Chapter 5 Configuring Catalyst Switch Operations Basic Layer 2 Switching and Bridging Functions Redundant Topology Overview Spanning-Tree Protocol Overview Configuring a Catalyst Switch
Basic Layer 2 Switching and Bridging Functions Layer 2 switching 과 bridging 작용 과 모드를 이해한다. LAN switch 와 MAC address table을 어떻게 사용하는지를 안다.
Ethernet Switches and Bridges * Functions of Ethernet Switches and Bridges Ethernet Switches and Bridges 2계층 스위치들의 세가지 주요 기능 주소학습 : 각 포트에 부착된 장비의 MAC 주소를 배우고 MAC 데이터베이스에 저장한다. 패킷 포워딩/필터링 : 스위치가 프레임을 수신하면 MAC 테이블을 참조하여 어떤 포트로 프레임을 보낼 것인지 결정한다. 결정된 포트로만 프레임을 전송한다. 루프방지 : 스위치 네트워크의 이중화로 인해 발생되는 루프를 방지하는 기능을 가지고 있다.
Transmitting Frames Frame Fragment-Free Frame CUT-Through Frame * Frame Transmission Modes Transmitting Frames Frame Fragment-Free Frame CUT-Through Frame Store and Forward Store and Forward : 프레임이 포워딩 하기 전에 완전한 프레임을 수신해야 한다. 목적지 주소와 출발지 주소를 읽고 CRC를 수행한후 프레임을 포워딩한다. 손상된 프레임은 버려진다. 지연시간을 프레임 길이에 따라 다르다. CUT through : 프레임 헤더가 도착하자마자 목적지 주소를 검사하고 바로 프레임을 포워딩한다. 패킷의 지연시간은 엄청 줄어든다. 단점은 CRC 값에 오류가 있는 프레임이나 충돌된 프레임을 여전히 포워딩한다. Fragment-free : 스위치가 프레임을 포워딩하기 전에 첫 번째 64bytes를 읽어 들여서 CRC 검사를 한 다음 이상이 없으면 포워딩한다. 대개 프레임의 손상이나 충돌은 프레임의 첫 번째 64bytes에서 발생된다.
MAC Address Table E0 E1 E2 E3 스위치가 처음에 초기화될 때에는 MAC 주소 테이블이 비어있다. * How Switches and Bridges Learn Source MAC Addresses MAC Address Table MAC address table 0260.8c01.1111 0260.8c01.2222 0260.8c01.3333 0260.8c01.4444 E0 E1 E2 E3 A B C D 스위치가 처음에 초기화될 때에는 MAC 주소 테이블이 비어있다. 빈 MAC 주소 테이블을 이용해서는 패킷의 필터링 또는 포워딩을 결정할 수 없다. 프레임의 모든 연결된 포트로 포워딩하는 것을 “프레임을 플러딩 한다.”라고 부른다. 패킷 플러딩은 데이터 전송 방법 중에서 가장 비 효율적인 것이다. – 대역폭 낭비 스위치는 각 포트 또는 세그먼트에 대한 독립적인 프레임 송수신이 가능한 버퍼링 메모리를 구현하고 있다. - Catalyst 1900 : MAC Table 1024 entries - Catalyst 2950 : MAC Table 8192 entries
Learning Addresses E0 E1 E2 E3 MAC address table 0260.8c01.1111 0260.8c01.2222 0260.8c01.3333 0260.8c01.4444 E0: 0260.8c01.1111 E0 E1 E2 E3 D C B A MAC 주소 0260.8c01.1111의 스테이션 A는 MAC 주소 0260.8c01.2222 스테이션 C로 트래픽을 보내려고 한다. 1단계 : 프레임을 초기에 물리적 이더넷에서 수신되고 임시 버퍼공간에 저장된다. 2단계 : 스위치에 MAC 테이블이 없기 때문에 모든 포트로 프레임을 플러드 한다. 3단계 : 스위치 A에서 프레임을 플러딩하는 동안 스위치는 송신지 주소를 알게 되고 이를 E0과 연결하여 새로운 MAC 주소 테이블 항목으로 등록하게 된다. 4단계 : MAC 주소 항목은 캐시 메모리에 저장되고, 일정 시간이 내에서 스위치를 통과하는 새로운 프레임에 의해서 재생되지 않으면 이 항목은 버려진다.
Learning Addresses (cont.) MAC address table 0260.8c01.1111 0260.8c01.2222 0260.8c01.3333 0260.8c01.4444 E0: 0260.8c01.1111 E3: 0260.8c01.4444 E0 E1 E2 E3 D C A B MAC 주소 0260.8c01.4444의 스테이션 D는 MAC 주소 0260.8c01.2222의 스테이션 C로 트래픽을 보내려 한다. 1단계 : 송신지 MAC 주소 0260.8c01.4444가 MAC 주소 테이블에 첨가된다. 2단계 : 전송된 프레임의 목적지 주소, 즉 스테이션 C가 MAC 주소 테이블에 있는 항목들과 비교된다. 3단계 : 소프트웨어가 이 목적지 주소에 대한 포트 MAC 주소 맵핑을 발견하지 못한다면 프레임은 수신된 포트를 제외한 나머지 모든 포트들로 플러딩한다. 4단계 : 스테이션 C가 프레임을 스테이션 A로 다시 보내려고 할 때 스위치는 포트 E2에 있는 스테이션 C의 MAC 주소를 알 수 있게 된다. 5단계 : 모든 스테이션이 데이터 프레임을 전송한다면 완전한 MAC 테이블이 만들어진다.
X Filtering Frames E0 E1 E2 E3 * How Switches and Bridges Forward and Filter Frames Filtering Frames E0: 0260.8c01.1111 E2: 0260.8c01.2222 E1: 0260.8c01.3333 E3: 0260.8c01.4444 0260.8c01.1111 0260.8c01.2222 0260.8c01.3333 0260.8c01.4444 E0 E1 E2 E3 X D C A B MAC address table MAC 테이블이 존재할 때 스테이션 A가 스테이션 C로 프레임을 보내는 순서 1단계 : 전송된 프레임에서 목적지 MAC 주소, 즉 0260.8c01.2222 를 MAC 주소 테이블에 있는 항목과 비교한다. 2단계 : 스위치가 목적지 MAC 주소 포트 E2를 통해 도착했다고 판단되면 스위치는 이 포트로만 프레임을 재전송한다. 3단계 : 스위치는 포트 E1 또는 포트 E3로 프레임을 재 전송하지 않는데, 이는 이러한 링크들의 대역폭을 절약시킬 수 있게 한다. 이러한 것이 프레임 필터링 이라고 부른다. 4단계 : MAC 테이블에서 스테이션 A의 MAC 주소 0260.8c01.1111를 갱신한다.
Filtering Frames (cont.) E0: 0260.8c01.1111 E0: 0260.8c01.4444 . MAC address table 0260.8c01.1111 0260.8c01.4444 E0 E1 C A HUB Switch A B 스테이션 A, B가 허브를 통해 스위치에 E0에 같이 연결되어 있다 - 스테이션 A에서 스테이션 B로 프레임을 전송한다. - 스위치 E0 포트는 스테이션 A, B의 MAC 주소를 모두 가지고 있다. - 스위치는 스테이션 A의 프레임을 다른 포트로 포워딩 하지 않는다.
Broadcast and Multicast Frames (Flooding) E0: 0260.8c01.1111 E2: 0260.8c01.2222 E1: 0260.8c01.3333 E3: 0260.8c01.4444 MAC address table Station D가 broadcast 또는 multicast frame을 보낸다. Broadcast 또는 multicast frame은 originating port를 제외한 모든 포트로 Flooding된다. 스위치는 Default로 Broadcast, Multicast, Unknown Address Frame을 Flooding한다.
Redundant Topology Overview Redundant Switch와 bridge topologies를 이해한다. L2 Switch의 여러 문제점들을 이해한다. L2 Switch의 루프 방지에 대해 이해한다.
Redundant Topology Server/host X Router Y Segment 1 Segment 2 * Redundant Switched and Bridged Topologies Redundant Topology Segment 1 Segment 2 Server/host X Router Y Redundant topology는 SPOF(single points of failure)를 방지한다. Redundant topology 는 broadcast storms, multiple frame copies, and MAC address table instability 문제를 야기시킨다.
Broadcast Storms Segment 1 Segment 2 Server/host X Router Y Broadcast Switch A Switch B 스위치들은 프레임을 수신한 포트를 제외한 나머지 모든 포트로 브로드캐스트 메시지를 플러드 한다. 1단계 : 호스트 X가 브로드캐스트 프레임을 전송하고 스위치 A에 이 프레임이 수신된다. 2단계 : 스위치 A는 프레임에 있는 목적지 주소를 검사하고 이 프레임을 아래쪽 이더넷 링크인 세그먼트 2로 플러드 한다. 3단계 : 이 프레임이 스위치 B에 도달하면, 이 과정이 반복되어 세그먼트 1로 플러드 된다. 4단계 : 이러한 프레임들은 목적지 스테이션에 프레임의 복사본이 도착한 후에도 계속적으로 떠돌게 된다.
Multiple Frame Copies Segment 1 Segment 2 Server/host X Router Y * Multiple Frame Transmissions Multiple Frame Copies Segment 1 Segment 2 Server/host X Router Y Unicast Switch A Switch B 1단계 : 호스트 X가 라우터 Y로 유니케스트 프레임을 전송하면 하나의 복사본은 직접 연결된 이더넷 세그먼트 1에서 수신된다. 거의 비슷한 시간에 스위치 A는 복사본을 수신하게 된다. 2단계 : 스위치 A가 프레임에 있는 목적지 주소 필드를 검사하고 라우터 Y에 대한 MAC 주소테이블 엔트리를 발견하지 못한다면, 플러딩 하게 된다. 3단계 : 스위치 B도 MAC 주소 테이블 엔트리에 없다면 이 프레임을 플러딩 한다. 4단계 : 라우터 Y는 같은 프레임의 복사본을 같은 시간대에 수신하게 된다.
MAC Database Instability Segment 1 Segment 2 Server/host X Router Y Unicast Switch A Switch B Port 0 Port 1 데이터베이스 불안정성은 스위치의 다른 포트들로 부터 프레임의 복사본들이 도착 할 때 발생하게 된다. - 1단계 : 호스트 X가 라우터 Y로 유니캐스트 프레임을 전송한다. - 2단계 : 라우터 Y MAC 주소는 어떤 스위치에 의해 학습되지 않는다. - 3단계 : 스위치 A와 B는 Host X의 MAC 주소 포트 0에 있다고 학습한다. - 4단계 : 라우터 Y로 향하는 프레임이 플러드된다. - 5단계 : 스위치 A와 B는 호스트 X의 MAC 주소가 포트 1에 있다고 잘못 배우게 된다.
Spanning-tree Protocol STP의 기능과 목적을 이해한다. 스위치나 브릿지에서 루프를 어떻게 방지하는지 이해한다.
X Spanning-Tree Protocol Segment A Reference Point Segment B Cisco Switch는 IEEE 802.1d Spanning tree 프로토콜을 사용한다. Spanning tree 프로토콜의 목적은 루프가 없는 네트워크를 유지하는 것이다. Spanning tree 프로토콜은 네트워크를 계속 검사하면서 링크, 스위치, 브릿지 의 고장 또는 추가를 빨리 발견하도록 한다. 네트워크 토폴로지가 바뀌었을 때, Spanning tree 프로토콜은 스위치 또는 브릿지 포트들을 재설정하여 전체 연결의 손실 또는 새로운 루프의 생성 등을 막아준다. Spanning tree 프로토콜은 Catalyst 스위치에서는 기본적으로 enable 된다.
X Spanning-Tree Operation Designated port (F) Root port (F) Network(Subnet)당 하나의 Root Bridge Non-Root Bridge마다 하나의 Root Port Segment별로 하나의 Designated Port Designated port (F) Root port (F) Nondesignated port (B) Root bridge Nonroot bridge SW X SW Y 100baseT 10baseT X Elects one root bridge : 주어진 하나의 브로드캐스트 도메인에서 하나의 루트 브릿지를 선택한다. 루트 브리지에 있는 모든 포트들은 포워딩 상태가 되고 designated port 라고 부른다. Selects the root port on the nonroot bridges : 루트 포트는 루트가 아닌 브리지에서 루트 브리지로 가는 최소 비용 경로이다. 루트 포트는 포워딩 상태이고 루트 브리지로 연결을 제공한다. 경로 비용은 대역폭을 기본으로 누적된 값이다. Selects the designated port on each segment : designated port는 루트 브리지로 가는 최소 비용 경로를 가지는 브리지에서 선택된다.
Spanning-Tree Protocol Root Bridge Selection * Selecting the Root Bridge Spanning-Tree Protocol Root Bridge Selection SW X SW Y BPDU Switch X Default Priority 32768 (0x8000) MAC 0c0011111111 Switch Y Default Priority 32768 (0x8000) MAC 0c0022222222 BPDU : Bridge Protocol Data Unit – 멀티캐스트 프레임을 이용하여 매 2초에 한 번씩 전송된다. Root bridge : 가장 낮은 bridge ID를 선택한다. Bridge ID는 우선순위와 브리지 MAC 주소로 구성되어 있다. 디폴트 우선순위(IEEE 802.1d)는 32768이다. 디폴트 우선순위 값이 같으면 낮은 MAC 주소를 가진 것이 루트 브리지가 된다.
Spanning-Tree Port states * Stages of Spanning-Tree Port States Spanning-Tree Port states Listening (forward delay = 15 sec) Forwarding Blocking (move to listening After it decides It is a root Port or a designated port) Link comes up Loss of BPDU detected (max age = 20 sec) Learning 정상적인 작동 중에는 포트가 포워딩 또는 차단 상태에 있게 된다. 토폴로지의 변화가 있을 때 또는 새로운 스위치가 추가 되었을 때 포트는 임시로 Listening, Learning 상태에 있게 된다. 포트들은 차단 상태에서 시작하여 브리지 루프를 방지한다. Listening 상태에서 BPDU 메시지를 검사한다. Learning 상태에서 포트의 MAC 주소를 수신하여 MAC 테이블을 만든다. Forwarding 상태에서 프레임을 송수신 한다.
X Spanning-Tree Port states (cont.) SW X SW Y 10BaseT 100BaseT Designated port (F) Root port (F) Nondesignated port (B) Root bridge Nonroot bridge SW X SW Y 100BaseT 10BaseT X Switch X Default Priority 32768 (0x8000) MAC 0c0011111111 Switch Y MAC 0c0022222222 Port 1 Port 0 루트 브리지인 스위치X에서의 포트들은 designated ports 들이다. (forwarding) 스위치 Y에 있는 패스트 이더넷 포트는 루트 포트 이다. (forwarding) 이더넷 포트보다 루트 브리지로 가는 경로의 비용이 더 적다. 스위치 Y에 있는 이더넷 포트는 nondesignated port 이다. (blocking) 세그먼트 당 하나의 지명된 포트만이 존재한다.
Spanning-Tree Path Cost Link Speed Cost(Current IEEE Spec) Cost(Previous IEEE Spec) ---------------------------------------------------------- 10Gbps 2 1 1Gbps 4 1 100Mbps 19 10 10Mbps 100 100 IEEE 802.1d 사양에서 명시된 경로 비용을 보여주고 있다. Spanning tree 경로 비용은 경로상의 모든 링크의 대역폭을 기초로 한 값들을 모두 누적시킨 것이다.
100BaseT Spanning-Tree Example Switch Y MAC 0c0022222222 Default priority 32768 Switch X MAC 0c0011111111 Port 0 Port 1 Switch Z Mac 0c0011110000 100BaseT Designated port (F) Root port (F) Designated port (F) Nondesignated port (BLK) 상대 스위치로부터 낮은 BPDU의 Bridge ID(Bridge Priority+MAC Address)를 받은 스위치의 Port가 Designated Port가 된다.
100BaseT Spanning-Tree Recalculation Switch Z Designated port (F) Switch X Switch Y Root port(F) 스위치 장비 손실 또는 링크 장애로 인해 토폴리지에 변화가 있을 때에는 네트워크 토폴리지를 재조정해서 차단 포트와 포워딩 포트를 재계산 한다. 예를 들어 스위치 X가 손상된다면, 스위치 Y는 루트 브리지로 부터의 BPDU를 탐지 MAX Age 타이머가 종료되고 새로운 BPDU의 도착이 없으면 STP는 재계산에 들어간다. 포트는 수신상태로 옮겨졌다가 학습 및 최종적으로 포워딩 상태로 바뀌게 된다. 네트워크가 수렴한(converge)다음에 스위치 Y의 port 1은 designated port가 된다.
Blocking Listening Learning Forwarding Spanning-Tree Recalculation (cont.) Blocking : Frame을 Forwarding하지 않는다. 스위치가 켜질 때의 Default Mode이다. Blocking State에서도 BPDU는 수신된다(Blocking Port에서 BPDU를 송신하지는 않는다.) Max Age : Bridge Failure, Link Failure 등 Topology에 변화가 생겨 스위치가 루트브리지로부터 BPDU(Default 2초= Hello Time)를 수신하지 못하면 Max Age Timer(Default 20초) 동안 BPDU를 기다리는 시간을 갖는다. 이 기간 동안에도 BPDU를 수신하지 못하면 Listening Mode로 이행한다. Listening : 모든 수신되는 BPDU를 체크하여 Spanning Tree Recalculation을 하여 스위치의 Blocking Port가 Forwarding State가 되는 경우 Loop이 발생하지 않는지를 확인한다. Default로 15초의 시간이 할당된다.(Forward Delay) Learning : 향후의 Forwarding을 위해 Mac Address를 Learning하여 Filter Table을 구성한다. Default로 15초의 시간이 소요된다. (Forward Delay) Forwarding : Frame을 Forwarding한다. Topology의 변화로 인하여 Blocking Mode에서 Forwarding State로 이행 하는 데는 Default로 50초의 시간이 필요하며 이 기간 동안에는 프레임이 Forwarding 되지 못한다. Blocking Listening Learning Forwarding Max Age (20초) Forward Delay (15초)
100BaseT 100BaseT Rapid Spanning-Tree Protocol Switch Z Root Bridge Port 0 Designated port (F) 100BaseT Port 0 Root port (F) Port 0 Root port (F) Switch X Designated Bridge Switch Y Port 1 Port 1 Designated port (F) Alternate Port(DIS) 100BaseT Rapid Spanning-Tree Protocol (RSTP)는 네트워크 토폴로지에 변화가 있을 때 Spanning-Tree의 재계산을 빠르게 하도록 한다. RSTP는 Alternate 에 추가된 포트의 역할과 backup 그리고 discarding, learning, forwarding 상태를 정의한다.
Rapid Spanning-Tree Protocol (cont.) RSTP는 IEEE 802.1w의 규정이다. RSTP는 physical topology 나 configuration parameter가 변했을 때 네트워크의 active topology의 reconvergence 시간을 단축시킨다. RSTP는 스위치가 재 시작할 때 연결된 포워딩 포트로 스위치 포트 설정을 허용한다. IEEE 802.1w에 명시된 RSTP는 STP로 호환성이 있는 채로 남아있는 동안 802.1d에 명시된 STP를 필요 없게 될 것이다. RSTP 에서 허용되는 포트들의 역할 - Root : spanning-tree topology 의 하나의 포워딩 포트를 선택한다. - Designated : switched LAN segment 마다 하나의 포워딩 포트를 선택한다. - Alternate : 루트 브리지의 alternate path는 현재 루트 포트에 의해 제공된다. - Backup : path를 위한 backup은 spanning tree의 designated 포트 쪽으로 전송한다. - Disabled : 아무런 역할도 하지 않는다. Operational Status STP Port State RSTP Port State Port Included in Active Topology Enabled Blocking Discarding No Listening Learning Yes Forwarding Disabled
Rapid Transition to Forwarding Root HUB Link-type (shared) edge-type (pt-pt) Switch 빠른 convergence를 수행하기 위해서는 edge port 와 link-type 의 영역이 있어야 한다. edge port는 네트워크에 루프를 형성하지 않고 listening과 learning 과정없이 바로 Forwarding 을 수행할 수 있다. edge port 는 link 변화시에도 topology의 변화는 없다. RSTP는 edge port와 point-to-point (pt-pt) links 를 통해 구현이 가능하다. link-type은 port의 duplex 모드로 부터 자동으로 설정된다. : full-duplex는 point-to-point , half-duplex는 shared
Configuring a Catalyst Switch 스위치의 기본 설정을 확인한다. 스위치의 기본 설정을 직접 적용할 수 있다. 스위치의 나머지 필요한 설정들을 직접 할 수 있다.
2950 Default Configuration * Verifying the Catalyst Switch Default Configuration 2950 Default Configuration IP address: 0.0.0.0 CDP: Enabled Switching mode: fragment free 10/100 baseT port: Auto-negotiate duplex mode Spanning Tree: Enabled Console password: none 스위치의 공장 출하시 기본 세팅 값을 보여준다. 네트워크 토폴로지에 맞게 기본값들은 변경이 가능하다.
2950 Password 설정 Switch_2950(config)# line vty 0 15 Switch_2950(config-line)#login Switch_2950(config-if)#password cisco Switch_2950(config)# line con 0 Switch_2950(config)#enable password cisco Switch_2950(config)#enable secret router Catalyst 2950 에서는 AUX 포트가 없기 때문에 4가지의 패스워드를 설정할 수 있는 것이다.
Configuring the Switch IP Address * Configuring the Catalyst Switch IP Address and Default Gateway Configuring the Switch IP Address Switch hostname 변경 Switch(config)#hostname Switch_2950 Switch_2950(config-if)# Configures an IP address and subnet mask on the switch Switch_2950(config)#interface vlan 1 Switch_2950(config-if)#ip address 10.5.5.30 255.255.255.0 Switch_2950(config-if)#no shutdown IP 주소는 관리의 목적으로 스위치에서 필요하다. Virtual Switch Manager (VSM)을 이용하려면 스위치에 IP 주소가 설정 되어서 웹브라우저와 통신할 수 있는 IP 연결을 제공한다. Telnet으로 스위치에 연결하고 SNMP를 이용하여 스위치를 관리 하려면 IP 주소가 반드시 필요하다.
Showing the Switch IP Address Catalyst 2950 Switch_2950# show interface vlan 1 Vlan1 is up, line protocol is up Hardware is Cat5K Virtual Ethernet, address is 0010.f6a9.9800 (bia 0010.f6a9.9800) Internet address is 10.5.5.30/24 Broadcast address is 255.255.255.255 . . . Switch_2950#sh run … interface Vlan1 ip address 10.5.5.30 255.255.255.0 no ip route-cache Catalyst 2500 에서는 show interface vlan 1, sh run 을 통해 확인 가능하다.
Configuring the Switch Default Gateway Switch_2950(config)#ip default-gateway {ip_address} Switch_2950# config t Switch_2950(config)# ip default-gateway 10.5.5.1 Catalyst 2950의 ip default-gateway 설정 명령어 다른 네트워크로 전송되는 Traffic이 들어오면 스위치는 default-gateway로 이 Traffic을 전송한다. default-gateway IP 주소는 라우터의 Ethernet IP 주소이다. Switch_2950# show ip default 10.5.5.1
Duplex Overview Switch Hub Half duplex (CSMA/CD) 일방향의 data flow이다. * Duplexing and Speed Duplex Overview Half duplex (CSMA/CD) 일방향의 data flow이다. 높은 Collision 가능성이 있다. Hub를 통한 연결의 경우이다. CSMA/CD를 구현한다. Switch Hub Full duplex (송수신이 동시에 가능) Point-to-point 이더넷과 패스트 이더넷 에서 구현이 가능하다. dedicated switched port에 연결된다. 양쪽에서의 full-duplex 지원이 요구된다. Collision free이다. Collision detect circuit이 disabled된다. 10BaseT, 100BaseT, 100BaseFx 매체지원 반이중방식(CSMA/CD) 전이중방식 단방향 데이터 플로우 점대점 충돌의 가능성이 높음 충돌이 없음 허브로 연결 충돌 탐지 회선이 disable됨 전용스위치 포트에 부착됨 양쪽단 모든 전이중방식 지원 50~60%의 효율 양방향으로 100%효율
Setting Duplex Options 및 description 설정 * Configuring the Duplex Interface Setting Duplex Options 및 description 설정 Switch_2950(config)#interface fa 0/1 Switch_2950(config-if)#speed {10 | 100 | auto} Switch_2950(config-if)#duplex {auto | full | half} .…. Switch_2950(config-if)#description [cisco router connection] duplex 인터페이스 설정 명령어 옵션 - auto : duplex mode를 autonegotiation으로 지정한다. 100M 포트에서는 기본 값이다. - full : full-duplex 모드로 지정한다. - half : half-duplex 모드로 지정한다. Half는 10Mbps TX 포트에 기본값이다. description – 현재 사용하고 있는 스위치에서 어떤 포트가 어디하고 연결이 되어 있는지 또한 어떤 용도로 사용하고 있는지 구별할 수 있다.
Showing Duplex Options Switch# show interfaces fastethernet 0/1 Fastethernet 0/3 is up, line protocol ip down Hardware is Fast Ethernet, address is 0000.0000.0003 (bia 0000.0000.0003) Description [cisco router connetion] MTU 1500bytes, BW 100000 Kbit, DLY 100Usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set, Keepalive set(10 sec) Full-duplex, 100Mb/s Input flow-control is off, output flow-control is off ARP type: ARPA, ARP Timeout 04:00:00 Last input never output never, output hang never Last clearing of “show interface” counters never Queueing strategy: fifo ----- 0 output errors, 0 collisions, 2 interface resets 0 babbles, 0 late collision, 0 deferred Show interface : duplex setting 및 인터페이스 상태와 통계를 볼 수 있는 명령어. 한쪽은 half duplex, 다른 한쪽은 full-duplex 로 설정되면 full duplex 쪽에서 late collision error를 만들어 낸다. late collision error 횟수가 많다면 duplex 설정의 매칭이 잘못되어 있다는 것이다. 매칭이 잘못되어 있으면 클라이언트에 대한 네트워크 응답이 느리게 된다.
Showing Duplex Options Switch# show interfaces status Port Name status Vlan Duplex Speed Type Fa0/1 notconnect 1 Full 100 10/100Base-TX Fa0/2 notconnect 1 auto auto 10/100Base-TX Fa0/3 notconnect 1 auto auto 10/100Base-TX Fa0/4 notconnect 1 auto auto 10/100Base-TX Fa0/5 connected 1 a-full a-100 10/100Base-TX Fa0/6 notconnect 1 auto auto 10/100Base-TX Fa0/7 notconnect 1 auto auto 10/100Base-TX Fa0/8 notconnect 1 auto auto 10/100Base-TX Fa0/9 notconnect 1 auto auto 10/100Base-TX Fa0/10 notconnect 1 auto auto 10/100Base-TX Fa0/11 notconnect 1 auto auto 10/100Base-TX Fa0/12 notconnect 1 auto auto 10/100Base-TX
Managing the MAC Address Table Switch_2950(config)#interface Fa0/1 Switch_2950(config-if)#spanning-tree portfast Switch_2950# show mac address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- All 000e.8479.e080 STATIC CPU All 0100.0ccc.cccc STATIC CPU All 0100.0ccc.cccd STATIC CPU All 0100.0cdd.dddd STATIC CPU 1 0002.b3d4.7e81 DYNAMIC Fa0/5 1 0003.a088.7d34 DYNAMIC Fa0/2 1 00a9.400f.732d DYNAMIC Fa0/4 1 00d0.b79c.0745 DYNAMIC Fa0/3 Total Mac Addresses for this criterion: 8 Switch_2950# Catalyst 2950 show mac address-table를 통해 동적, 정적, 영구적인 MAC 테이블 주소와 인터페이스 타입을 확인할 수 있다
Setting a permanent MAC Address Switch_2950(config)#mac-address-table static mac_addr vlan {vlan_id} interface type slot/port ex) Switch_2950(config)#mac-address-table static 2222.2222.2222 vlan 2 int fa 0/2 Switch 각 Port 별로 특정 MAC 주소를 지정함으로써 Port의 보안 기능을 줄 수 있다. 등록되지 않은 MAC 주소가 입력되면 통신을 허용하지 않는다. Switch_2950# show mac-address-table Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 2222.2222.2222 STATIC Fa0/2 1 0003.a088.7d34 DYNAMIC Fa0/5
Catalyst 2950 Port-security 설정 Switch_2950(config)#interface fa0/1 Switch_2950(config-if)# switchport mode access Switch_2950(config-if)# switchport port-security maximum 10 Switch_2950(config)#interface fa0/1 Switch_2950(config-if)# no switchport port-security --- 비활성화 MAC 주소 기반의 포트 보안의 장점 - 인터페이스를 안전한 포트로 설정하여 몇몇 디바이스들만 특정 스위치 포트에 연결되도록 할 수 있다. - 이 포트에 대한 주소 테이블에 허용되는 MAC 주소의 최대 개수를 정의한다. - 안전한 포트의 디바이스 개수는 1-132까지 이다.
Verifying Port Security on the Catalyst 2950 Switch_2950# show port-security = 포트보안 설정 내용을 보고 확인 Switch_2950# show port-security interface fa 0/1 Port Security : Disabled Port Status : Secure-down Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 10 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address : 0000.0000.0000 Security Violation Count : 0
Verifying Port Security on the Catalyst 2950 Switch_2950# show mac address-table interface fa0/1 Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- -------- ----- 1 0003.a088.7d34 DYNAMIC Fa0/2 Total Mac Addresses for this criterion: 1 Switch_2950(config-if)#switchport port-security violation {protect |restrict | shutdown} Switch_2950# show port-security interface fa 0/1 show mac-address-table secure 명령어는 포트 보안이 설정된 인터페이스와 MAC 주소 테이블을 확인 할 수 있다. 포트 위반이 일어났을 때 - protect : 포트보호, 목록에 추가되지 않은 어드레스가 있는 프레임 전송안음 - restrict : 보안확보, - shutdown : 해당 포트를 shutdown 시켜서 패킷을 차단한다. (기본설정)
Executing Adds, Moves, and Changes for MAC Addresses Adding a MAC Address 1. Port security 설정 2. MAC address 설정 Switch Hub Move Changing a MAC Address 1. Port 로 부터 MAC 어드레스 제한을 제거한다. Moving a MAC Address 1. 새로운 포트에 주소를 더한다. 2. 새로운 스위치에 port security를 설정한다. 3. 새로운 스위치에 새로운 사용자에 대한 MAC 주소를 설정한다. 4. 기존의 포트는 shutdown 시키고, 새로운 port에 보안 및, access list를 설정한다. Ethernet network interface card (NIC)이 fails 된다면 MAC address는 유일한 주소이기 때문에 유효하지 않다. 새로운 Ethernet NIC으로 교환 후 포트에 기존의 MAC address security를 제거하고, 새로운 MAC address로 security를 재설정 해 주어야 한다.
Adding a New Switch to the network 관리용 스위치 IP_address와 default gateway 를 설정한다. console, aux, vty 중에서 접속 가능한 방법을 선택한다. User EXEC와 Privileged EXEC의 security를 설정한다. single workstations, IP phones, trunking upstream/downstream 등 스위치에 필요한 요소를 설정한다. 새로운 스위치가 만약 spanning tree의 root bridge 가 된다면 ? - Topology 전체에 영향을 미친다. - 관리자가 의도한 대로 트래픽이 흐르지 않는다. - 다시 재설정을 해 주어야 한다. 새로운 스위치가 root bridge가 되는 것을 막기 위해 가중치를 부가한다. - 트래픽 흐름에 맞게 필요한 설정을 먼저하고, 네트워크와 연결한다. Switch Move Hub Switch Add
Managing the Configuration File * Managing Device Configuration Files Managing the Configuration File Catalyst 2950 Switch_2950#copy startup-config tftp://host/dst_file #copy nvram tftp://10.1.1.1/wgswd.cfg : 설정 파일을 10.1.1.1 주소의 목적 TFTP 서버로 wgswd.cfg 파일 이름으로 업로드 하는 명령어 #copy tftp://host/src_file nvram : 10.1.1.1 주소의 TFTP 서버의 설정 파일을 스위치의 NVRAM으로 다운로드 하는 명령어 Catalyst 1900에서는 running 설정에 대한 변화가 일어날 때마 running 설정이 자동적으로 NVRAM에 저장된다.
Clearing NVRAM system configuration을 factory default로 Reset 시킨다. Switch_2950#erase startup-config Erasing the nvram filesystem will remove all files ! Continue? [confirm] (Enter) [OK] Erase of nvram: complete Switch_2950#reload system configuration을 factory default로 Reset 시킨다. “erase” 라는 명령어를 사용하여 NVRAM에 저장돼 있는 내용을 삭제한다. “reload”를 해서 재 부팅을 하면 삭제가 완료된다.
참고자료 (1) Bridge Protocol Data Unit (BPDU) BPDU는 Root Bridge를 선출한다. Loop의 발생여부를 판정한다. Loop 방지를 위해 Blocking한다. 네트워크 변화를 알린다. Spanning Tree의 상태를 모니터링 한다. Default Timer Values Hello Time : 2 secs Maximum Time(Max Age) : 20 secs Forward Delay : 15 secs Timer는 임시적으로 발생할 수 있는 Bridging Loop을 방지하는 데 사용된다. Timer는 Link Failure 후에 Spanning Tree Convergence Time을 결정한다.
참고자료 (2) Bridging Switching 브리지와 스위치 Primarily hardware based (ASIC) Primarily software based One spanning-tree instance per bridge Usually up to 16 ports per bridge Bridging Switching Primarily hardware based (ASIC) Many spanning-tree instances per switch More ports on a switch 스위치는 multiport bridge( bridges with more ports)라 할 수 있다. 브리지가 소프트웨어 베이스라 한다면 스위치는 하드웨어 베이스 (ASIC :Application Specific Integrated Circuit)로 지연시간이 작다. (Low Latency) 브리지는 하나의 Spanning Tree만을 갖을 수 있으나 스위치는 여러 개의 Spanning Tree를 가질 수 있다. 브리지는 최대 16개의 포트를 가질 수 있으나 스위치는 수백개의 포트를 가질 수 있다. 스위치는 포트간 통신에 있어, Multiple Connection이 가능하나 브리지는 동시에 하나의 포트간 통신이 가능하다. 성능대비 가격이 저렴하다.(Low cost)