Сisco Сatalyst

Материал из Xgu.ru

Перейти к: навигация, поиск

Содержание

[править] Обновление IOS

Пример:

sm-sm7-c2960#archive download-sw /overwrite /reload tftp://10.84.14.4/c2960-lanbasek9-tar.122-46.SE.tar

[править] Объединение в кластер 2960

Cisco 2960 не поддерживает кластеризацию, для этого необходим, как минимум 3750. Но создать одну логическую группу, как минимум возможно Эту особенность позволяет получить доступ к устройству "из коробки". без доступа к консоли. Для работы требуется включенный CDB


sm-sm7-c2960(config)#cluster enable SM7 0
sm-sm7-c2960(config)#cluster member 1 mac-address 0022.be15.9a00

sm-sm7-c2960_1(config)#cluster commander-address 001e.4935.e500 member 1 name SM7 vlan 1


!


sm-sm7-c2960#sh cluster
Command switch for cluster "SM7"
        Total number of members:        2
        Status:                         0 members are unreachable
        Time since last status change:  36 days, 1 hours, 33 minutes
        Redundancy:                     Disabled
        Heartbeat interval:             8
        Heartbeat hold-time:            80
        Extended discovery hop count:   3

sm-sm7-c2960_1#sh cluster
Member switch for cluster "SM7"
        Member number:                  1
        Management IP address:          10.84.168.221
        Command switch mac address:     001e.4935.e500
        Heartbeat interval:             8
        Heartbeat hold-time:            80

sm-sm7-c2960#rcommand 1
sm-sm7-c2960_1#

Для поиска списка устройств можно использовать команду show cluster candidates

[править] Зеркалирование портов

sm-sm7-c2960(config)#monitor session 1 source interface FastEthernet 0/3
sm-sm7-c2960(config)#monitor session 1 destination interface FastEthernet 0/4

[править] Настройка vlan

sm-sm7-c2960(config)#int vlan 7
sm-sm7-c2960(config-if)#ip address 10.84.100.221 255.255.255.0
sm-sm7-c2960(config-if)#no shut
sm-sm7-c2960(config-if)#end
!
sm-sm7-c2960#vlan data
sm-sm7-c2960(vlan)#vlan 7 name sm7-inside
VLAN 7 modified:
    Name: sm7-inside

[править] Подавление широковещательных пакетов

sm-sm7-c2960(config)#int range fastEthernet 0/1-22
sm-sm7-c2960(config-if-range)#storm-control broadcast level pps 200 180
sm-sm7-c2960(config-if-range)#storm-control action shutdown

Просмотр результата:

sm-ptv-c2960#sh storm-control fastEthernet 0/1
Interface  Filter State   Upper        Lower        Current
---------  -------------  -----------  -----------  ----------
Fa0/1      Forwarding         200 pps      180 pps        0 pps

[править] Конфигурирование интерфейса для операций третьего уровня

Что бы настроить порт в качестве порта третьего уровня необходимо выполнить команду no switchport. В результате на этом порту будут отключены функции 2 уровня и будут включены функции третьего.
Пример:

Rack1SW1(config)#int fa 1/6
Rack1SW1(config-if)#no switchport
Rack1SW1(config-if)#ip address 10.84.154.23 255.255.255.0

[править] Предотвращение атак, связанных с фрагментацией пакетов

Атаки, основанные на фрагментации пакетов приводят к переполнению буфера. Основаны они на том, что на маршрутизатор/коммутатор приходит лавина незаконченных фрагментированных пакетов Для их избежания этой ситуации используется команда ip virtual-reassembly [options]

 drop-fragments  - отбрасывать все фрагментированные пакеты на интерфейсе
 max-fragments  n -  максимально допустимое число фрагментов в пакете. Может быть от 1 до 64. Значение по-умолчанию 32
 max-reassemblies n  Устанавливает количество одновременных reassemblies, может устанавливаться от 1 до 1024, значение по-умолчанию 16
 timeout s -Таймаут в секундах, время, за которое фрагментированный пакет должен быть собран воедино. Может принимать значения от 1 до 64 секунд. Значение по-умолчанию 3 секунды.

Данная возможность включается автоматически на интерфейсах (при возможности поддержки этой функции) при включении на интерфейсе Nat, firewall или IDS

Для просмотра используется команда

 show ip virtual-reassembly интерфейс

Пример:

Router#show ip virtual-reassembly GigabitEthernet0/0
GigabitEthernet0/0:
   Virtual Fragment Reassembly (VFR) is DISABLED...
   Concurrent reassemblies (max-reassemblies): 16
   Fragments per reassembly (max-fragments): 32
   Reassembly timeout (timeout): 3 seconds
   Drop fragments: OFF

   Current reassembly count:0
   Current fragment count:0
   Total reassembly count:0
   Total reassembly timeout count:0

GigabitEthernet0/1:
   Virtual Fragment Reassembly (VFR) is DISABLED...
   Concurrent reassemblies (max-reassemblies): 16
   Fragments per reassembly (max-fragments): 32
   Reassembly timeout (timeout): 3 seconds
   Drop fragments: OFF

   Current reassembly count:0
   Current fragment count:0
   Total reassembly count:0
   Total reassembly timeout count:0

[править] Power over Ethernet

Для включения\выключения подачи питания через Ethernet используется команда: power inline auto|never|static
Пример:

Switch(config-if)# power inline auto

[править] Настойка UDP broadcast

Роутеры умеют принимать и генерировать broadcast трафик, но они не умеют перенаправлять его. Это может вызвать проблемы например с DHCP сервером. Компьютер может пытаться найти с помощью broadcast пакетов DHCP сервер, но эти пакеты никогда не попадут на сервер.

Для избежания этой ситуации используется команда ip helper-address Эта команда должна быть настроена на интерфейсе, который будет получать brodcast пакеты.

Эта команда умеет транслировать 8 broadcast сервисов:

  • TIME, port 37
  • TACACS, port 49
  • DNS, port 53
  • BOOTP/DHCP Server, port 67
  • BOOTP/DHCP Client, port 68
  • TFTP, port 69
  • NetBIOS name service, port 137
  • NetBIOS datagram service, port 138

Пример:

sm-sm7-c2960(config-if)#ip helper-address 10.84.168.254

[править] См. также