Лабораторная по HSRP

Основная задача и предназначение данного протокола состоит в том, чтобы добиться практически 100% доступности и отказоустойчивости первого хопа от отправителя. Это достигается путем использования у двух или более маршрутизаторов или маршрутизирующих коммутаторов третьего уровня одного IP адреса и MAC адреса так называемого виртуального маршрутизатора.
Топология:

Настройка:
R1:

!
interface FastEthernet0/0
ip address 172.16.1.1 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
standby 1 ip 192.168.1.3
standby 1 priority 160
standby 1 preempt
standby 1 authentication md5 key-string cisco
standby 1 track FastEthernet0/0 50
!

R2:

!
interface FastEthernet0/0
ip address 172.16.1.2 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.1.2 255.255.255.0
standby 1 ip 192.168.1.3
standby 1 priority 170
standby 1 preempt
standby 1 authentication md5 key-string cisco
standby 1 track FastEthernet0/0 50
!

Проверяем:

Роутер с большим приоритетом (R2) является активным шлюзом, роутер с меньшим приоритетом (R1) находится в режиме ожидания.

Выключим интерфейс fa0/0 активного шлюза (R2), т.к. в настройке мы указали следить за этим интерфейсом и при его отказе понизить приоритет на 50.

Указанный в настройках параметр preempt позволяет роутеру перейти в активное состояние если его приоритет выше, чем у текущего активного роутера. После изменения приоритета, роутер R2 перешел в состояние ожидания, а R1 стал активным.

• Если бы параметр preemt не был использован, при смене приоритетов R2 все равно остался бы активным
• Значение приоритета HSRP на роутерах по умолчанию = 100.
• В таком примере один из роутеров в топологии простаивает, что не есть хорошо. Для распределения нагрузки между обоими роутерами можно создать вторую группу на тех же интерфейсах (т.е. два виртуальных шлюза). И затем половине компьютеров сети выдать один шлюз, половине - другой. Хотя если задача сводится к балансировке, правильнее использовать протокол GLBP.

Ссылки:

• http://ru.wikipedia.org/wiki/HSRP
• http://xgu.ru/wiki/HSRP
• http://xgu.ru/wiki/HSRP_в_Cisco

Лабораторка на Inter-VLAN Routing

Пример настройки Inter-VLAN Routing на маршрутизаторах/коммутаторах 3 уровня Cisco.

Пример настройки с использованием маршрутизатора:

R1:

R1(config)# interface fastethernet 0/0
R1(config-if)# no ip address
R1(config-if)# no shutdown

R1(config)# interface fastethernet 0/0.2
R1(config-if)# encapsulation dot1q 2
R1(config-if)# ip address 172.16.1.1 255.255.255.0

R1(config)# interface fastethernet 0/0.3
R1(config-if)# encapsulation dot1q 3
R1(config-if)# ip address 172.16.2.1 255.255.255.0

R1# copy running-config startup-config

S0:
S0(config)# vtp domain cisco

S0(config)# vlan 2
S0(config)# vlan 3

S0(config)# interface range fastethernet 0/1-3
S0(config-if)# switchport mode trunk

S0# copy running-config startup-config

Пример настройки с использованием коммутатора 3 уровня:

MS0:
MS0(config)# vtp domain cisco

MS0(config)# vlan 2
MS0(config)# vlan 3

MS0(config)# ip routing

MS0(config)# interface range fastethernet 0/1-2
MS0(config-if)# switchport trunk encapsulation dot1q
MS0(config-if)# switchport mode trunk

MS0(config)# interface vlan 2
MS0(config-if)# ip address 172.16.1.1 255.255.255.0

MS0(config)# interface vlan 3
MS0(config-if)# ip address 172.16.2.1 255.255.255.0

MS0# copy running-config startup-config

Пример настройки коммутаторов 2 уровня (одинаковая для обоих топологий):

S-1-2-3-4:

S(config)# interface range fastethernet 0/1
S(config-if)# switchport mode trunk

S(config)# interface range fastethernet 0/2
S(config-if)# switchport mode access
S(config-if)# switchport access vlan 2

S(config)# interface range fastethernet 0/2
S(config-if)# switchport mode access
S(config-if)# switchport access vlan 3

S# copy running-config startup-config

Проверяем конфигурацию:

PS Если мы создаем на роутере субинтерфейс для native vlan, то это нужно указать в настройке интерфейса
пример: R1(config-if)# encapsulation dot1q 2 native

RSTP (Rapid PVST+)

Протокол RSTP (802.1w) является усовершенствованным протоколом STP (802.1d). За счет уменьшения времени таймеров и отказа от некоторых состояний портов, сходимость RSTP при изменении топологии менее 10 секунд, в то время как у STP ~ 50 секунд.
В RSTP соединения подразделяются на три типа:

• Магистральные point-to-point
• Магистральные shared
• Периферийные (граничные)

Первые два - соединения между коммутаторами, последнее - соединения коммутаторов с конечными устройствами. 
Так же в дополнение к старым, вводятся новые роли портов.

• Alternate port - порт не корневого коммутатора являющийся наилучшей альтернативой текущему корневому порту.
• Backup port - не выделенный порт коммутатора, который подключен к тому же коллизионному домену, что и другие порты того же коммутатора (выбирается по номеру интерфейса - наивысший становится запасным).

Если коммутатор с RSTP перестает получать BPDU, то вместо 20 сек (age time в STP) он ждет всего 3 Hello интервала (по умолчанию 6 сек). Это позволяет быстрее обнаружить потерю пути к корневому коммутатору.

EtherChannel между коммутаторами - LACP.

EtherChannel позволяет объединить несколько физических соединений между двумя устройствами в виртуальные. Это дает нам прирост пропускной способности, защищает от возникновения петель 2 уровня и добавляет отказоустойчивости. EtherChannel может быть настроен статически (mode on) или же с использованием протоколов PAgP/LACP. Рассмотрим пример настройки etherchannel между двумя коммутаторами с использованием LACP:
Топология: 

Маленькое дополнение про Native VLAN.

Одно из отличий коммутаторов Cisco от коммутаторов других производителей, это введение так называемого Native VLAN. Что он из себе представляет?

Native VLAN - это влан к которому коммутатор относит все кадры идущие без тега, или кадры получаемые с не распределенных портов (портов которые явно не включены ни в один влан). То есть если коммутатор получает нетегированные кадры на транковом порту он автоматически причисляет их к Native VLAN. И точно так же кадры генерируемые с не распределенных портов при попадании в транк-порт причисляются к Native VLAN.

Продемонстрировать все это для наглядности можно все в том же Packet Tracer в режиме симуляции.

Лабораторка на vlan+vtp

Пример настройки VLAN с использованием Vlan Trunking Protocol на коммутаторах Cisco.

VLAN Trunking Protocol

VTP - проприетарный протокол Cisco применяемый для обмена информацией о vlan между коммутаторами. Упрощает работу системного администратора тем, что помогает согласовывать vlan-ы на коммутаторах тем самым предотвращая ошибки конфигурации "вручную", и динамически оповещать все коммутаторы управляемого домена об изменениях в конфигурации.

Альтернативный протокол, используемый другими вендорами - GVRP. 

VTP работает на trunk-интерфейсах. Существует три версии протокола VTP - 1, 2, 3. Для успешного обмена информацией все коммутаторы должны использовать одинаковую версию VTP. Сообщения VTP инкапсулируются во фреймы 802.1Q. Для указания версии vtp используется команда vtp version number.

VTP использует три типа сообщений:
1. Summary message - сообщение содержащее информацию о домене, версии протокола, ревизии. Отправляются каждые 5 минут или тут же при изменении конфигурации.
2. Subset message - сообщение непосредственно несущее в себе информацию о vlan. Таких сообщений может передаватся несколько, друг за другом.
3. Request message - сообщение используемое для запросов информации у серверов vtp.

VTP позволяет сегментировать сеть на домены администрирования. Коммутаторы обмениваются информацией о vlan только внутри одного домена. По умолчанию имя домена на коммутаторе не задано. Для задания домена используется команда - vtp domain name. После указания имени домена на одном коммутаторе, остальные коммутаторы получают его от соседа и включают себя в данный домен. Коммутаторы с уже заданным другим именем домена, новое не принимают.

Для выбора режима vtp используется команда - vtp mode mode. По умолчанию коммутатор использует режим server.

Режимы vtp:

1. Server - позволяет изменять имя домена, создавать и удалять vlan-ы. Хранит информацию о vlan-ах в nvram.

2. Client - принимает информацию о vlan-ах от сервера. Создавать vlan-ы локально не позволяет. Хранит информацию о vlan-ах в ram.

3. Transparent - в диалоге vtp не учавствует. Принимаемые сообщения передает соседям не применяя к себе. Позволяет создавать локальные vlan-ы, но информацию о них соседям не передает.

VTP позволяет так же использовать пароли для обеспечения какой никакой безопасности при обмене информацией между коммутаторами. Для этого на каждом коммутаторе домена командой vtp password password нужно задать одинаковый пароль.

Для определения, чья информация новее vtp использует номер ревизии конфигурации. Коммутатор получая от соседа сообщение с более высоким номером ревизии, тут же перезапрашивает информацию об изменениях и применяет их к своей конфигурации. Номер конфигурации увеличивается только при создании/удалении vlan-ов. При изменении имени домена номер ревизии зануляется.

При добавлении нового коммутатора в домен обязательно убедитесь, что
1. Его номер ревизии меньше, чем номер ревизии других коммутаторов
2. Задана верная версия vtp
3. Задан верный пароль

VPT pruning - режим используемый для фильтрации фреймов. При его включении, коммутатор получая фреймы для какого то конкретного vlan-а, будет отправлять их только на те trunk-интерфейсы которые ведут к нужному vlan-у. На все остальные фрейм отправлятся не будет.

Проверить конфигурацию можно командой show vtp status.

• http://xgu.ru/wiki/VTP

Лабораторка VTP

Проприетарный протокол VTP позволяет централизованно оповещать коммутаторы в сети об изменениях связанных с vlan-ами.
Топология:

Настройка:

VTP_Server(config)# vtp domain CISCO
VTP_Server(config)# vtp version 2
VTP_Server(config)# vtp password cisco
!
VTP_Transparent(config)# vtp domain CISCO
VTP_Transparent(config)# vtp version 2
VTP_Transparent(config)# vtp mode transparent
!
VTP_Client(config)# vtp domain CISCO
VTP_Client(config)# vtp version 2
VTP_Client(config)# vtp mode client
VTP_Server(config)# vtp password cisco

Проверяем:
show vtp status

Сообщения VTP:

Передается суммарная информация о состоянии протокола.

Передается информация по конкретному VLAN.

• VTP версий 1-2 не поддерживают расширенные vlan(1006-4094)
• для обнуления номера ревизии достаточно сменить имя домена или перевести свич в прозрачный режим и обратно

Скачать: pkt-файл

• http://xgu.ru/wiki/VTP

VLAN Trunking Protocol

VTP - проприетарный протокол Cisco применяемый для обмена информацией о vlan между коммутаторами. Упрощает работу системного администратора тем, что помогает согласовывать vlan-ы на коммутаторах тем самым предотвращая ошибки конфигурации "вручную", и динамически оповещать все коммутаторы управляемого домена об изменениях в конфигурации.

Альтернативный протокол, используемый другими вендорами - GVRP. 

VTP работает на trunk-интерфейсах. Существует три версии протокола VTP - 1, 2, 3. Для успешного обмена информацией все коммутаторы должны использовать одинаковую версию VTP. Сообщения VTP инкапсулируются во фреймы 802.1Q. Для указания версии vtp используется команда vtp version number.

Применение port-security на коммутаторах Cisco

Рассмотрим базовые возможности по обеспечению безопасности на портах коммутаторов доступа.

Топология: 

Настройка: 
Для начала переведём порт в режим доступа (если порт находится в динамическом режиме то он просто не примет комманду switchport portsecurity)