Przełącznik jest urządzeniem sieciowym warstwy 2, pełniącym rolę punktu koncentracji dla podłączonych stacji roboczych, serwerów, routerów, koncentratorów i innych przełączników.
Koncentrator to starszy typ urządzenia łączącego, w którym także dostępnych jest wiele portów. Użycie koncentratorów jest jednakże gorszym rozwiązaniem niż użycie przełączników, ponieważ wszystkie podłączone do koncentratora urządzenia współużytkują to samo pasmo i domenę kolizyjną. Inną wadą koncentratorów jest ich ograniczenie do pracy wyłącznie w trybie półdupleksu. W trybie półdupleksu koncentratory mogą w określonym czasie tylko wysyłać lub odbierać dane, lecz nie mogą wykonywać jednocześnie obu tych operacji. Przełączniki mogą działać w trybie pełnego dupleksu, w którym mogą jednocześnie wysyłać i odbierać dane.
Przełączniki są wieloportowymi mostami. Przełączniki są obecnie używane jako standardowa technologia w sieciach LAN typu Ethernet o topologii gwiazdy. Przełącznik udostępnia wiele wydzielonych obwodów wirtualnych typu punkt-punkt między podłączonymi urządzeniami sieciowymi, co wyklucza występowanie kolizji.
Ponieważ przełączniki są urządzeniami najczęściej używanymi w nowoczesnych sieciach, zrozumienie ich działania i zdobycie umiejętności konfigurowania ich ma szczególne znaczenie przy obsłudze sieci.
W nowych przełącznikach są wstępnie zdefiniowane domyślne fabryczne ustawienia parametrów. Taka konfiguracja rzadko odpowiada konkretnym wymaganiom administratorów sieci. Konfigurowanie i zarządzanie przełącznikami może się odbywać przy użyciu interfejsu wiersza poleceń CLI (ang. command-line interface). Urządzenia sieciowe mogą być także konfigurowane i zarządzane za pośrednictwem interfejsu WWW i przeglądarki.
Administratorzy sieci muszą znać wszystkie zadania związane z zarządzaniem sieciami, w których są używane przełączniki. Do zadań tych należy obsługa przełącznika i wykorzystywanego na nim systemu operacyjnego IOS. Inne zadania są związane z zarządzaniem interfejsami i tablicami w celu zapewnienia optymalnego, niezawodnego i bezpiecznego działania przełączników. Podstawowa konfiguracja przełącznika, aktualizacja systemu IOS i odzyskiwanie hasła to najważniejsze umiejętności wymagane od administratora sieci.
Teraz zapoznamy się z właściwościami, funkcjami i metodami uruchamiania przełączników.
Przełączniki to dedykowane, wyspecjalizowane komputery z centralną jednostką obliczeniową CPU, pamięcią RAM i systemem operacyjnym. W przełącznikach jest zazwyczaj dostępnych wiele portów, do których mogą zostać podłączone hosty, a także specjalne porty umożliwiające zarządzanie. Istnieje możliwość zarządzania przełącznikami oraz wyświetlania i modyfikowania ich parametrów konfiguracyjnych przy użyciu portu konsoli.
Przełączniki zazwyczaj nie są wyposażone w przełącznik zasilania służący do włączania lub wyłączania. Są one po prostu podłączane do źródła zasilania lub odłączane.
Na panelu czołowym przełącznika znajdują się lampki ułatwiające monitorowanie działania i wydajności systemu. Lampki te są nazywane diodami LED (ang. light-emitting diodes). Opisano tu następujące diody LED znajdujące się na panelu czołowym przełącznika:
Systemowa dioda LED wskazuje, czy system jest podłączony do źródła zasilania i działa poprawnie.
Dioda LED zasilania zdalnego wskazuje, czy jest wykorzystywane zasilanie zdalne.
Diody LED trybu wyświetlania wskazują stan przycisku Mode (Tryb). Tryby są wykorzystywane do interpretacji wskazań diod LED określających stan portu. Aby wybrać lub zmienić tryb działania diod stanu portu, należy naciskać przycisk Mode aż do uzyskania żądanego trybu wyświetlania wskazywanego przez diody trybu wyświetlania.
| Dioda typu | Kolor doidy stanu portu | Opis |
| STAT | Wyłączona | Brak łącza |
| Światło ciągle zielone | Łącze aktywne | |
| Światło migające zielone | Port wysyłą lub odbiera dane | |
| Światło zmienne zielone/pomarańczowe | Awaria łącza | |
| Światło ciągle pomarańczowe | Port nie przekazuje danych, ponieważfunkcja ta została wyłączone z powodu naruszenia zasad dostyczących zarządzania lub obsługi adresów albo zablokowana przez protokół drzewa opinającego. | |
| UTIL | Wyłączona | Każda wyłączona dioda LED wskazuje zmniejszenie przepustowości o połowę wzlędem przepustowości całkowitej. Diody LED są wyłączone od strony prawej do lewej. Jeśli jest wyłączona pierwsza z prawej dioda LED, oznacza to, że przełącznik wykorzystuje mniej niż 50% całkowitej przepustowości. Jęsli są wyłączone dwie diody LED położone po prawej stronie, oznacza to, że przełącznik wykorzystuje mniej niź 25% całkowitej przepustowości. |
| Świtło zielone | Jeśli wszystkie doidy LED są zielone, przełącznik wykorzystuje 50% całkowitej przepustowości lub więcej. | |
| SPEED | Wyłączona | Port działa z szybkością 10Mb/s |
| Światło zielone | Port działa z szybkością 100Mb/s | |
| Światło migające zielone | Port działa z szybkością 1000Mb/s | |
| DUPLX | Wyłączona | Port działa w trybie półdupleksu |
| Światło zielone | Port działą w trybie pełnego dupleksu |
Po podłączeniu kabla zasilania w przełączniku jest przeprowadzany szereg testów określanych jako testy POST (ang. power-on self test). Testy POST są wykonywane automatycznie w celu sprawdzenia poprawności działania przełącznika. Powodzenie lub niepowodzenie testów POST jest wskazywane przez systemową diodę LED. Jeśli systemowa dioda LED nie świeci, a przełącznik jest podłączony do źródła zasilania, oznacza to, że są wykonywane testy POST. Jeśli systemowa dioda LED ma kolor zielony, oznacza to, że testy POST zostały zakończone pomyślnie. Jeśli systemowa dioda LED ma kolor żółty, oznacza to, że testy POST nie zostały zakończone pomyślnie. Niepowodzenie podczas testów POST jest uważane za błąd krytyczny. Nie należy oczekiwać poprawnego działania przełącznika, jeśli wykonanie testów POST zakończyło się niepowodzeniem.
Podczas wykonywania testów POST zmianie ulegają także diody LED określające stan portów. Diody LED stanu portów mają kolor żółty przez około 30 sekund; w tym czasie przełącznik wykrywa topologię sieci i wyszukuje pętle. Jeśli kolor diod LED stanu portów ulegnie zmianie na zielony, będzie to oznaczać, że zostało ustanowione połączenie między portem a urządzeniem docelowym, na przykład komputerem. Jeśli diody LED stanu portów zostaną wyłączone, będzie to oznaczać, że w przełączniku nie zostały wykryte żadne urządzenia podłączone do portów.
Aby skonfigurować przełącznik lub sprawdzić jego stan, należy podłączyć do niego komputer i ustanowić sesję komunikacyjną. Za pomocą kabla do konsoli (rollover) należy połączyć port konsoli znajdujący się z tyłu przełącznika z portem COM znajdującym się z tyłu komputera.
Uruchom na komputerze program HyperTerminal. Zostanie wyświetlone okno dialogowe. Podczas konfigurowania po raz pierwszy połączenia programu HyperTerminal z przełącznikiem należy najpierw określić nazwę połączenia. Z menu rozwijanego wybierz port COM, do którego jest podłączony przełącznik, a następnie kliknij przycisk OK. Zostanie wyświetlone drugie okno dialogowe. Ustaw parametry połączenia, a następnie kliknij przycisk OK.
Podłącz przełącznik do źródła zasilania. W oknie programu HyperTerminal powinny zostać wyświetlone dane wyjściowe wygenerowane przy pierwszym uruchomieniu przełącznika. Te dane wyjściowe zawierają informacje o przełączniku, szczegółowe informacje o stanie testów POST oraz informacje dotyczące sprzętu.
Po uruchomieniu przełącznika i zakończeniu testów POST zostaną wyświetlone monity dialogu konfiguracji systemu (ang. System Configuration). Przełącznik może zostać skonfigurowany ręcznie przy użyciu dialogu konfiguracji systemu lub bez jego pomocy. Dialog konfiguracji systemu przełącznika jest mniej złożony niż ten na routerze.
Interfejs wiersza poleceń przełączników Cisco jest bardzo podobny do interfejsu wiersza poleceń dostępnego w routerach firmy Cisco.
Aby wywołać system pomocy, należy wprowadzić znak zapytania (?).Po wprowadzeniu tego znaku wyświetlana jest lista poleceń dostępnych w bieżącym trybie.
System pomocy jest bardzo elastyczny. Aby uzyskać listę poleceń rozpoczynających się od konkretnego ciągu znaków, należy wprowadzić te znaki, a następnie znak zapytania (?). Nie należy wstawiać spacji przed znakiem zapytania. Ta forma pomocy jest określana jako pomoc na temat słowa (ang. word help), ponieważ wyszukiwane jest słowo kluczowe, w którym na początku występuje wprowadzona właśnie sekwencja znaków.
Aby wyświetlić listę słów kluczowych lub argumentów związanych z określonym poleceniem, należy wprowadzić jedno lub więcej słów związanych z tym poleceniem, a następnie spację i znak zapytania (?). Ta forma pomocy jest określana jako pomoc na temat składni polecenia, ponieważ umożliwia ona uzyskanie dostępnych słów kluczowych lub argumentów związanych z określonym poleceniem.
Opisano tu dwa tryby poleceń przełącznika. Trybem domyślnym jest tryb EXEC użytkownika. Tryb EXEC użytkownika można rozpoznać po symbolu zachęty, w którym na końcu występuje znak "większe niż" (>). W trybie EXEC użytkownika liczba poleceń jest ograniczona, ponieważ są dostępne tylko polecenia służące do modyfikowania ustawień terminala, wykonywania podstawowych testów i wyświetlania informacji o systemie.
Polecenie enable służy do przełączania z trybu EXEC użytkownika do uprzywilejowanego trybu EXEC. Uprzywilejowany tryb EXEC można także rozpoznać po symbolu zachęty, w którym na końcu występuje znak kratki (#). W zestawie poleceń uprzywilejowanego trybu EXEC dostępne jest polecenie configure, a także wszystkie polecenia dostępne w trybie EXEC użytkownika. Polecenie configure umożliwia uzyskanie dostępu do pozostałych trybów poleceń. Ponieważ tryby te służą do konfigurowania przełącznika, dostęp do uprzywilejowanego trybu EXEC powinien być chroniony hasłem, aby zapobiec nieuprawnionemu wykorzystaniu tego trybu. W przypadku ustawienia hasła przed udzieleniem użytkownikowi dostępu do uprzywilejowanego trybu EXEC wyświetlany jest monit o wprowadzenie hasła. Hasło nie jest wyświetlane na ekranie i jest w nim rozróżniana wielkość liter.
Podczas pierwszego uruchamiania przełącznika w pliku bieżącej konfiguracji znajdują się ustawienia domyślne przełącznika. Nazwa domyślna hosta to Switch. Dla linii konsoli i linii terminala wirtualnego (vty) nie są ustawione żadne hasła.
Przełącznikowi może zostać nadany adres IP ułatwiający zarządzanie. Adres ten jest konfigurowany dla interfejsu wirtualnego VLAN 1. Domyślnie dla przełącznika nie jest określony żaden adres IP.
Porty lub interfejsy przełącznika działają w trybie automatycznym i wszystkie porty przełącznika znajdują się w sieci VLAN 1. Sieć VLAN 1 jest określana jako domyślna sieć VLAN zarządzania.
W katalogu pamięci Flash domyślnie znajduje się plik z obrazem systemu IOS, plik o nazwie env_vars oraz podkatalog o nazwie html. Po skonfigurowaniu przełącznika w tym katalogu będzie się znajdował plik o nazwie config.text, a także baza danych VLAN. W katalogu w pamięci Flash nie znajduje się plik config.text ani plik bazy danych VLAN o nazwie vlan.dat.
Wersję systemu IOS i ustawienia rejestru konfiguracji można sprawdzić za pomocą polecenia show version.
W tym domyślnym stanie z przełącznikiem jest związana jedna domena rozgłoszeniowa; do zarządzania przełącznikiem oraz konfigurowania go przy użyciu portu konsoli może posłużyć interfejs wiersza poleceń. Włączony jest także protokół STP (Spanning Tree Protocol), który umożliwia mostowi utworzenie topologii bez pętli w rozszerzonej sieci LAN.
W przypadku małych sieci ta konfiguracja domyślna może być wystarczająca. Natychmiast uzyskiwana jest lepsza wydajność wynikająca z zastosowania mikrosegmentacji.
Możliwe, że przełącznik jest już wstępnie skonfigurowany i może być tylko wymagane podanie haseł w celu uzyskania dostępu do trybu EXEC użytkownika lub uprzywilejowanego trybu EXEC. Dostęp do trybu konfiguracji przełącznika jest możliwy tylko w uprzywilejowanym trybie EXEC.
W interfejsie wiersza poleceń domyślnym symbolem zachęty uprzywilejowanego trybu EXEC jest Switch#. W trybie EXEC użytkownika domyślnym symbolem zachęty jest Switch >.
Wykonanie poniższych czynności zapewni całkowite zastąpienie bieżących ustawień konfiguracyjnych nowymi ustawieniami:
Zagadnienia związane z ochroną, dokumentacją i zarządzaniem są istotne w przypadku każdego urządzenia sieciowego.
Dla przełącznika należy określić nazwę hosta, a dla linii konsoli i linii terminala wirtualnego (vty) należy określić hasła.
Aby zapewnić dostęp do przełącznika za pośrednictwem usługi Telnet lub innych aplikacji TCP/IP, należy mu przypisać adres IP. Przełącznikowi należy przypisać bramę domyślną, aby podczas pracy przy użyciu interfejsu wiersza poleceń dostępne były inne sieci.
Domyślnie sieć VLAN 1 jest siecią VLAN służącą do zarządzania. Sieć VLAN zarządzająca jest stosowana do zarządzania wszystkimi urządzeniami sieciowymi w danej sieci. W sieci opartej na przełącznikach wszystkie urządzenia sieciowe powinny znajdować się w sieci VLAN zarządzającej. Domyślnie wszystkie porty należą do sieci VLAN 1. Dobrą praktyką jest usunięcie wszystkich portów dostępowych z sieci VLAN 1 i umieszczenie ich w innej sieci VLAN. Pozwala to na zarządzanie urządzeniami sieciowymi przy jednoczesnym odizolowaniu stacji roboczych od sieci VLAN zarządzającej.
W przypadku portów przełącznika przeznaczonych do obsługi sieci Fast Ethernet są domyślnie włączone funkcje autonegocjacji szybkości oraz trybu dupleksu. Pozwala to interfejsom na wynegocjowanie odpowiednich ustawień. W razie potrzeby administratorzy sieci mogą skonfigurować ręcznie szybkość interfejsu i ustawienia dotyczące trybu dupleksu następującymi poleceniami:duplex full i speed <kb/s>.
W niektórych urządzeniach sieciowych może być dostępny interfejs konfiguracyjny WWW służący do konfigurowania i zarządzania. Po skonfigurowaniu w przełączniku adresu IP i bramy, jest możliwe uzyskanie dostępu do przełącznika za pośrednictwem interfejsu WWW. Przeglądarka WWW może uzyskać dostęp do tej usługi przy użyciu podanego adresu IP i portu 80 (portu domyślnego dla protokołu HTTP). Istnieje możliwość włączenia lub wyłączenia usługi HTTP, a także możliwość wyboru adresu portu dla tej usługi.
Istnieje możliwość pobrania dowolnego dodatkowego oprogramowania (np. apletu) z przełącznika do przeglądarki. Istnieje także możliwość zarządzania siecią przy użyciu graficznego interfejsu użytkownika (GUI) działającego w przeglądarce.
Przełączniki badają adresy źródłowe ramek odbieranych na portach w celu uzyskania adresów MAC komputerów PC lub stacji roboczych podłączonych do tych portów. Uzyskane w ten sposób adresy MAC są następnie zapisywane w tablicach adresów MAC. Ramki zawierające docelowy adres MAC równy adresowi MAC zapisanemu w tablicy mogą zostać przekazane do odpowiedniego interfejsu.
W celu wyświetlenia adresów uzyskanych przez przełącznik, należy w uprzywilejowanym trybie EXEC użyć polecenia show mac-address-table.
Przełącznik dynamicznie poznaje i zapisuje tysiące adresów MAC. Aby zachować miejsce w pamięci i zapewnić optymalne działanie przełącznika, uzyskane wpisy mogą zostać usunięte z tablicy adresów MAC. Urządzenia mogą zostać odłączone od portu, wyłączone lub przeniesione do innego portu tego samego lub innego przełącznika. To może spowodować zamieszanie podczas przekazywania ramek. Z tego powodu, jeśli w ciągu 300 sekund nie zostaną odebrane ramki od urządzeń, których adres został uprzednio uzyskany i zapisany w tablicy adresów MAC, wpis dotyczący tego adresu jest automatycznie usuwany (ulega przedawnieniu).
Zamiast czekać na przedawnienie dynamicznych wpisów, administratorzy sieci mogą usunąć wpisy przy użyciu polecenia clear mac-address-table w uprzywilejowanym trybie EXEC. Polecenie to może służyć także do usunięcia wpisów adresów MAC skonfigurowanych przez administratorów sieci. Ta metoda czyszczenia wpisów tablic zapewnia natychmiastowe usunięcie niepoprawnych adresów.
Administrator może w sposób trwały przypisać adres MAC do interfejsu. Istnieją następujące przyczyny, dla których adres MAC jest trwałe przypisywany do interfejsu:
Do skonfigurowania statycznego adresu MAC w przełączniku może zostać użyte następujące polecenie:
Switch(config)#mac-address-table static << adres mac hosta > interface FastEthernet < identyfikatorEthernet > vlan < nazwa sieci vlan >
Do usunięcia statycznego adresu MAC zdefiniowanego w przełączniku może zostać użyte następujące polecenie:
Switch(config)#no mac-address-table static < adresmac hosta > interface FastEthernet < identyfikatorEthernet > vlan < nazwa sieci vlan >
Omówimy teraz przyczyny, dla których ważne jest bezpieczeństwo portów, oraz metody konfigurowania ustawień w przełączniku Catalyst 2900 związanych z bezpieczeństwem.
Administratorzy sieci są odpowiedzialni za zapewnienie bezpieczeństwa sieci. Dostęp do portów przełączników działających w warstwie dostępu jest realizowany za pośrednictwem okablowania strukturalnego z gniazdami ściennymi. Każdy użytkownik może podłączyć komputer PC lub komputer przenośny do jednego z tych gniazd. Jest to potencjalny punkt dostępu do sieci, który może zostać wykorzystany przez nieuprawnionych użytkowników. W przełącznikach jest dostępna funkcja bezpieczeństwa portu. Istnieje możliwość ograniczenia liczby adresów uzyskiwanych z interfejsu. Przełącznik może zostać skonfigurowany tak, aby było wykonywane odpowiednie działanie, gdy nastąpi naruszenie tego ograniczenia. Bezpieczne adresy MAC mogą zostać skonfigurowane statycznie. Jednakże statyczne skonfigurowanie bezpiecznych adresów MAC to złożone zadanie, przy którym często popełniane są błędy.
Alternatywne rozwiązanie polega na ustawieniu bezpieczeństwa portu w interfejsie przełącznika. Istnieje możliwość ograniczenia liczby adresów MAC dla portu do 1. Pierwszy dynamicznie uzyskany przez przełącznik adres staje się adresem bezpiecznym.
Aby wyłączyć funkcję bezpieczeństwa portu w interfejsie, należy użyć polecenia ze słowem kluczowym no.
Do sprawdzenia stanu funkcji bezpieczeństwa portu może posłużyć polecenie show port security.
Następujące parametry powinny zostać skonfigurowane w nowym przełączniku, który ma zostać dodany do sieci:
Gdy host przenoszony jest z jednego portu przełącznika do innego, należy wyeliminować ustawienia konfiguracyjne, które mogłyby spowodować nieoczekiwane działania. Następnie przełącznik może zostać skonfigurowany ponownie w celu odzwierciedlenia zaistniałych zmian.
Administratorzy sieci są odpowiedzialni za dokumentowanie i zarządzanie operacyjnymi plikami konfiguracyjnymi urządzeń sieciowych. Administrator powinien tworzyć kopię zapasową aktualnego pliku konfiguracyjnego i przechowywać ją na serwerze lub dysku. Wykonanie tej czynności ma istotne znaczenie nie tylko dla celów prowadzenia dokumentacji, ale również dla zapewnienia możliwości odtworzenia konfiguracji w wypadku awarii.
Na serwerze lokalnym powinna znajdować się także kopia zapasowa pliku obrazu systemu IOS. Wówczas w razie potrzeby będzie możliwe załadowanie obrazu IOS do pamięci flash.
Istnieje wiele podobieństw między przełącznikami i routerami. W obu typach urządzeń są używane podstawowe podzespoły komputerowe, takie jak procesor CPU, pamięć RAM i system operacyjny. Dostępnych jest kilka portów używanych do podłączenia hostów lub służących do zarządzania. Diody LED na panelu czołowym przełącznika pokazują stan systemu, stan zasilania zdalnego, tryb wyświetlania i stan portu. Po włączeniu przełącznika są wykonywane automatycznie testy POST w celu sprawdzenia poprawności działania przełącznika. Za pomocą programu HyperTerminal można skonfigurować przełącznik lub sprawdzić jego stan.
Inną cechą łączącą przełączniki i routery Cisco jest wykorzystanie interfejsu wiersza poleceń CLI. Aby uzyskać pomoc, należy wprowadzić znak zapytania (?). Zostanie wyświetlona lista dostępnych poleceń. W przypadku przełączników jest dostępna pomoc na temat określonego słowa kluczowego i pomoc na temat składni polecenia.
Tryby poleceń przełączników są takie same, jak tryby poleceń routerów. Trybem domyślnym jest tryb EXEC użytkownika, który można rozpoznać po symbolu "większe niż" (>). Polecenie enable służy do przełączenia z trybu EXEC użytkownika do uprzywilejowanego trybu EXEC, który można rozpoznać po symbolu kratki (#). Dostęp do uprzywilejowanego trybu EXEC powinien być chroniony hasłem, aby zapobiec nieuprawnionemu wykorzystaniu tego trybu. Polecenie configure umożliwia uzyskanie dostępu do pozostałych trybów poleceń.
Przy pierwszym włączeniu przełącznika są wykorzystywane domyślne dane. Aby zapewnić możliwość zarządzania przełącznikiem, jest konieczne przypisanie mu adresu IP. Aby wyświetlić wersję oprogramowania IOS i ustawienia rejestru konfiguracyjnego, należy użyć polecenia show version.
Po skonfigurowaniu w przełączniku adresu IP i bramy, jest możliwe uzyskanie dostępu do tego przełącznika za pośrednictwem interfejsu WWW. Umożliwia to zdalne konfigurowanie przełącznika i zarządzanie nim. Usługa ta jest dostępna za pośrednictwem przeglądarki WWW przy użyciu odpowiedniego adresu IP i portu 80 (domyślny port protokołu HTTP).
Przełącznik dynamicznie poznaje i zapisuje tysiące adresów MAC. Jeśli w ciągu 300 sekund nie zostaną odebrane ramki od urządzeń, których adresy zostały uprzednio uzyskane i zapisane w tablicy adresów MAC, wpisy tych adresów są automatycznie usuwane (ulegają przedawnieniu). Istnieje możliwość ręcznego wyczyszczenia tablic adresów przy użyciu polecenia clear mac-address-table wprowadzonego w uprzywilejowanym trybie EXEC.
Przypisanie trwałego adresu MAC do interfejsu zapewnia, że określony adres MAC nie ulegnie automatycznie przedawnieniu w przełączniku, oraz zwiększa poziom bezpieczeństwa. Do sprawdzenia stanu funkcji bezpieczeństwa portu może posłużyć polecenie show port security.
Dla nowego przełącznika, który jest dodawany do sieci, należy zdefiniować nazwę przełącznika, adres IP, domyślną bramę i hasła dla poszczególnych linii. Gdy host jest przenoszony z jednego portu przełącznika do innego, należy wyeliminować ustawienia konfiguracyjne, które mogłyby spowodować nieoczekiwane działania. Należy prowadzić dokumentację bieżącej konfiguracji i okresowo tworzyć kopie zapasowe na serwerze lub dysku.