Jump to content
Калькуляторы

Свичи cisco STP+Привязка MAC к портам

Планируется создать сеть примерно такого характера как на рисунке.

 

20454ca.jpg

 

Теперь задачи которые передо мной встали:

 

1) Необходимо настроить один свич vtp сервером остальные клиентами.

 

2) Нужно настроить stp протокол воизбежание петель, и на случай если какой из каналов отвалится чтоб был найден альтернативный путь (по умолчанию stp включен но неплохо было-бы настроить его так чтоб он работал только на магистральных портах).

 

3) Некоторых пользователей необходимо привязать к портам по mac да так чтоб комп с другим маком с этого порта в инет попасть не мог.

 

 

VTP server настроил следующим образом:

 

# vlan database

(vlan)# vlan 10 name MANAGMENT (Создаю вилланы vlan номер виллана, name имя вилана)

(vlan)# vtp domain TEST (настройка имени)

(vlan)# vtp password PASSWD (Настройка пароля)

(vlan)# vtp server (Включил режим сервера)

(vlan)# exit (Выходим)

 

Остальные свичи настраиваю как VTP client

 

# vlan database

(vlan)# vtp client (Включил режим клиента)

(vlan)# vtp domain TEST (настройка имени)

(vlan)# vtp password PASSWD (Настройка пароля)

(vlan)# exit (Выходим)

 

Подскажите как было-бы лучше настроить все это, если у кого уже действует аналогичная сеть расскажите какие подводные камни меня ждут.

 

 

Share this post


Link to post
Share on other sites

1. большущий камень

кольцо stp

используйте MSTP

и вообще нету колец в сети меньше геморроя.. проверено... (классическая звезда рулит)

Примеры настроек STP, RSTP, PVSTP, MSTP точно есть на этом форуме

 

2. vtp хорошо но повсеместное использование бессмысленно.

вот есть у вас клиентский свитч зачем стобы он знал о существование всех всех вланах сети??? ему нужен только один (2-3 макс) влан в котором у него сидят клиенты и/или влан управления все.

кста зная все вланы свитч будет пытатся изучить все маки во всех этих вланах.. что тоже есть не гуд.. таблица мак адресов она это не резиновая...

 

3. правила ACL на пропуск эзернет трафика.. точно мона сделать надо просто почитать доки циско.. я в них это видел..

 

зы на маленькой сети все это незаметно...

Edited by mukca

Share this post


Link to post
Share on other sites
2. vtp хорошо но повсеместное использование бессмысленно.

вот есть у вас клиентский свитч зачем стобы он знал о существование всех всех вланах сети??? ему нужен только один (2-3 макс) влан в котором у него сидят клиенты и/или влан управления все.

кста зная все вланы свитч будет пытатся изучить все маки во всех этих вланах.. что тоже есть не гуд.. таблица мак адресов она это не резиновая...

Ненужные виланы можно просто не пускать на свич например (switchport trunk allowed vlan 10,20).

В vtp есть такой режим как vtp transparent в реали проверит пока возможности нет но на эмуляторе вилан создается только после того как на одном из интерфейсов поставит accecc vlan.

Edited by radids

Share this post


Link to post
Share on other sites

Вопросы по курсу CCNA. Раз уж работаете с Cisco, то хотя бы почитайте материалы, а по хорошему пройдите полное обучение - подобные вопросы отпадут.

Share this post


Link to post
Share on other sites
Вопросы по курсу CCNA. Раз уж работаете с Cisco, то хотя бы почитайте материалы, а по хорошему пройдите полное обучение - подобные вопросы отпадут.

Спасибо крайне полезный совет:)

Всегда его ждал, шас все брошу возьму заначку и на курсы.

Share this post


Link to post
Share on other sites

Если серьезно - даже упрощенный вариант книги по ccna можно скачать с тех же торрентов (их там как грязи).

Прочитать книгу целиком и полностью, даже при ограниченном свободном времени, можно за неделю.

 

Вобще не понимаю, как можно приступать к работе с какой-либо технологией, не изучив предварительно хотя бы основной документации по ней. Это большая проблема нашего менталитета - инструкцию читают только после того как окончательно доломают...

Share this post


Link to post
Share on other sites

А зачем при таком железе на доступе нужен PPPoE?

Или 2950 - это не доступ?

Edited by bay

Share this post


Link to post
Share on other sites
А зачем при таком железе на доступе нужен PPPoE?

Или 2950 - это не доступ?

Услуги PPPoE уже предоставляются, сеть которую буду делать просто будет примыкать к уже существующей.

Share this post


Link to post
Share on other sites
Если серьезно - даже упрощенный вариант книги по ccna можно скачать с тех же торрентов (их там как грязи).

Прочитать книгу целиком и полностью, даже при ограниченном свободном времени, можно за неделю.

 

Вобще не понимаю, как можно приступать к работе с какой-либо технологией, не изучив предварительно хотя бы основной документации по ней. Это большая проблема нашего менталитета - инструкцию читают только после того как окончательно доломают...

Читать гигантский справочник это конечно хорошо но в мануалах обычно мало пишут о реальных примерах сети. Там никто не выкладывает схему реально существующей сети с настроенным pvst, rstp, или того же mstp, не пишут и о проблемах которые у него были и о том как он решил.

 

Ответ ищи в мануалах на втором месте после, а идика ты в гугл :)

Share this post


Link to post
Share on other sites

Вы не поверите...

VTP и STP в CCNA разжевано так, что отпадает 99% возникающих по этим темам вопросов. Покрайней мере в рамках работы устройств одного вендора (тобишь в вашем случае).

 

Но раз вот так совсем лень:

на центральном коммутаторе задайте нормальный режим stp (просто ieee/pvst будет маловато - слишком долгое схождение - лучше сразу rapid-pvst или mstp, но последнее в вашем случае - лишнее).

spanning-tree mode rapid-pvst

далее задайте приоритет пониже для гуляющих там вланов, или же назначьте его рутом.

spanning-tree vlan 1-1000 root prim

 

далее на доступе выставляете:

spanning-tree mode rapid-pvst

spanning-tree portfast bpduguard default

spanning-tree loopguard default

на аплинк порты:

spanning-tree guard none

на порты доступа:

spanning-tree portfast

 

этого уже придостаточно для stp.

 

для vtp на центральном коммутаторе задаем

vtp mode server

vtp domain название-домена (должно быть одинаковым на всех коммутаторах сегмента)

vtp version 2

vtp prunning

и задайте vtp password

.

 

на всех остальных:

vtp mode client

vtp domain название-домена

vtp version 2

vtp prunning

vtp password

 

этого будет достаточно.

trunk allowed вам не потребуется в этом случае - prunning вырезает с коммутатора пакеты вланов, которые на нем не задействуются.

vtp mode transparent исключит железку из участия в vtp (будет тупо прозрачно пересылать пакеты, но не обрабатывать их) - поэтому вам он не нужен.

 

с другой стороны, если вам нужны вланы с vid >1000 - от vtp прийдется отказаться (vtp mode transparent)

 

///

привязка по макам:

switchport port-security maximum 1

switchport port-security mac-address мак

switchport port-security violation режим : protect / restrict / shutdown - по желанию.

ну и не забудьте errdisable recovery cause security-violation - чтоб порт "оживал" по recovery интервалу.

или же, если у вас там "динамично" все - через ip dhcp relay + ip dhcp snooping

Edited by darkagent

Share this post


Link to post
Share on other sites

darkagent Гигантское спасибо очень интересно особенно (trunk allowed вам не потребуется в этом случае - prunning вырезает с коммутатора пакеты вланов, которые на нем не задействуются.)

Надеюсь что есть еще желающие поделиться опытом.

Share this post


Link to post
Share on other sites

VTP pruning makes more efficient use of trunk bandwidth by reducing unnecessary flooded traffic. Broadcast and unknown unicast frames on a VLAN are forwarded over a trunk link only if the switch on the receiving end of the trunk has ports in that VLAN. (CCNP Self-Study: CCNP BCMSN Exam Certification Guide, Third Edition)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this