit delle interfacce,
funzionalit supportate, e capacit di espansione. Port Densit - switch di rete devono
supportare il numero appropriato di dispositivi sulla rete. Potenza - E 'ormai comune a
punti di accesso elettrico, telefoni IP, e anche gli switch compatti utilizzando Power
over Ethernet (PoE). Oltre a considerazioni di PoE, alcuni switch chassis-based
supportano alimentatori ridondanti. Affidabilit - L'interruttore deve fornire accesso
continuo alla rete. Velocit Port - La velocit della connessione di rete di primaria
importanza per gli utenti finali. Frame buffer - La capacit dello switch di inserire altre
trame importante in una rete in cui ci possono essere congestionato porte ai server
o di altri settori della rete. Scalabilit - Il numero di utenti di una rete cresce
tipicamente nel tempo; di conseguenza, l'interruttore deve offrire l'opportunit di
crescita.
FRAME Forwarding
Il concetto di commutazione e spedizioni fotogrammi universale nelle reti e
telecomunicazioni. Vari tipi di interruttori sono utilizzati in LAN, WAN, e la rete
telefonica pubblica commutata (PSTN). Il concetto fondamentale di commutazione si
riferisce ad un dispositivo di prendere una decisione sulla base di due criteri: Porta
ingressoIndirizzo di destinazioneLa decisione su come un interruttore inoltra il traffico
viene effettuato in relazione al flusso di tale traffico. Il termine di ingresso utilizzato
per descrivere un telaio dove entra nel dispositivo su una porta. Il termine di uscita
utilizzata per descrivere fotogrammi lasciando il dispositivo da una porta
particolare.Quando un interruttore prende una decisione, si basa sulla porta di
ingresso e l'indirizzo di destinazione del messaggio.Uno switch LAN mantiene una
tabella che utilizza per determinare come trasmettere il traffico attraverso lo switch.
Fare clic sul pulsante Riproduci nella figura per vedere un'animazione del processo di
commutazione. In questo esempio: Se un messaggio entra passare porta 1 e ha un
indirizzo di destinazione di EA, quindi lo switch inoltra il traffico porta di uscita 4. Se
un messaggio entra porta switch 5 e ha un indirizzo di destinazione di EE, quindi lo
switch inoltra il traffico fuori porta 1. Se un messaggio entra passare porta 3 e ha un

indirizzo di destinazione di AB, quindi lo switch inoltra il traffico porta di uscita

6.L'unica intelligenza del commutatore LAN la capacit di usare la sua tabella di
traffico in avanti in base alla porta di ingresso e l'indirizzo di destinazione del
messaggio. Con un interruttore LAN, c' solo una tabella di commutazione master che
descrive una stretta associazione tra indirizzi e porte; Pertanto, un messaggio con un
dato indirizzo di destinazione esce sempre la stessa porta di uscita,
indipendentemente dalla porta di ingresso entra.Cisco switch LAN in avanti frame
Ethernet in base all'indirizzo MAC di destinazione dei frame.
Switch utilizzano indirizzi MAC per le comunicazioni di rete diretti attraverso
l'interruttore alla porta appropriata verso la destinazione. Un interruttore costituito
da circuiti integrati e il relativo software che controlla i percorsi di dati attraverso
l'interruttore. Per il passaggio a sapere quale porta utilizzare per trasmettere un frame,
deve prima imparare che i dispositivi esistenti su ciascuna porta. Come lo switch
apprende la relazione tra i porti ai dispositivi, si costruisce un tavolo chiamato indirizzo
MAC, o il contenuto della memoria indirizzabile (CAM) tavolo. CAM un particolare tipo
di memoria utilizzata in applicazioni alla ricerca di alta velocit.Switch LAN
determinare come gestire i frame di dati in ingresso, mantenendo la tabella degli
indirizzi MAC. Un interruttore costruisce la sua tabella di MAC address registrando
l'indirizzo MAC di ogni dispositivo collegato a ciascuno dei suoi porti. Lo switch utilizza
le informazioni nella tabella degli indirizzi MAC per inviare frame destinati ad uno
specifico dispositivo attraverso la porta che stato assegnato a quel dispositivo.Un
interruttore popola la tabella degli indirizzi MAC basati su indirizzi MAC di origine.
Quando uno switch riceve un frame in ingresso con un indirizzo MAC di destinazione
che non si trova nella tabella di indirizzi MAC, lo switch inoltra il frame su tutte le porte
(inondazioni) tranne per la porta di ingresso della struttura. Quando il dispositivo di
destinazione risponde, lo switch aggiunge l'indirizzo MAC sorgente del telaio e la porta
su cui il frame stato ricevuto alla tabella degli indirizzi MAC. Nelle reti con pi switch
interconnessi, la tabella degli indirizzi MAC contiene pi indirizzi MAC per una singola
porta collegato ad altri switch.Di seguito viene descritto il processo di costruzione della
tabella degli indirizzi MAC:1. L'interruttore riceve un frame da PC 1 sulla porta 1
(Figura 1).2. Lo switch esamina l'indirizzo MAC di origine e lo confronta con tabella
degli indirizzi MAC. Se l'indirizzo non nella tabella degli indirizzi MAC, associa la
fonte indirizzo MAC del PC 1 con la porta di ingresso (porta 1) nella tabella degli
indirizzi MAC (Figura 2). Se la tabella degli indirizzi MAC ha gi una voce per l'indirizzo
sorgente, azzera il timer di invecchiamento. Una voce per un indirizzo MAC in genere
mantenuta per cinque minuti.3. Dopo il passaggio ha registrato le informazioni di
indirizzo sorgente, lo switch esamina l'indirizzo MAC di destinazione. Se l'indirizzo di
destinazione non nella tabella MAC o se un indirizzo MAC broadcast, come indicato
da tutti Fs, l'interruttore inonda telaio a tutte le porte, tranne la porta di ingresso
(figura 3).4. Il dispositivo di destinazione (PC 3) risponde al telaio con un telaio unicast
indirizzata al PC 1 (figura 4).5. L'interruttore immette l'indirizzo MAC sorgente del PC 3
e il numero di porta della porta di ingresso nella tabella di indirizzi. L'indirizzo di
destinazione del telaio e la sua porta di uscita corrispondente si trova nella tabella
degli indirizzi MAC (Figura 5).6. Lo switch pu ora fotogrammi in avanti tra questi
dispositivi origine e di destinazione, senza inondazioni, perch ha voci nella tabella
degli indirizzi che identificano le porte associate (Figura 6).
Dato che le reti sono cresciuti e le imprese hanno iniziato a sperimentare le prestazioni
di rete pi lente, ponti Ethernet (una prima versione di un interruttore) sono stati
aggiunti alle reti per limitare le dimensioni dei domini di collisione. Nel 1990, i
progressi nelle tecnologie di circuiti integrati consentiti per LAN switch per sostituire i
ponti Ethernet. Questi switch LAN sono stati in grado di spostare il livello 2 decisioni di
inoltro da software a circuiti per applicazioni specifiche integrati (ASIC). ASIC ridurre il
tempo di gestione dei pacchetti all'interno del dispositivo, e permettono al dispositivo

di gestire un maggior numero di porte, senza compromettere le prestazioni. Questo

metodo di inoltro frame di dati a livello 2 stato indicato come store-and-forward
switching. Questo termine distingueva da switching cut-through.
Come mostrato in figura 1, il metodo store-and-forward effettua una decisione di
inoltro su un telaio dopo aver ricevuto l'intero telaio e poi controllato la cornice per
errori.
Al contrario, il metodo cut-through, come mostrato nella Figura 2 inizia il processo di
inoltro dopo l'indirizzo MAC di destinazione di un frame in ingresso e la porta di uscita
stata determinata.
Store-and-forward switching ha due caratteristiche principali che lo distinguono da cutthrough: il controllo degli errori e di buffering automatico.Controllo erroriUn
interruttore con store-and-forward switching esegue un controllo di errore su un frame
in ingresso. Dopo aver ricevuto l'intero frame sulla porta di ingresso, come mostrato in
figura, l'interruttore confronta il frame-check-sequence (FCS) Valore nell'ultimo campo
del datagramma contro i propri calcoli FCS. Il FCS un processo di controllo degli
errori che aiuta a garantire che il telaio sia privo di errori fisici e data-link. Se il telaio
privo di errori, lo switch inoltra il frame. In caso contrario, il telaio caduto.Buffering
automaticoIl processo di buffering porta di ingresso utilizzata da store-and-forward
switch fornisce la flessibilit necessaria per supportare qualsiasi combinazione di
velocit Ethernet. Ad esempio, la gestione di un frame in ingresso che viaggiano in
un / s porta Ethernet da 100 Mb che deve essere inviato un 1 Gb / s interfaccia
richiederebbe utilizzando il metodo store-and-forward. Con qualsiasi mancata
corrispondenza velocit tra i porti ingresso e di uscita, lo switch memorizza l'intera
struttura in un buffer, calcola il controllo FCS, inoltra al buffer porta di uscita e poi lo
invia.Store-and-forward switching il metodo LAN switching primario di Cisco.Un
interruttore store-and-forward gocce fotogrammi che non superano il controllo FCS,
pertanto non inoltra frame non validi. Al contrario, uno switch cut-through pu
trasmettere frame non validi perch viene effettuato nessun controllo FCS.
Commutazione Un vantaggio di cut-through la capacit dello switch per avviare
l'inoltro di un telaio prima di store-and-forward switching. Ci sono due caratteristiche
principali di cut-through commutazione: rapido inoltro telaio e frammento
gratuito.Rapid Inoltro frameCome indicato in figura, un interruttore con il metodo cutthrough pu prendere una decisione di inoltro non appena ha guardato l'indirizzo MAC
di destinazione del frame nella tabella degli indirizzi MAC. L'interruttore non deve
aspettare per il resto del telaio ad entrare nel porto di ingresso prima di prendere la
sua decisione di inoltro.Con i controllori MAC e ASIC di oggi, uno switch con il metodo
cut-through possono rapidamente decidere se deve esaminare una porzione pi ampia
di intestazioni di un telaio per operazioni di filtro aggiuntivi. Ad esempio, lo switch in
grado di analizzare oltre i primi 14 byte (l'indirizzo MAC di origine, destinazione MAC ei
campi Ethertype), ed esaminare ulteriori 40 byte al fine di svolgere le funzioni pi
sofisticate rispetto ai Livelli IPv4 3 e 4.Il metodo di commutazione cut-through non
scenda frame pi validi. Pagine con errori vengono trasmessi ad altri segmenti della
rete. Se vi un alto tasso di errore (frame invalidi) nella rete, cut-through
commutazione pu avere un impatto negativo sulla larghezza di banda; quindi,
intasando la larghezza di banda con cornici danneggiati e non validi.Frammento
gratuitoFrammento commutazione libero una forma modificata di switching cutthrough in cui attende interruttore per la finestra di collisione (64 byte) per passare
prima di inoltrare il frame. Ci significa che ogni fotogramma sar controllata nel
campo di dati per assicurarsi che non abbia subito la frammentazione. Modalit libera
frammento fornisce una migliore controllo degli errori di cut-through, con praticamente
alcun aumento della latenza.La velocit pi bassa latenza di switching cut-through lo
rende pi adatto per, high-performance computing (HPC) nelle applicazioni pi
impegnative che richiedono processo-to-process latenze di 10 microsecondi o meno.
domini di commutazione Nei segmenti Ethernet basata su hub, i dispositivi di rete
competere per il medio, in quanto i dispositivi devono fare i turni durante la

trasmissione. I segmenti di rete che condividono la stessa larghezza di banda tra i

dispositivi sono noti come domini di collisione, perch quando due o pi dispositivi
all'interno di tale segmento cercano di comunicare contemporaneamente, possono
verificarsi collisioni. E 'possibile, comunque, di utilizzare altri dispositivi di rete (esempi
comprendono switch e router), che operano a livello di accesso IP TCP / modello di rete
e, soprattutto, per suddividere una rete in segmenti e ridurre il numero di dispositivi
che competono per la larghezza di banda. Ogni nuovi risultati dei segmenti in un
nuovo dominio di collisione. Pi larghezza di banda disponibile per i dispositivi su un
segmento, e le collisioni in un dominio di collisione non interferiscono con gli altri
segmenti. Questo noto anche come microsegmentazione. Come mostrato nella
figura, ciascuna porta di switch connette ad un singolo PC o server, e ciascuna porta di
switch rappresenta una collisione dominio separato.
Anche se la maggior parte degli interruttori filtrano quadri sulla base di indirizzi MAC,
non filtrano frame broadcast. Per gli altri interruttori della LAN di ricevere frame
broadcast, interruttori devono inondare questi telai su tutte le porte. Una collezione di
switch interconnessi forma un singolo dominio di broadcast. Solo un dispositivo di
livello di rete, ad esempio un router, pu dividere un dominio di broadcast Layer 2. I
router vengono utilizzati per segmento sia di collisione e domini di broadcast.Quando
un dispositivo invia un broadcast Layer 2, l'indirizzo MAC di destinazione nel frame
impostato per tutti quelli binari. Un telaio con un indirizzo MAC di destinazione di tutti
quelli binari viene ricevuto da tutti i dispositivi presenti nel dominio di broadcast.Il
dominio di broadcast Layer 2 indicato come il dominio di broadcast MAC. Il dominio
trasmettere MAC composto da tutti i dispositivi sulla LAN che ricevono frame
broadcast da un host.Fare clic su Riproduci nella figura per vedere questo nella prima
met dell'animazione.Quando uno switch riceve un frame broadcast, inoltra il frame
da ciascuno dei suoi porti, tranne la porta di ingresso in cui stato ricevuto il frame
broadcast. Ogni dispositivo collegato allo switch riceve una copia del frame di
trasmissione e lo elabora. Le trasmissioni sono a volte necessarie per localizzare
inizialmente altri dispositivi e servizi di rete, ma riducono anche l'efficienza della rete.
Larghezza di banda di rete viene utilizzato per propagare il traffico broadcast. Troppi
trasmissioni e un carico di traffico pesante su una rete pu risultare in congestione: un
rallentamento nelle prestazioni di rete.Quando due sensori sono collegati insieme, il
dominio broadcast aumentata, come si vede nella seconda met dell'animazione. In
questo caso, un frame broadcast viene inoltrato a tutte le porte connesse
sull'interruttore S1. Interruttore S1 collegato a commutare S2. Il telaio poi anche
propagato a tutti i dispositivi collegati per passare S2.
Switch LAN hanno caratteristiche particolari che li rendono efficaci ad alleviare la
congestione della rete. In primo luogo, essi consentono la segmentazione di una LAN
in domini di collisione. Ogni porta dello switch rappresenta una collisione dominio
separato e fornisce l'intera larghezza di banda del dispositivo o dispositivi connessi a
tale porta. In secondo luogo, essi forniscono la comunicazione full-duplex tra i
dispositivi. Una connessione full-duplex possono trasportare segnali trasmessi e
ricevuti allo stesso tempo. Connessioni full-duplex hanno notevolmente aumentato le
prestazioni della rete LAN, e sono necessari per 1 Gb / s Ethernet velocit e
superiori.Interruttori interconnessione segmenti di LAN (domini di collisione), utilizzare
una tabella di indirizzi MAC per determinare il segmento a cui il telaio deve essere
inviato, e possono diminuire o eliminare del tutto le collisioni. Di seguito sono alcune
caratteristiche importanti di switch che contribuiscono ad alleviare la congestione
della rete: Alta densit di porta - Interruttori hanno densit elevata porte: a 24 e 48
porte switch sono spesso solo 1 unit rack (1,75 pollici) di altezza e operano a velocit
di 100 Mb / s, 1 Gb / s, e 10 Gb / s. Grandi switch enterprise possono supportare molte
centinaia di porti. Grandi frame buffer - La capacit di memorizzare fotogrammi pi
ricevuti prima di dover ripartire farli cadere utile, in particolare quando ci possono
essere congestionato porte per server o altre parti della rete. Velocit porta - secondo
il costo di un interruttore, pu essere possibile supportare una miscela di velocit. Porti

di 100 Mb / s, e 1 o 10 Gb / s sono comuni (100 Gb / s anche possibile). Veloce

switching interno - Avere veloci funzionalit di inoltro interno permette elevate
prestazioni. Il metodo utilizzato pu essere un veloce bus interno o memoria condivisa,
che influenza le prestazioni complessive dell'interruttore. Basso costo per porta switch offrono un'elevata densit di porte a un costo inferiore. Per questo motivo,
switch LAN possono ospitare progetti di rete dotate meno utenti per segmento, quindi,
aumentando la larghezza di banda media disponibile per utente.
CHAPTER 2
Interruttori vengono usati per collegare pi dispositivi insieme sulla stessa rete. In una
rete ben progettato, switch LAN sono la responsabilit di dirigere e controllare il flusso
di dati a livello di accesso alle risorse di rete.Switch Cisco sono auto-configurazione e
senza configurazioni aggiuntive sono necessarie per loro di funzionare out of the box.
Tuttavia, Cisco switch gestito Cisco IOS, e pu essere configurato manualmente per
rispondere meglio alle esigenze della rete. Questo include la regolazione requisiti di
velocit, larghezza di banda e di sicurezza nei porti.Inoltre, switch Cisco possono
essere gestiti sia in locale che in remoto. Per gestire in remoto un interruttore ha
bisogno di avere un indirizzo IP e gateway predefinito configurato. Queste sono solo
due delle configurazioni discusse in questo capitolo.Interruttori operano a livello di
accesso in cui i dispositivi di rete client si collegano direttamente alla rete e ai
dipartimenti IT vogliono l'accesso alla rete senza complicazioni per gli utenti. una
delle zone pi vulnerabili della rete perch cos esposta all'utente. Interruttori
devono essere configurati per essere resistente agli attacchi di tutti i tipi, mentre
stanno proteggendo i dati degli utenti e consente connessioni ad alta velocit.
Sicurezza del porto una delle caratteristiche di sicurezza di Cisco gestito switch
forniscono.Questo capitolo esamina alcune delle impostazioni di configurazione dello
switch di base necessarie per mantenere un sicuro, disponibile, commutata ambiente
LAN.
Configurare uno Switch con impostazioni iniziali
Dopo uno switch Cisco acceso, esso passa attraverso il seguente sequenza di
avvio:1. In primo luogo, l'interruttore di carica un power-on self-test (POST)
programma memorizzato nella ROM. POST controlla il sottosistema CPU. E 'test della
CPU, DRAM, e la parte del dispositivo flash che compone il sistema di file flash.2.
Successivamente, l'interruttore di carica il software del boot loader. Il boot loader un
piccolo programma memorizzato nella ROM e viene eseguito immediatamente dopo il
POST completato correttamente.3. Il boot loader esegue basso livello della CPU
inizializzazione. Si inizializza i registri della CPU, che controllano dove mappato
memoria fisica, la quantit di memoria e la sua velocit.4. Il boot loader inizializza il
sistema di file flash sulla scheda di sistema.5. Infine, il boot loader individua e carica
un'immagine software del sistema operativo IOS di default nella memoria e le mani il
controllo del passaggio a IOS.Il boot loader trova l'immagine Cisco IOS dello switch
come segue: lo switch tenta di avviarsi automaticamente utilizzando le informazioni
nella variabile di ambiente di boot. Se questa variabile non impostata, l'interruttore
tenta di caricare ed eseguire il primo file eseguibile si pu eseguendo una ricerca
ricorsiva, in profondit tutto il sistema di file flash. In una ricerca in profondit di una
directory, ogni sottodirectory incontrato sia completamente cercato prima di
continuare la ricerca nella directory originale. Su switch della serie Catalyst 2960, il file
di immagine viene normalmente contenuto in una directory che ha lo stesso nome del
file immagine (escludendo l'estensione del file .bin).Il sistema operativo IOS poi
inizializza interfacce utilizzando i comandi Cisco IOS trovati nel file di configurazione,
configurazione di avvio, che memorizzato in NVRAM.Nella figura, la variabile
d'ambiente BOOT viene impostata con il sistema di avvio comando globale modalit di

configurazione. Utilizzare il comando show bootvar (mostra di avvio nelle vecchie

versioni IOS) per vedere cosa l'attuale file di avvio IOS impostato.
Il boot loader consente l'accesso nel commutatore se il sistema operativo non pu
essere utilizzato a causa di file di sistema mancanti o danneggiati. Il boot loader ha
una riga di comando che consente di accedere ai file archiviati nella memoria flash.Il
boot loader possibile accedere tramite una connessione alla console seguendo
questi passaggi:Fase 1. Collegare un PC tramite un cavo di console alla porta console
interruttore. Configurare il software di emulazione terminale per la connessione allo
switch.Fase 2. Scollegare il cavo di alimentazione dell'interruttore.Fase 3. Ricollegare il
cavo di alimentazione allo switch e, entro 15 secondi, premere e tenere premuto il
pulsante Mode mentre il LED sistema ancora verde lampeggia.Fase 4. Continuare a
premere il pulsante Mode fino a quando il LED di sistema si brevemente ambra e poi
solido verde; quindi rilasciare il pulsante Mode.Fase 5. L'interruttore boot loader:
appare il prompt del software di emulazione terminale sul PC.La riga di comando boot
loader supporta i comandi per formattare il sistema di file flash, reinstallare il software
del sistema operativo, e recuperare da una password perduta o dimenticata. Ad
esempio, il comando dir pu essere utilizzato per visualizzare un elenco di file in una
directory specificata come mostrato in figura.Nota: Si noti che in questo esempio, l'IOS
si trova nella radice della cartella flash.
Switch Cisco Catalyst sono diversi indicatori LED di stato si illumina. possibile
utilizzare i LED dello switch di monitorare rapidamente l'attivit interruttore e le sue
prestazioni. Interruttori di diversi modelli e gruppi di funzioni avranno diversi LED e la
loro collocazione sul pannello frontale del commutatore pu anche variare.La figura
mostra i LED di commutazione e il pulsante Mode per un 2960 switch Cisco Catalyst. Il
pulsante Mode viene usato per passare attraverso lo stato della porta, duplex porta,
velocit della porta, e PoE (se supportato) stato dei LED delle porte. Quanto segue
descrive lo scopo degli indicatori LED, e il significato dei loro colori: LED sistema Indica se il sistema alimentato e funziona correttamente. Se il LED spento, significa
che il sistema non acceso. Se il LED verde, il sistema funziona normalmente. Se il
LED di colore ambra, il sistema alimentato, ma non funziona correttamente.
Redundant Power System (RPS) LED - Mostra lo stato RPS. Se il LED spento, il RPS
spento o non collegato correttamente. Se il LED verde, la RPS collegato e pronto
per fornire energia di back-up. Se il LED verde lampeggia, il RPS collegato ma non
disponibile perch fornire energia a un altro dispositivo. Se il LED di colore ambra,
la RPS in modalit standby o in una condizione di guasto. Se il LED giallo
lampeggiante, l'alimentazione interna nello switch ha fallito, e la RPS
l'alimentazione. Stato porta a LED - Indica che la modalit di stato della porta viene
selezionata quando il LED verde. Questa la modalit predefinita. Se selezionata, i
LED delle porte verranno visualizzati i colori con significati diversi. Se il LED spento,
non vi alcun collegamento, o il porto stato amministrativamente chiuso. Se il LED
verde, presenza di un link. Se il LED lampeggia verde, vi l'attivit e la porta sta
inviando o ricevendo dati. Se il LED verde alternata ambra, c' un errore di
collegamento. Se il LED di colore ambra, la porta bloccata per assicurare un ciclo
non esiste nel dominio di inoltro e non inoltra i dati (in genere, le porte rimarranno in
questo stato per i primi 30 secondi dopo l'attivazione). Se il LED giallo lampeggiante,
la porta bloccata per evitare che un eventuale ciclo nel dominio di inoltro. Duplex
LED Porta - Indica la modalit duplex porta viene selezionata quando il LED verde.
Quando selezionato, LED delle porte che sono fuori sono in modalit half-duplex. Se
il LED porta verde, la porta in modalit full-duplex. Velocit LED Port - Indica
selezionata la modalit di velocit della porta. Se selezionata, i LED delle porte
verranno visualizzati i colori con significati diversi. Se il LED spento, la porta funziona
a 10 Mb / s. Se il LED verde, la porta funziona a 100 Mb / s. Se il LED lampeggia
verde, la porta funziona a 1.000 Mb / s. Alimentazione Ethernet (PoE) Modalit su LED
- Se PoE supportato; un LED modalit PoE sar presente. Se il LED spento, esso
indica la modalit PoE non selezionato e che nessuna delle porte stato negato il

potere o posto in una condizione di guasto. Se il LED giallo lampeggiante, la modalit

PoE non selezionata, ma almeno una delle porte stato negato il potere, o ha un
guasto PoE. Se il LED verde, indica selezionata la modalit PoE e i LED delle porte
mostrer i colori con significati diversi. Se il LED della porta spento, il PoE spento.
Se il LED porta verde, il PoE acceso. Se la porta LED alternato verde-ambra, PoE
negato perch fornisce l'alimentazione al dispositivo alimentato superer la potenza
interruttore. Se il LED giallo lampeggiante, PoE spento a causa di un guasto. Se il
LED giallo, PoE per il porto stato disattivato.
Per preparare un interruttore per l'accesso gestione remota, l'interruttore deve essere
configurato con un indirizzo IP e una subnet mask. Tenete a mente, che per gestire il
passaggio da una rete remota, l'interruttore deve essere configurato con un gateway
predefinito. Questo molto simile alla configurazione le informazioni sull'indirizzo IP su
dispositivi host. Nella figura, l'interfaccia virtuale switch (SVI) S1 deve essere
assegnato un indirizzo IP. Il SVI un'interfaccia virtuale, non una porta fisica
sull'interruttore.SVI un concetto legato alle VLAN. VLAN sono numerati gruppi logici a
cui porte fisiche possono essere assegnati. Configurazioni e impostazioni applicate a
una VLAN vengono applicati anche a tutte le porte assegnate a quella VLAN.Per
impostazione predefinita, l'interruttore configurato per avere la gestione dello switch
controllata attraverso VLAN 1. Tutte le porte sono assegnate alla VLAN 1 per
impostazione predefinita. Per motivi di sicurezza, considerato una buona pratica di
utilizzare una VLAN diversa VLAN 1 per la gestione VLAN.Si noti che queste
impostazioni IP sono solo per l'accesso gestione remota allo switch; le impostazioni IP
non consentono il passaggio al percorso di livello 3 pacchetti.
Fase 1. Configurare Management InterfaceUna maschera di indirizzo IP e la sottorete
configurata sul SVI gestione del passaggio dalla modalit di configurazione interfaccia
di VLAN. Come mostrato in figura 1, il comando interfaccia vlan 99 utilizzato per
attivare la modalit di configurazione dell'interfaccia. Il comando indirizzo IP viene
utilizzato per configurare l'indirizzo IP. Il comando no shutdown consente l'interfaccia.
In questo esempio, VLAN 99 configurato con l'indirizzo IP 172.17.99.11.Il SVI per
VLAN 99 non appare come "up / up" fino a quando si crea VLAN 99 e vi un
dispositivo collegato a una porta switch associato con VLAN 99. Per creare una VLAN
con il vlan_id di 99, e associarlo ad una interfaccia , utilizzare i seguenti comandi:S1
(config) # vlan vlan_idS1 (config-vlan) # nome vlan_nameS1 (config-vlan) # exitS1
(config) # interfaccia interface_idS1 (config-if) # switchport accesso vlan
vlan_idPassaggio 2. Configurare Gateway predefinitoL'interruttore deve essere
configurato con un gateway predefinito se sar gestito in remoto da reti non
direttamente collegati. Il gateway predefinito il router lo switch collegato. Lo switch
inoltrer i suoi pacchetti IP con indirizzi IP di destinazione al di fuori della rete locale
per il gateway predefinito. Come mostrato in Figura 2, R1 il gateway predefinito per
S1. L'interfaccia su R1 collegato allo switch dispone indirizzo IP 172.17.99.1. Questo
indirizzo l'indirizzo gateway predefinito per S1.Per configurare il gateway predefinito
per l'interruttore, utilizzare il comando ip default-gateway. Inserire l'indirizzo IP del
gateway predefinito. Il gateway predefinito l'indirizzo IP del router interfaccia a cui
collegato l'interruttore. Utilizzare il comando copy running-config startup-config per
eseguire il backup della configurazione.Punto 3. Verifica della configurazioneCome
mostrato in figura 3, il breve comando show ip interface utile per determinare lo
stato di entrambe le interfacce fisiche e virtuali. L'output mostrato conferma che
l'interfaccia VLAN 99 stata configurata con un indirizzo IP e la maschera di sottorete
e che operativa.
Configure Switch Ports
Comunicazione full-duplex migliora le prestazioni di una LAN commutata.
Comunicazione full-duplex aumenta la larghezza di banda efficace consentendo
entrambe le estremit di un collegamento per trasmettere e ricevere dati
contemporaneamente. Questo noto anche come bidirezionale. Questo metodo di
ottimizzazione delle prestazioni di rete richiede micro-segmentazione. Viene creato un

micro-segmentato LAN quando una porta dello switch dispone di un solo dispositivo
collegato e funziona alla full-duplex. Ci si traduce in un dominio di dimensioni micro
collisione di un unico dispositivo. Poich c' un solo dispositivo collegato, una LAN
micro-segmentato collisioni.A differenza di comunicazione full-duplex, la
comunicazione half-duplex unidirezionale. Inviare e ricevere dati non avviene allo
stesso tempo. Comunicazione Half-duplex crea problemi di prestazioni perch i dati
possono fluire in una sola direzione alla volta, spesso con conseguente collisioni.
Connessioni half-duplex sono in genere visti in vecchio hardware, quali hub.
Comunicazione full-duplex ha sostituito half-duplex in maggior parte dell'hardware.La
maggior parte Ethernet e Fast Ethernet NIC venduti oggi offrono funzionalit fullduplex. Gigabit Ethernet e 10Gb NIC richiedono connessioni full-duplex per operare. In
modalit full-duplex, il circuito di rilevamento delle collisioni sul NIC disabilitata.
Fotogrammi che vengono inviati dai due dispositivi collegati non possono collidere in
quanto i dispositivi utilizzano due circuiti separati il cavo di rete. Connessioni fullduplex richiedono uno switch che supporta la configurazione full-duplex, o una
connessione diretta utilizzando un cavo Ethernet tra due dispositivi.Standard,
efficienza configurazione Ethernet basata su hub condiviso tipicamente nominale di
50 a 60 per cento della larghezza di banda indicata. Full-duplex offre il 100 per cento
di efficienza in entrambe le direzioni (trasmissione e ricezione). Ci si traduce in un
potenziale uso 200 per cento della larghezza di banda indicata.
Duplex e velocit
Porte switch possono essere configurati manualmente con impostazioni duplex e
velocit specifici. Utilizzare il comando modalit di configurazione interfaccia duplex
per specificare manualmente la modalit duplex per una porta dello switch. Utilizzare
il comando modalit di configurazione interfaccia velocit per specificare
manualmente la velocit per una porta dello switch. Nella figura 1, porta F0 / 1
interruttore S1 e S2 sono configurati manualmente con la piena chiave per il comando
duplex, e la parola chiave 100 per il comando di velocit.L'impostazione predefinita
per entrambi duplex e velocit per porte dello switch Cisco Catalyst 2960 su 3560 e gli
switch auto. Le porte 10/100/1000 funzionano sia in modalit half o full-duplex
quando sono impostati a 10 o 100 Mb / s, ma quando sono impostati a 1000 Mb / s (1
Gb / s), intervengono soltanto in modalit full-duplex. Cisco raccomanda solo con il
comando automatico per la stampa duplex e il comando di velocit per evitare
problemi di connettivit tra i dispositivi. Quando la risoluzione dei problemi porta dello
switch, le impostazioni duplex e velocit devono essere controllati.Nota: le
impostazioni non corrispondenti per la modalit duplex e velocit di porte switch
possono causare problemi di connettivit. Fallimento negoziazione automatica crea
impostazioni non corrispondenti.Tutte le porte in fibra ottica, come ad esempio le porte
100BASE-FX, funzionano solo in un velocit preimpostata e sono sempre fullduplex.Utilizzare il correttore di sintassi nella figura 2 per configurare la porta F0 / 1
dell'interruttore S1.
Fino a poco tempo, certo tipi di cavi (dritti o crossover) sono stati necessari per la
connessione dei dispositivi. Switch-to-switch o switch-to-router collegamenti necessari
utilizzando diversi cavi Ethernet. Utilizzando l'interfaccia di crossover medio
automatica in funzione della funzione di (auto-MDIX) su un'interfaccia elimina questo
problema. Quando l'auto-MDIX attivata, l'interfaccia rileva automaticamente il tipo di
connessione cavo richiesto (straight-through o crossover) e configura la connessione
in modo appropriato. Durante il collegamento a switch senza la funzione di auto-MDIX,
cavi diritti devono essere utilizzati per la connessione a dispositivi come server,
workstation o router e cavi incrociati deve essere utilizzato per la connessione ad altri
switch o ripetitori.Con l'auto-MDIX attiva, entrambi i tipi di cavo pu essere utilizzato
per connettersi ad altri dispositivi, e l'interfaccia corregge automaticamente per
qualsiasi cablaggio errato. Sui nuovi router e switch Cisco, l'interfaccia di comando di
modalit di configurazione automatica MDIX abilita la funzione. Quando si utilizza
l'auto-MDIX su un'interfaccia, la velocit dell'interfaccia e duplex devono essere

impostati su auto in modo che la funzione funzioni correttamente.I comandi per

abilitare l'auto-MDIX sono mostrati in Figura 1.Nota: La funzione di auto-MDIX
abilitato di default su Catalyst 2960 e Catalyst 3560 switch, ma non disponibile sul
Catalyst 2950 e Catalyst anziani 3550 interruttori.A valutare la possibilit di auto-MDIX
per un'interfaccia specifica, utilizzare il comando Ethernet controller show controllers
con la parola chiave PHY. Per limitare l'output a righe che si riferiscono auto-MDIX,
utilizzare il filtro di inclusione Auto-MDIX. Come mostrato in figura 2, l'uscita indica On
o Off per la funzione.Utilizzare il correttore di sintassi nella figura 3 per configurare
l'interfaccia FastEthernet 0/1 su S2 per auto-MDIX.
La figura 1 descrive alcune delle opzioni per il comando show che sono utili a
verificare le caratteristiche comuni di commutazione configurabili.La figura 2 mostra
campione abbreviato output del comando show running-config. Utilizzare questo
comando per verificare che l'interruttore stato configurato correttamente. Come
visto nell'output per S1, viene mostrato alcune informazioni chiave: Interfaccia Fast
Ethernet 0/18 configurato con la VLAN di gestione 99 VLAN 99 configurato con un
indirizzo IP 255.255.0.0 172.17.99.11 Gateway predefinito impostato 172.17.99.1Il
comando show interfaces un altro comando comunemente usato, che visualizza lo
stato e le statistiche informazioni sulle interfacce di rete dello switch. Il comando show
interfaces viene spesso utilizzato per la configurazione e il monitoraggio dei dispositivi
di rete.La figura 3 mostra l'output interfacce spettacolo fastethernet 0/18 comando. La
prima linea nella figura indica che l'interfaccia FastEthernet 0/18 alto / alto che
significa che operativa. Pi in basso l'output mostra che il duplex pieno e la
velocit di 100 Mb /
L'output del comando show interfaces pu essere utilizzato per rilevare i problemi pi
comuni mezzi di comunicazione. Una delle parti pi importanti di questa uscita la
visualizzazione dello stato del protocollo di linea e di collegamento dati. La figura 1
indica la linea di riepilogo per controllare lo stato di un'interfaccia.Il primo parametro
(FastEthernet0 / 1 alto) si riferisce allo strato hardware e, in sostanza, riflette se
l'interfaccia sta ricevendo il segnale Carrier Detect dall'altra estremit. Il secondo
parametro (protocollo di linea in alto) si riferisce al livello di collegamento dati e
riflette se i Data Link Protocol strato Keep Alive vengono ricevuti.Sulla base del
risultato del comando show interfaces, eventuali problemi possono essere risolti come
segue: Se l'interfaccia attiva e la linea protocollo gi, un problema esiste. Ci
potrebbe essere un tipo di incapsulamento non corrispondente, l'interfaccia all'altro
capo potrebbe essere errore disabile, o ci potrebbe essere un problema hardware. Se
il protocollo di linea e l'interfaccia sono entrambi gi, un cavo non collegato o
qualche altro problema di interfaccia esiste. Ad esempio, in una connessione back-toback, l'altra estremit del collegamento pu essere amministrativo gi. Se
l'interfaccia amministrativamente gi, stato disabilitato manualmente ( stato
emesso il comando shutdown) nella configurazione attiva.La figura 2 mostra un
esempio di output comando show interfacce. L'esempio mostra i contatori e le
statistiche per l'interfaccia FastEthernet0 / 1.Alcuni errori dei media non sono
abbastanza grave da provocare il circuito di fallire, ma non causano problemi di
prestazioni di rete. Figura 3 illustra alcuni di questi errori comuni che possono essere
rilevati con con il comando show interfaces."Errori di ingresso" la somma di tutti gli
errori di datagrammi che sono stati ricevuti sull'interfaccia esaminata. Questo include
runts, giganti, CRC, senza tampone, struttura, invasa, e conteggi ignorati. Gli errori di
immissione rilevati dal comando show interfaces sono i seguenti: Runt Frames frame Ethernet che sono pi brevi del minimo consentito lunghezza di 64 byte sono
chiamati runts. NIC Malfunzionamento sono i soliti causa di eccessive telai runt, ma
possono essere causati da gli stessi problemi collisioni eccessivi. Giants - frame
Ethernet che sono pi lungo della lunghezza massima consentita sono chiamati
giganti. Giganti sono causati dagli stessi problemi come quelli che causano runts.
errori CRC - On interfacce seriali e Ethernet, errori CRC solito indicano un errore del

supporto o via cavo. Le cause pi comuni includono interferenze elettriche,

collegamenti allentati o danneggiati, o utilizzando il tipo di cablaggio non corretto. Se
vedi molti errori CRC, c' troppo rumore sul link e si dovrebbe esaminare il cavo per
eventuali danni e la lunghezza. Si dovrebbe anche cercare e eliminare le fonti di
rumore, se possibile.
"Errori di uscita" la somma di tutti gli errori che hanno impedito la trasmissione finale
di datagrammi fuori dell'interfaccia che viene esaminata. Gli errori di uscita riportati
dal comando show interfaces sono i seguenti:
Collisioni - collisioni in operazioni di half-duplex sono del tutto normali e non si deve
preoccupare di loro, fino a quando si soddisfatti con le operazioni half-duplex.
Tuttavia, non si dovrebbe mai vedere collisioni in una rete ben progettato e configurato
che utilizza la comunicazione full-duplex. Si consiglia vivamente di utilizzare fullduplex a meno che non si dispone di et superiore o apparecchiature legacy che
richiede half-duplex.
collisioni in ritardo - Una collisione in ritardo si riferisce a una collisione che si verifica
dopo 512 bit del frame sono stati trasmessi. Lunghezze di cavo eccessive sono la
causa pi comune di collisioni in ritardo. Un'altra causa comune la configurazione
errata duplex. Ad esempio, si potrebbe avere una estremit di una connessione
progettata per full-duplex e l'altro per half-duplex. Si potrebbe vedere le collisioni in
ritardo sull'interfaccia che si configura per half-duplex. In tal caso, necessario
configurare la stessa impostazione duplex su entrambe le estremit. Una rete
correttamente progettato e configurato non dovrebbe mai avere collisioni in ritardo.
La maggior parte delle questioni che riguardano una rete commutata si incontrano
durante l'implementazione originale. Teoricamente, dopo l'installazione, una rete
continua a funzionare senza problemi. Tuttavia, il cablaggio viene danneggiato,
configurazioni cambiano, ei nuovi dispositivi sono collegati allo switch che richiedono
modifiche alla configurazione interruttore. necessaria la manutenzione continua e la
risoluzione dei problemi delle infrastrutture di rete.Per risolvere questi problemi
quando si dispone di alcuna connessione o una cattiva connessione tra uno switch e
un altro dispositivo, seguire questo processo generale:Utilizzare il comando show
interface per controllare lo stato di interfaccia.Se l'interfaccia gi: Controllare per
assicurarsi che vengono utilizzati i cavi adatti. Inoltre, verificare che il cavo ei
connettori per i danni. Se un cavo difettoso o non corretto si sospetta, sostituire il
cavo. Se l'interfaccia ancora gi, il problema potrebbe essere dovuto a una
mancata corrispondenza tra impostazione della velocit. La velocit di interfaccia
tipicamente auto-negoziata; Pertanto, anche se viene configurato manualmente su
un'interfaccia, l'interfaccia di collegamento deve negoziazione automatica di
conseguenza. Se una mancata corrispondenza di velocit si verifica attraverso errori di
configurazione o di un problema hardware o software, quindi che pu comportare
l'interfaccia va gi. Manualmente impostare la stessa velocit di connessione su
entrambi termina se si sospetta un problema.Se l'interfaccia attiva, ma i problemi di
connettivit sono ancora presenti: Utilizzando il comando show interface, verificare le
indicazioni di rumore eccessivo. Indicazioni possono includere un aumento dei
contatori per runts, giganti, e gli errori CRC. Se c' rumore eccessivo, prima trovare e
rimuovere la fonte del rumore, se possibile. Inoltre, verificare che il cavo non superi la
lunghezza massima e controllare il tipo di cavo che viene utilizzato. Per il cavo di
rame, si consiglia di utilizzare almeno di categoria 5. Se il rumore non un problema,
verificare le collisioni eccessive. Se ci sono collisioni o collisioni fine, verificare le
impostazioni duplex su entrambe le estremit della connessione. Proprio come la
velocit, l'impostazione duplex di solito auto-negoziato. Se ci sembra essere una
mancata corrispondenza duplex, impostare manualmente il duplex su entrambi
termina collegamento. Si raccomanda di utilizzare full duplex se entrambe le parti lo
supportano.

Secure Remote Access

Secure Shell (SSH) un protocollo che fornisce un sicuro (criptato) collegamento di
gestione a un dispositivo remoto. SSH dovrebbe sostituire Telnet per le connessioni di
gestione. Telnet un protocollo precedente che utilizza la trasmissione in chiaro
insicuro sia l'autenticazione di accesso (username e password) ed i dati trasmessi tra i
dispositivi di comunicazione. SSH fornisce protezione per le connessioni remote,
fornendo crittografia forte quando un dispositivo viene autenticato (username e
password) e anche per i dati trasmessi tra i dispositivi di comunicazione. SSH
assegnato alla porta TCP 22. Telnet assegnato alla porta TCP 23.Nella figura 1, un
utente malintenzionato pu monitorare i pacchetti con Wireshark. Un flusso Telnet pu
essere mirata a catturare il nome utente e la password.Nella figura 2, l'attaccante in
grado di catturare il nome utente e la password dell'amministratore della sessione
Telnet testo in chiaro.La figura 3 mostra la vista Wireshark di una sessione SSH.
L'attaccante in grado di monitorare la sessione utilizzando l'indirizzo IP del dispositivo
dell'amministratore.Tuttavia, in figura 4, nome utente e password sono criptate.Per
abilitare SSH su uno switch Catalyst 2960, l'interruttore deve essere utilizzando una
versione del software IOS inclusi crittografia (criptato) caratteristiche e funzionalit.
Nella Figura 5, utilizzare il comando show version l'interruttore per vedere quale IOS
l'interruttore in esecuzione, e IOS nome del file che include la combinazione "k9"
sostiene di crittografia (criptato) caratteristiche e funzionalit.
Prima di configurare SSH, l'interruttore deve essere minimamente configurato con un
nome host unico e le impostazioni di connettivit di rete corrette.Fase 1. Verificare il
supporto SSH.Utilizzare il comando show ip ssh per verificare che lo switch supporta
SSH. Se l'interruttore non in esecuzione un IOS che supporta funzioni di crittografia,
questo comando riconosciuto.Punto 2. Configurare il dominio IP.Configurare il nome
di dominio IP della rete utilizzando l'ip domain-name domain-name comando modalit
di configurazione globale. Nella figura 1, il valore dei nomi di dominio cisco.com.Fase
3. Generare coppie di chiavi RSA.Non tutte le versioni del difetto IOS a SSH versione 2,
e SSH versione 1 ha conosciuto problemi di sicurezza. Per configurare SSH versione 2,
rilascia la versione 2 di comando modalit di configurazione globale ip ssh.
Generazione automatica di una coppia di chiavi RSA abilita SSH. Utilizzare il tasto di
crittografia generare rsa globale comando modalit di configurazione per abilitare il
server SSH sullo switch e generare una coppia di chiavi RSA. Durante la generazione di
chiavi RSA, l'amministratore viene richiesto di immettere una lunghezza modulo. Cisco
consiglia una dimensione minima modulo di 1024 bit (vedere la configurazione di
esempio nella figura 1). Una lunghezza del modulo pi lungo pi sicuro, ma ci vuole
pi tempo per generare e utilizzare.Nota: Per eliminare la coppia di chiavi RSA,
utilizzare la chiave di crittografia zeroize rsa comando globale modalit di
configurazione. Dopo la coppia di chiavi RSA viene eliminata, il server SSH
disabilitato automaticamente.Passo 4. Configurare l'autenticazione utente.Il server
SSH pu autenticare gli utenti localmente o tramite un server di autenticazione. Per
utilizzare il metodo di autenticazione locale, creare un nome utente e password coppia
utilizzando la password segreta comando di modalit di configurazione globale nome
utente nome utente. Nell'esempio, l'amministratore utente viene assegnato il CCNA
password.Passo 5. Configurare le linee vty.Abilitare il protocollo SSH sulle linee vty
utilizzando il comando modalit di configurazione linea ssh ingresso trasporti. Il
Catalyst 2960 ha linee vty vanno da 0 a 15. Questa configurazione impedisce non-SSH
(come Telnet) connessioni e limita l'interruttore per accettare solo connessioni SSH.
Utilizzare il comando modalit di configurazione globale linea vty e quindi il comando
di modalit di configurazione della linea di accesso locale per richiedere
l'autenticazione locale per le connessioni SSH dal database nome utente locale.Punto
6. Abilita SSH versione 2.Per impostazione predefinita, SSH supporta entrambe le
versioni 1 e 2. Nel sostenere entrambe le versioni, questo viene mostrato nell'output
ssh show ip a supportare la versione 1.99. Versione 1 ha conosciuto vulnerabilit. Per

questo motivo, si consiglia di abilitare solo la versione 2. Attivare versione SSH

utilizzando il comando di configurazione globale ip ssh versione 2.Utilizzare il
correttore di sintassi nella Figura 2 per configurare SSH su interruttore S1.
Security Concerns Lans
Sicurezza interruttore di base non si ferma attacchi dannosi. La sicurezza un
processo pi livelli che sostanzialmente mai completa. Il pi consapevole il team di
professionisti di networking all'interno di un'organizzazione sono per quanto riguarda
gli attacchi alla sicurezza e dei pericoli che essi comportano, meglio . Alcuni tipi di
attacchi alla sicurezza sono descritte qui, ma i dettagli di come alcuni di questi
attacchi lavori vanno oltre lo scopo di questo corso. Per informazioni pi dettagliate si
trova nel corso CCNA protocolli WAN e il corso CCNA Security.MAC Address
InondazioniLa tabella degli indirizzi MAC in uno switch contiene gli indirizzi MAC
associati a ciascuna porta fisica e la VLAN associata per ogni porta. Quando uno switch
di livello 2 riceve un frame, lo switch appare nella tabella di indirizzo MAC per
l'indirizzo MAC di destinazione. Tutti i modelli di switch Catalyst utilizzano una tabella
indirizzo MAC per switching Layer 2. Come fotogrammi arrivano alle porte degli switch,
gli indirizzi MAC di origine vengono registrati nella tabella degli indirizzi MAC. Se esiste
una voce per l'indirizzo MAC, lo switch inoltra il frame alla porta corretta. Se l'indirizzo
MAC non esiste nella tabella degli indirizzi MAC, l'interruttore inonda il telaio da ogni
porta dello switch, eccetto la porta in cui stato ricevuto il frame.Il comportamento
indirizzo MAC flooding di un interruttore per indirizzi sconosciuti pu essere usato per
attaccare un interruttore. Questo tipo di attacco chiamato indirizzo MAC tavolo
overflow. MAC attacchi di overflow tabella degli indirizzi sono a volte indicato come
attacchi flooding MAC, e attacchi di overflow del tavolo CAM. Le figure mostrano come
questo tipo di attacco funziona.Nella figura 1, l'host A invia il traffico per ospitare B. Lo
switch riceve i frame e cerca l'indirizzo MAC di destinazione nella sua tabella degli
indirizzi MAC. Se l'interruttore non riesce a trovare la destinazione MAC nella tabella
degli indirizzi MAC, l'interruttore quindi copia il telaio e le inondazioni (diffusione) fuori
ogni porta switch, tranne il porto dove stato ricevuto.Nella figura 2, l'host B riceve il
frame e invia una risposta per ospitare A. Lo switch poi viene a sapere che l'indirizzo
MAC per l'host B si trova sulla porta 2 e registra le informazioni nella tabella degli
indirizzi MAC.Host C riceve anche il telaio dall'host A all'host B, ma perch l'indirizzo
MAC destinazione del telaio l'host B, ospite C gocce che fanno da cornice.Come
mostrato in figura 3, ogni frame inviato dall'host A (o qualsiasi altro host) per ospitare
B vengono inoltrate alla porta 2 dello switch e non trasmessi fuori ogni porta.Tabelle di
indirizzi MAC sono limitati in termini di dimensioni. Attacchi inondazioni MAC fanno uso
di questa limitazione di travolgere l'interruttore con sorgente falso indirizzi MAC fino al
tavolo interruttore indirizzo MAC completo.
Come mostrato in figura 4, un utente malintenzionato di accoglienza C pu inviare
frame con falsi, di origine e destinazione generata a caso indirizzi MAC allo switch. Lo
switch aggiorna la tabella degli indirizzi MAC con le informazioni nei telai falsi. Quando
la tabella indirizzo MAC piena di indirizzi MAC falsi, l'interruttore entra in quella che
conosciuta come modalit fail-open. In questa modalit, lo switch trasmette tutti i
fotogrammi a tutte le macchine della rete. Come risultato, l'attaccante pu vedere
tutti i fotogrammi. Alcuni strumenti di attacco di rete in grado di generare fino a
155.000 voci MAC su un interruttore per minuto. A seconda del commutatore, il MAC
dimensione massima tabella degli indirizzi varia. Come mostrato in figura 5, fino a
quando la tabella degli indirizzi MAC l'interruttore rimane piena, le trasmissioni
commutare tutti ricevuti fotogrammi su ciascuna porta. In questo esempio, frame
inviati dall'host A all'host B sono anche trasmessi fuori dal porto 3 dello switch e visti
da l'attaccante a Host C. Un modo per mitigare MAC attacchi di overflow del tavolo
indirizzo quello di configurare la sicurezza del porto.

DHCP il protocollo che assegna automaticamente un host un indirizzo IP valido su un

pool DHCP. DHCP stato in uso per quasi tutto il tempo come TCP / IP stato il
protocollo principale utilizzato nell'industria per l'assegnazione degli indirizzi IP dei
clienti. Due tipi di attacchi DHCP possono essere eseguiti contro una rete commutata:
gli attacchi di fame DHCP e spoofing DHCP.
Negli attacchi di fame DHCP, un aggressore inonda il server DHCP con le richieste
DHCP per utilizzare tutto lo IP disponibile indirizzi che il server DHCP pu emettere.
Dopo questi indirizzi IP vengono rilasciati, il server non pu emettere pi indirizzi, e
questa situazione produce un (DoS) attacco denial-of-service, come i nuovi clienti non
possono ottenere l'accesso alla rete. Un attacco DoS un attacco che viene utilizzato
per sovraccaricare i dispositivi specifici e servizi di rete con il traffico illecito,
impedendo in tal modo il traffico legittimo di raggiungere tali risorse.
In attacchi di spoofing DHCP, un utente malintenzionato di configurare un server DHCP
falso sulla rete di emettere gli indirizzi IP ai client. La ragione normale per questo tipo
di attacco quello di forzare i client per utilizzare falso Domain Name System (DNS) o
Windows Internet Naming Service (WINS) server e per permettere ai clienti utilizzano
l'attaccante, o di una macchina sotto il controllo dell'attaccante, come loro Gateway
predefinito.
Inedia DHCP viene spesso utilizzato prima di un attacco spoofing DHCP di negare il
servizio al server DHCP legittimo, rendendo pi facile l'introduzione di un server DHCP
falso nella rete.
Per mitigare gli attacchi DHCP, utilizzare la snooping DHCP e le caratteristiche di
sicurezza del porto sulle switch Cisco Catalyst. Queste caratteristiche sono coperti in
un argomento pi tardi.
Cisco Discovery Protocol (CDP) un protocollo proprietario che tutti i dispositivi di
Cisco possono essere configurati per utilizzare. CDP rileva altri dispositivi Cisco che
sono direttamente collegati, che permette ai dispositivi di configurazione automatica
la loro connessione. In alcuni casi, questo semplifica la configurazione e
connettivit.Per impostazione predefinita, la maggior parte dei router e switch Cisco
hanno CDP-abilitato su tutte le porte. Informazioni CDP viene inviata in periodici,
trasmissioni in chiaro. Queste informazioni vengono aggiornate a livello locale nel
database CDP di ogni dispositivo. Perch CDP un protocollo di livello 2, i messaggi
CDP non vengono propagate da router.CDP contiene informazioni sul dispositivo, come
ad esempio l'indirizzo IP, la versione del software, la piattaforma, le capacit, e la
VLAN nativa. Queste informazioni possono essere utilizzate da un utente
malintenzionato di trovare il modo di attaccare la rete, in genere sotto forma di un
(DoS) attacco denial-of-service.La figura una porzione di una cattura Wireshark che
mostra il contenuto di un pacchetto CDP. La versione del software Cisco IOS scoperto
tramite CDP, in particolare, permetterebbe al malintenzionato di determinare se ci
fossero eventuali vulnerabilit di sicurezza specifiche per quella particolare versione di
IOS. Inoltre, poich la CDP non autenticato, un utente malintenzionato potrebbe
creare falsi pacchetti CDP e inviarli ad un dispositivo di Cisco direttamente collegati.Si
consiglia di disattivare l'utilizzo di CDP su dispositivi o porte che non hanno bisogno di
usarlo tramite il comando modalit di configurazione globale no cdp eseguire. CDP pu
essere attivato per una base per porta.

Attacchi TelnetIl protocollo Telnet insicuro e pu essere utilizzato da un utente

malintenzionato di ottenere l'accesso remoto a un dispositivo di rete Cisco. Ci sono
strumenti a disposizione che consentono a un utente malintenzionato di lanciare una
password di cracking attacco di forza bruta contro le linee vty dello switch.Brute Force
password attaccoLa prima fase di un attacco di forza bruta della password inizia con
l'attaccante con un elenco di password comuni e un programma progettato per
cercare di stabilire una sessione Telnet utilizzando ogni parola della lista dizionario. Se
la password non viene scoperto dalla prima fase, inizia una seconda fase. Nella
seconda fase di un attacco di forza bruta, l'attaccante utilizza un programma che crea
combinazioni di caratteri in sequenza, nel tentativo di indovinare la password. Dato
abbastanza tempo, un attacco di forza bruta della password pu rompere quasi tutte
le password utilizzate.Per mitigare contro gli attacchi brute force utilizzare password
complesse che vengono cambiati spesso. Una password deve avere un mix di lettere
maiuscole e minuscole e deve includere numeri e simboli (caratteri speciali). L'accesso
alle linee vty pu anche essere limitato utilizzando un elenco di controllo di accesso
(ACL).Telnet DoS AttaccoTelnet pu anche essere usato per lanciare un attacco DoS. In
un attacco DoS Telnet, l'attaccante sfrutta una falla nel software del server Telnet in
esecuzione sullo switch che rende il servizio Telnet non disponibile. Questo tipo di
attacco impedisce un responsabile di accedere da remoto le funzioni di gestione
switch. Questo pu essere combinato con altri attacchi diretti sulla rete come parte di
un tentativo coordinato per evitare che l'amministratore di rete di accedere a
dispositivi di base durante la breccia.Alcune vulnerabilit nel il servizio Telnet che
permettono attacchi DoS a verificarsi sono di solito affrontate in patch di sicurezza che
sono inclusi nelle nuove versioni Cisco IOS.
Difendere la rete da attacchi richiede vigilanza e l'istruzione. Di seguito sono le
migliori pratiche per la protezione di una rete: Sviluppare una politica di sicurezza
scritta per l'organizzazione. Chiudete i servizi non utilizzati e le porte. Utilizzare
password complesse e cambiarle spesso. Controllo fisico accesso ai dispositivi.
Evitare l'uso di siti HTTP insicure standard, in particolare per gli schermi d'accesso;
invece utilizzare il HTTPS pi sicuro. Eseguire backup e testare i file di backup su base
regolare. Educare i dipendenti circa attacchi di ingegneria sociale, e sviluppare
politiche per convalidare le identit per telefono, via e-mail, e di persona.
Crittografare e proteggere con password i dati sensibili. Implementare hardware e
software per la sicurezza, quali firewall. Aggiornamento del software aggiornato
mediante l'installazione di patch di sicurezza settimanale o giornaliera, se
possibile.Questi metodi sono solo un punto di partenza per la gestione della sicurezza.
Le organizzazioni devono rimanere vigili in ogni momento per la difesa contro le
minacce in continua evoluzione. Utilizzare strumenti di sicurezza di rete per misurare
la vulnerabilit della rete attuale.
Strumenti di sicurezza di rete aiutano un amministratore di rete testare una rete di
punti deboli. Alcuni strumenti consentono all'amministratore di assumere il ruolo di un
attaccante. Utilizzando uno di questi strumenti, un amministratore pu lanciare un
attacco contro la rete e verificare i risultati per determinare come regolare le politiche
di sicurezza per limitare tali tipi di attacchi. Controllo di sicurezza e test di
penetrazione sono due funzioni di base che gli strumenti di sicurezza di rete di
eseguire. Tecniche di test di sicurezza di rete possono essere avviate manualmente
dall'amministratore. Altri test sono altamente automatizzati. Indipendentemente dal
tipo di test, il personale che imposta e conduce il test di sicurezza deve avere una
vasta conoscenza della sicurezza e il networking. Ci include competenze nei seguenti
settori: Sicurezza della rete firewall sistemi di prevenzione delle intrusioni
Sistemi operativi Programmazione protocolli di rete (ad esempio TCP / IP)
Strumenti di sicurezza di rete consentono un amministratore di rete per eseguire una
verifica della sicurezza di una rete. Un controllo di sicurezza rivela il tipo di

informazioni un attaccante in grado di raccogliere semplicemente il traffico di rete di

monitoraggio.Ad esempio, gli strumenti di controllo della sicurezza di rete consentono
all'amministratore di inondare la tabella degli indirizzi MAC con indirizzi MAC fittizi.
Questo seguito da una verifica delle porte switch come l'interruttore inizia traffico
allagamento di tutte le porte. Nel corso del controllo, i legittimi mapping degli indirizzi
MAC sono invecchiati e sostituiti con fittizi mapping degli indirizzi MAC. Questo
determina quali porte sono compromessi e non configurate correttamente per
prevenire questo tipo di attacco.Timing un fattore importante alle procedure di
revisione correttamente. Interruttori diversi supportano un numero variabile di indirizzi
MAC nella loro tabella MAC. Pu essere difficile determinare la quantit ideale di
indirizzi MAC contraffatti inviare allo switch. Un amministratore di rete deve anche fare
i conti con il periodo di et fuori dalla tabella degli indirizzi MAC. Se gli indirizzi MAC
contraffatti iniziano a invecchiare fuori durante l'esecuzione di un controllo della rete,
gli indirizzi MAC validi iniziano a popolare la tabella degli indirizzi MAC, e limitare i dati
che possono essere monitorati con uno strumento di controllo della rete.Strumenti di
sicurezza di rete possono essere utilizzati anche per test di penetrazione contro una
rete. Test di penetrazione un attacco simulato contro la rete per determinare la
vulnerabilit sarebbe in un vero e proprio attacco. Questo consente a un
amministratore di rete per identificare le debolezze all'interno della configurazione di
dispositivi di rete e di apportare modifiche per rendere i dispositivi pi resistenti agli
attacchi. Ci sono numerosi attacchi che un amministratore pu eseguire, e la maggior
parte suite di strumenti sono dotati di un'ampia documentazione in dettaglio la
sintassi necessaria per eseguire l'attacco desiderato.Poich i test di penetrazione
possono avere effetti negativi sulla rete, vengono effettuate in condizioni molto
controllate, a seguito di procedure documentate descritti in una politica globale di
sicurezza di rete. Un test di rete letto off-line che simula la rete di produzione effettiva
l'ideale. La rete di banco di prova pu essere utilizzato dal personale di rete per
eseguire test di penetrazione della rete.
Disattiva porte inutilizzate Un metodo semplice che molti amministratori usano per
proteggere la rete da accessi non autorizzati quello di disattivare tutte le porte
inutilizzate su un interruttore. Ad esempio, se uno switch Catalyst 2960 dispone di 24
porte e ci sono tre connessioni Fast Ethernet in uso, buona norma disattivare le 21
porte non utilizzate. Passare a ogni porta inutilizzata e il comando shutdown Cisco IOS.
Se una porta deve successivamente essere riattivata, pu essere attivato con il
comando no shutdown. La figura mostra un output parziale per questa configurazione.
E 'semplice da fare modifiche alla configurazione di pi porte su un interruttore. Se
deve essere configurato un intervallo di porte, utilizzare il comando gamma di
interfaccia. Switch (config) # interfaccia del modulo tipo gamma / primo-number ultimo numero Il processo di attivazione e disattivazione porte pu richiedere molto
tempo, ma migliora la sicurezza della rete, ed valsa la pena.
Snooping DHCP una funzionalit Cisco Catalyst che determina quali porte switch in
grado di rispondere alle richieste DHCP. Le porte sono identificate come sicure e non
sicure. Porte attendibili possono fonte tutti i messaggi DHCP; porte non attendibili
possono fonte solo le richieste. Porte attendibili ospitare un server DHCP o pu essere
un uplink verso il server DHCP. Se un dispositivo non autorizzato su una porta non
attendibile tenta di inviare un pacchetto di risposta DHCP nella rete, la porta chiusa.
Questa funzione pu essere accoppiato con le opzioni DHCP in cui passano le
informazioni, come ad esempio l'ID porto della richiesta DHCP, pu essere inserito nel
pacchetto di richiesta DHCP.Come mostrato nelle figure 1 e 2, le porte non attendibili
sono quelli non esplicitamente configurato come attendibile. Una tabella vincolante
DHCP costruito per le porte non attendibili. Ogni voce contiene un indirizzo MAC del
client, indirizzo IP, tempo di lease, tipo di rilegatura, il numero VLAN, e ID porto
registrate come clienti fanno richieste DHCP. La tabella viene poi utilizzato per filtrare
il traffico successivo DHCP. Da un punto di vista snooping DHCP, le porte di accesso
non attendibili non devono inviare tutte le risposte del server DHCP.Questi passaggi

illustrano come configurare DHCP snooping su una switch Catalyst 2960:Fase 1. Abilita
DHCP snooping utilizzando il DHCP IP snooping comando globale modalit di
configurazione.Fase 2. Abilita DHCP snooping per le VLAN specifiche che utilizzano il
DHCP IP snooping comando numero vlan.Fase 3. Definire i porti di fiducia a livello di
interfaccia, definendo le porte di fiducia con il DHCP IP snooping comando di
fiducia.Punto 4. (Opzionale) Limitare la velocit con cui un utente malintenzionato pu
continuamente inviare richieste DHCP fasulle attraverso le porte non attendibili al
server DHCP utilizzando il DHCP IP snooping comando tasso tasso limite.
Port SecurityTutte le porte switch (interfacce) devono essere fissati prima l'interruttore
distribuito per l'uso in produzione. Un modo per proteggere i porti implementando
una funzionalit denominata sicurezza dei porti. Sicurezza del porto limita il numero di
validi indirizzi MAC consentiti su una porta. Gli indirizzi MAC dei dispositivi legittimi
consentito l'accesso, mentre altri indirizzi MAC sono negati.Sicurezza del porto pu
essere configurato per consentire uno o pi indirizzi MAC. Se il numero di indirizzi MAC
consentiti sulla porta limitato a uno, poi solo il dispositivo con tale indirizzo MAC
specifico pu connettersi alla porta.Se una porta configurata come porta protetta e
viene raggiunto il numero massimo di indirizzi MAC, eventuali altri tentativi di
connettersi da indirizzi MAC sconosciuti generer una violazione della sicurezza. La
Figura 1 riassume questi punti.Sicuro Tipo indirizzo MACCi sono un certo numero di
modi per configurare la sicurezza del porto. Il tipo di indirizzo sicuro si basa sulla
configurazione e comprende: indirizzi MAC statici sicuri - indirizzi MAC configurati
manualmente su una porta utilizzando il comando modalit di configurazione
interfaccia mac-address mac-address switchport port-security. Indirizzi MAC configurati
in questo modo vengono memorizzati nella tabella di indirizzi e vengono aggiunti alla
configurazione in esecuzione sullo switch. dinamici protetti indirizzi MAC - indirizzi
MAC che sono apprese e memorizzate solo nella tabella degli indirizzi in modo
dinamico. Indirizzi MAC configurati in questo modo vengono rimossi quando
l'interruttore viene riavviato. Indirizzi Sticky sicuri MAC - indirizzi MAC che possono
essere apprese in modo dinamico o manualmente configurati, quindi memorizzati
nella tabella degli indirizzi e aggiunti alla configurazione in esecuzione.Sticky indirizzi
MAC SicuroPer configurare un'interfaccia per convertire appreso dinamicamente gli
indirizzi MAC per appiccicoso indirizzi MAC sicure e aggiungere alla configurazione in
esecuzione, necessario abilitare l'apprendimento appiccicoso. Apprendimento Sticky
abilitato su un'interfaccia utilizzando il comando switchport modalit di
configurazione interfaccia appiccicoso mac-address port-security.Quando si entra in
questo comando, lo switch converte tutti gli indirizzi MAC appresi dinamicamente,
compresi quelli che sono stati appreso dinamicamente prima di apprendimento
appiccicoso stata attivata, per appiccicoso indirizzi MAC sicure. Tutti gli indirizzi MAC
sicure adesive vengono aggiunti alla tabella degli indirizzi e alla configurazione in
esecuzione.Indirizzi MAC sicure Sticky possono anche essere definiti manualmente.
Quando gli indirizzi MAC sicuri appiccicosi vengono configurati utilizzando il macaddress mac-address comando modalit di configurazione interfaccia appiccicoso
porta-sicurezza dello switchport, tutti gli indirizzi specificati vengono aggiunti alla
tabella degli indirizzi e la configurazione in esecuzione.Se gli indirizzi MAC sicuri
adesive vengono salvate nel file di configurazione di avvio, poi quando l'interruttore
riavvio o l'interfaccia si spegne, l'interfaccia non ha bisogno di imparare di nuovo gli
indirizzi. Se gli indirizzi sicuri appiccicosi non vengono salvati, saranno persi.Se
l'apprendimento appiccicoso disabilitato utilizzando il mac-address interfaccia
appiccicoso comando no switchport modalit di configurazione della porta-sicurezza,
gli indirizzi MAC sicuri appiccicose rimangono parte della tabella degli indirizzi, ma
vengono rimossi dalla configurazione in esecuzione.La figura 2 mostra le
caratteristiche di indirizzi MAC protetti appiccicose.Si noti che funzionalit di sicurezza
dei porti non funzioner fino a quando la sicurezza del porto abilitata sull'interfaccia
con il comando switchport port-security.

Si tratta di una violazione della sicurezza quando si verifica una di queste situazioni: Il
numero massimo di indirizzi MAC protetti sono stati aggiunti alla tabella di indirizzi per
l'interfaccia, e una stazione il cui indirizzo MAC non nella tabella di indirizzi tenta di
accedere all'interfaccia. Un indirizzo imparato o configurato su un'interfaccia sicura
visto su un'altra interfaccia sicura nella stessa VLAN.L'interfaccia pu essere
configurata per una delle tre modalit di violazione, specificando le azioni da
intraprendere in caso di violazione. La figura presenta quali tipi di traffico dati vengono
inoltrati quando una delle seguenti modalit di violazione della sicurezza sono
configurati su una porta: Proteggere - Quando il numero di indirizzi MAC sicuri
raggiunge il limite consentito sulla porta, i pacchetti con indirizzi di origine sconosciuti
vengono eliminati fino a quando un numero sufficiente di indirizzi MAC sicuri vengono
rimossi, o il numero di indirizzi massimi ammessi aumentato. Non vi alcuna notifica
che si verificata una violazione della sicurezza. Limita - Quando il numero di indirizzi
MAC sicuri raggiunge il limite consentito sulla porta, i pacchetti con indirizzi di origine
sconosciuti vengono eliminati fino a quando un numero sufficiente di indirizzi MAC
sicuri vengono rimossi, o il numero di indirizzi massimi ammessi aumentato. In
questo modo, vi una notifica che si verificata una violazione della sicurezza.
Arresto - In questa modalit violazione (di default), una violazione della sicurezza
portuale causa l'interfaccia per diventare immediatamente errori disabili e si spegne il
LED del porto. Si incrementa il contatore violazione. Quando una porta protetta in
stato di errore disabilitata, esso pu essere portato fuori da questo stato inserendo
l'arresto e l'arresto alcuna interfaccia comandi Mode configurazione.Per cambiare la
modalit di violazione su una porta dello switch, utilizzare la violazione porta-sicurezza
dello switchport {proteggere | limitare | shutdown} comando modalit di
configurazione interfaccia.
Verifica di sicurezza della portaDopo aver configurato la sicurezza porta su uno switch,
verificare ciascuna interfaccia per verificare che la sicurezza del porto impostato
correttamente, e controllare che gli indirizzi MAC statici sono stati configurati
correttamente.Verifica delle impostazioni di sicurezza della portaPer visualizzare le
impostazioni di sicurezza del porto per lo switch o per l'interfaccia specificata,
utilizzare lo spettacolo porta-sicurezza [Interfaccia-id] comando. L'uscita per la
configurazione dinamica di sicurezza del porto mostrato in Figura 1. Per
impostazione predefinita, non vi un indirizzo MAC consentita su questa
porta.L'output mostrato nella Figura 2 mostra i valori per le impostazioni di protezione
porta appiccicose. Il numero massimo di indirizzi impostato a 50, come
configurato.Nota: L'indirizzo MAC identificato come un MAC appiccicoso.Indirizzi
appiccicoso MAC vengono aggiunti alla tabella degli indirizzi MAC e alla configurazione
in esecuzione. Come mostrato in figura 3, il MAC appiccicoso per PC2 stato aggiunto
alla configurazione corsa per S1.Verificare sicure indirizzi MACPer visualizzare tutti gli
indirizzi MAC sicuri configurati su tutte le interfacce switch o su un'interfaccia
specificata con informazioni di invecchiamento per ciascuno, utilizzare il comando
show indirizzo della porta-sicurezza. Come mostrato in figura 4, gli indirizzi MAC
protetti sono elencati con i tipi.
Quando una porta configurato con sicurezza dei porti, una violazione pu causare la
porta a diventare errore disabilitata. Quando una porta viene disattivata errore, si
effettivamente arrestato e senza traffico viene inviato o ricevuto su quella porta. Una
serie di messaggi relativi alla sicurezza portuale visualizzare sulla console (Figura
1).Nota: Il protocollo porta e lo stato collegamento cambiato in gi.Il LED della porta
si spegne. Il comando show interfaces identifica lo stato della porta come err-disabili
(Figura 2). L'output del comando dell'interfaccia porto-sicurezza mostra ora mostra lo
stato della porta pi sicuro spegnimento. Poich la modalit di violazione di sicurezza
del porto impostata l'arresto, il porto con la violazione della sicurezza passa allo
stato di errore disabilitato.L'amministratore deve determinare cosa ha causato la
violazione della sicurezza prima di riabilitare il porto. Se un dispositivo non autorizzato
collegato ad una porta protetta, la porta non deve essere riattivato finch la

minaccia di sicurezza eliminato. Per riattivare la porta, utilizzare il comando di

modalit di configurazione interfaccia di arresto (Figura 3). Quindi, utilizzare il
comando no configurazione dell'interfaccia di arresto per rendere il porto operativo.
Avere il tempo corretto all'interno di reti importante. Correggere timestamp sono
tenuti a monitorare con precisione gli eventi di rete, come le violazioni di sicurezza.
Inoltre, la sincronizzazione dell'orologio fondamentale per la corretta interpretazione
di eventi in file di dati syslog nonch per i certificati digitali.Network Time Protocol
(NTP) un protocollo utilizzato per sincronizzare gli orologi dei sistemi informatici
sopra, reti di dati a latenza variabile a commutazione di pacchetto. NTP consente ai
dispositivi di rete di sincronizzare le impostazioni dell'ora con un server NTP. Un gruppo
di clienti NTP che ottengono le informazioni sulla data da un'unica fonte avr
impostazioni di tempo pi consistenti.Un metodo sicuro di fornire clock per la rete
per gli amministratori di rete di implementare i propri maestri orologi rete privata,
sincronizzati UTC, tramite satellite o radio. Tuttavia, se gli amministratori di rete non
desiderano implementare le proprie maestri orologi a causa dei costi o per altri motivi,
altre fonti di clock sono disponibili su Internet. NTP pu ottenere il tempo corretto da
un'origine ora interna o esterna tra cui le seguenti: master clock locale Master clock
su Internet GPS o orologio atomicoUn dispositivo di rete pu essere configurato come
un server NTP o un client NTP. Per consentire l'orologio software da sincronizzare con
un server NTP, utilizzare il server comando ip-indirizzo ntp in modalit di
configurazione globale. Un esempio di configurazione illustrata nella Figura 1. Router
R2 configurato come client NTP, mentre router R1 funge da server NTP
autorevole.Per configurare un dispositivo ad avere un master clock NTP al quale
coetanei possono sincronizzare se stessi, utilizzare il comando principale NTP [strato]
in modalit di configurazione globale. Il valore strato un numero da 1 a 15 ed indica
il numero strato NTP che il sistema rivendicazione. Se il sistema configurato come un
maestro NTP e non viene specificato alcun numero di strato, questo verr impostato a
strato 8. Se il master NTP non pu raggiungere qualsiasi orologio con un numero strato
inferiore, il sistema pretendere di essere sincronizzato al numero strato configurato, e
altri sistemi saranno disposti a sincronizzarsi utilizzando NTP.La figura 2 mostra la
verifica di NTP. Per visualizzare lo stato delle associazioni NTP, utilizzare il comando
associazioni NTP spettacolo in modalit privilegiata EXEC. Questo comando indicare
l'indirizzo IP di tutti i dispositivi di pari che vengono sincronizzati a questo peer, peer
configurati staticamente, e il numero di falda. Il comando EXEC utente stato spettacolo
NTP pu essere utilizzato per visualizzare informazioni quali lo stato della
sincronizzazione NTP, il peer che il dispositivo sincronizzato, e in cui NTP Strata il
dispositivo in funzione.