CCNA Exploration – Přepínání v LAN a bezdrátové sítě

Výhradně pro vnitřní potřebu a výuku v LCNA na VOŠ a SPŠE v Plzni!Cisco NetAcad: CCNA Exploration - LAN Switching and Wireless - poznámky

CCNA Exploration – Přepínání v LAN a bezdrátové sítě

Upozornění: nejedná se o překlad celého kurikula, ale o poznámky a přepracované překlady k jednotlivým kapitolám kurikula CCNA Exploration (LAN Switching and Wireless).

Tento materiál nenahrazuje samotné kurikulum ani Vaše vlastní školní poznámky!!!

Určeno výhradně pro použití a výuku v Local Cisco Network Academy na VOŠ a SPŠE v Plzni. Nezapomeňte, že se jedná o materiál chráněný autorským právem, proto ho dále nerozšiřujte.

„For use in the Local Academy of the Cisco Network Academy Program only! Don’t Distribute!“

● Připomínky, náměty, popřípadě nalezené chyby mi zasílejte, prosím, na [email protected] Věc: CCNA_Exploration_3.PDF. Děkuji Vám.

● Pro procvičování jednotlivých příkazů a celých konfigurací sítí používejte simulátor Packet Tracer (v poslední dostupné verzi).

● Pro analýzu síťového provozu na stanici používejte analyzátor síťových protokolů Wi-reShark v režimu s právy lokálního administrátora na stanici.

● Samostatně si odpovídejte na kontrolní otázky v souhrnu a kvízu pro každou kapitolu v ku-rikulu.

● Postupujte podle pravidla: pochopit – naučit se – procvičit – otestovat znalosti i dovednosti.

● Při nastavování na reálných zařízeních v učebně i pro PacketTracer používejte stále stejná hesla:

● pro privilegovaný režim enable: cisco

● pro linku vty - telnet a také pro linku konzole: class

● Protože se jedná o pracovní verzi (stále se upravuje), používejte vždy poslední dostupnou verzi dle data exportu do PDF (a zbytečně netiskněte).

● Originální materiály v angličtině: http://www.cisco.com/web/learning/netacad/index.html (http://cisco.netacad.net, http://www.cisco.com/edu ).

Předpokládané znalostiKurz navazuje na CCNA Exploration - Network Fundamentals (CCNA1 Exploration).

Informace o e-learningové iniciativě Cisco CNAP a obsah celého předchozího kurzu CCNA viz soubor CCNA_Exploration_1.PDF. (Předpokládám i znalost druhého semestru - CCNA Explo-ration – Routing Protocols and Concepts.)

Přepínání v lokální síti LAN a bezdrátové sítěZákladní dovednosti a kompetence absolventa kurzu CCNA Exploration - LAN Switching and Wireless:

Soubor: CCNA_Exploration_3 - 1 - Pracovní verze: 2.06Zpracoval: Miroslav Páv Export do PDF: 5.1.2011

mailto:[email protected]

http://www.cisco.com/edu

http://cisco.netacad.net/

http://www.cisco.com/web/learning/netacad/index.html


● vyhledává a odstraňuje běžné problémy na vrstvách 1, 2, 3 a 7 s použitím znalostí vrstvové-ho modelu,

● správně interpretuje síťové diagramy (schémata sítí),

● provede a ověří počáteční konfiguraci přepínače včetně nastavení vzdálené správy,

● konfiguruje, ověří funkci a odstraní běžné chyby virtuálních sítí VLAN, směrování mezi vir-tuálními sítěmi, VTP, nastavení kmenové linky (trunking) a činnosti RSTP,

● spravuje konfigurační soubory IOS,

● identifikuje základní parametry pro konfiguraci bezdrátové sítě a řeší běžné implementační problémy.

Obsah kursu CCNA Exploration - LAN Switching and Wireless:

1. Návrh LAN 1.1.přepínaná síť 1.2.hierarchická a konvergovaná síť 1.3.přiřazení funkcí přepínače k různým funkcím LAN 1.4.struktura přepínače

2. Koncept přepínání 2.1.úvod do LAN Ethernet (802.3) 2.2.přepínání rámců pomocí přepínače 2.3.základní konfigurace a správa přepínače 2.4.základní zabezpečení přepínače

3. Virtuální lokální síť VLAN 3.1.základní koncepce VLAN 3.2.typy VLAN 3.3.zapouzdření a přenos na kmenové lince (trunking) 3.4.konfigurace VLAN a kmenové linky 3.5.řešení problémů VLAN a kmenové linky

4. VLAN Trunk Protocol (VTP) 4.1.koncept konfigurace VLAN pomocí VTP 4.2.činnost protokolu 4.3.konfigurace VTP

5. Spanning Tree Protocol (STP) 5.1.topologie linkové vrstvy s nadbytečnými spoji 5.2.úvod do STP 5.3.propagace a konvergence STP 5.4.rychlý STP (RSTP)

6. Směrování mezi sítěmi VLAN 6.1.konfigurace 6.2.problémy a jejich řešení

7. Základy bezdrátových sítí 7.1.bezdrátová síť LAN (WLAN) 7.2.bezpečnost WLAN 7.3.konfigurace přístupového bodu a bezdrátové síťové karty



7.4.řešení problémů u jednoduché WLAN



Úvod

Kurz se skládá z následujících částí:● Prezentace, diskuse a cvičení ve třídě s vaším instruktorem● Praktická cvičení v laboratoři síťové akademie● Online testování vašich znalostí (pro sebehodnocení (self-assesment): kvízy, pro externí (=

školní) hodnocení (assesment): testy (minimálně je potřeba získat 60% bodů ze 100% možných)).

● Výukový SW pro simulaci a virtualizaci sítě (Packet Tracer v poslední dostupné verzi)● Další SW pro aktivity ve třídě (např. analyzátor síťových protokolů - Wireshark)

Online materiály pro kurz:● http://www.cisco.com/web/learning/netacad/index.html ● http://cisco.netacad.net ● https://cisco.netacad.net/cnams/dispatch

Potřebné vybavení: Web Browser s pluginem Adobe (Macromedia) Flash Player a povolená vyska-kovací okna.

Nové motto NetAcad programu „Mysl široce otevřená“ (Mind Wide Open™) vás má motivovat k samostatné vlastní činnosti, instruktor vás v tom „jenom“ podporuje. Ale vy si musíte dát svůj vlastní osobní závazek, že se opravdu budete učit nové znalosti a dovednosti. K tomu vám pomůže několik následujících doporučení:

1. Dělejte si své vlastní poznámky,2. Přemýšlejte o tom,3. Procvičujte své dovednosti v praxi,4. A ještě jednou je procvičujte,5. Zkuste své znalosti naučit spolužáka (co nejste schopni vysvětlit druhému, to neumíte1),6. Korigujte se podle zpětné vazby kvízů a testů.

Určení aktuální detailní polohy v systému on-line kurzů:● Kurz (Course) (CCNA Exploration),● Kurikulum (Curriculum) (Routing Protocols and Concepts),● Kapitola (Chapter), dříve též modul (formát čísla kapitoly: 9)● Sekce (Section) (9.9),● Téma (Topic) (9.9.9),● aktuální stránka v tématu (pouze číslo v zeleném kruhu bez názvu) (Location Box: 9.9.9.9).

1 Lucius Annaeus Seneca: “Když lidé vyučují, sami se učí.“ (Homines dum docent, discunt.)


https://cisco.netacad.net/cnams/dispatch

http://cisco.netacad.net/

http://www.cisco.com/web/learning/netacad/index.html


Kapitola 1 – Návrh LAN

V této kapitole se naučíme:

● popsat jak hierarchická síť podporuje potřeby malých nebo středně velkých podniků na hla-sové, video nebo datové přenosy,

● popsat funkce každé ze tří vrstev hierarchického modelu návrhu sítě (hierarchical network design model), principy hierarchického návrhu sítě (agregovaná konektivita, nejdelší délka trasy v síti, nadbytečná redundandní zařízení; aggregate connectivity, network diameter, re-dundancy) a koncept konvergované sítě (converged network),

● poskytnou příklady toho, jaký má na návrh sítě dopad přenos hlasu a videa prostřednictvím protokolu IP

● vybrat odpovídající zařízení pro činnost na každé vrstvě hierarchie, včetně komponent pro přenos hlasu a videa,

● přiřadit vhodný přepínač (switch) od Cisco ke každé vrstvě hierarchického modelu návrhu sítě.

Podniková přepínaná síť je v hierarchickém modelu návrhu sítě rozdělena na tři vrstvy:

● core – páteřní -

● distribution – distribuční -

● access – přístupová -

Přepínač vybrané pro každou vrstvu musí vyhovovat potřebám každé hierarchické vrstvy stejně tak jako potřebám konkrétního byznysu té které firmy.

Hierarchický model vychází vstříc řešení následujících problémů:

● výkon – performance - ,

● rozšiřitelnost – scalability - ,

● možnosti údržby a správy - maintainability & manageability - .

Funkce každé vrstvy hierarchického modelu:

Feature (funkce) Access(přístupová)

Distribution(distribuční)

Core(páteřní)

Bandwidth aggregation (agregace přeno-sové kapacity, šířky pásma)

X X X

Fast Ethernet/Gigabit Ethernet X

Gigabit Ethernet/10-Gigabit Ethernet X X



High forwarding rate (rychlé přepínání) X

Very high forwarding rate (velmi rychlé přepínání)

X

Layer 3 support (podpora L3) X X

Port security (zabezpečení portů) X

Power over Ethernet (PoE) (napájení přes Ethernet)

X

Quality of Service (QoS) (kvalita služby) X X X

Redundant components (redundandní komponenty)

X X

Security policies/access control lists (bez-pečnostní politiky/přístupové seznamy)

X

VLANs (virtuální sítě VLAN) X

Opakování - příkazy pro základní konfiguraci směrovače

Command (příkaz) Description (popis)

Router>enable Přepíná mezi uživatelským režimem EXEC a privi-legovaným režimem EXEC.

Router#disable Přepíná zpět z privilegovaného režimu do uživatelské-ho režimu.

Router#configure terminal Přechod do globálního konfiguračního režimu.

Router(config)#hostname CISCO Pojmenuje směrovač jako CISCO

Router(config)#enable secret class Nastaví heslo privilegovaného režimu (enable) na class a zašifruje ho.

Router(config)#banner motd #Authorized Access Only#

Konfiguruje denní uvítací zprávu (message-of-the-day banner) tak, že použije # jako oddělovací znak a zob-razí následující text („Authorized Access Only“), když se uživatel pokouší přihlásit se do systému.

Router(config)#line console 0 Vstup do konfiguračního režimu konzolové linky. (console line configuration mode)

Router(config-line)#password cisco Nastavuje heslo konzole na cisco.



Router(config-line)#login Umožní ověření hesla při přihlášení uživatele.

Router(config)#line vty 0 4 Vstup do konfiguračního režimu pro 5 linek Telnet.

Router(config)#interface fa 0/0 Vstup do konfiguračního režimu rozhraní pro Fa0/0

Router(config-if)#ip addres 192.168.1.1 255.255.255.0

Nastavuje adresu rozhraní jako 192.168.1.1/24

Router(config-if)#description Link to ISP Nastavuje rozhraní s textem „Link to ISP“, použito pro účely popisu linky (je vidět při výpisu konfigurace).

Router(config-if)#no shutdown Aktivuje, zapíná, rozhraní.

Router#copy running-config startup-config

Ukládá aktuální běžící konfiguraci do paměti NVRAM.

Router#show running-config Zobrazí aktuální běžící konfiguraci v RAM.

Router#show startup-config Zobrazí konfiguraci uloženou v paměti NVRAM.

Router>ping 192.168.1.1

nebo

Router#ping 192.168.1.1

Testuje konektivitu koncových zařízení se vzdálenou cílovou adresou 192.168.1.1.

Router>telnet 192.168.1.1

nebo

Router#telnet 192.168.1.1

Spustí vzdálené sezení (session) správy zařízení na ad-rese 192.168.1.1.

Kontrolní opakovací otázky a odpovědi (kvíz):

1. Tři správně přiřazené funkce k jednotlivým vrstám hierachického návrhu struktury sítě:

a) access – rozhraní pro koncová zařízení,

b) distribution – řízení provozu a bezpečnostní politiky,

c) core – vysokorychlostní páteřní síť (backbone network).

2. Co je to konvergence ve vztahu k návrhu sítě

a) kombinace konvenčního datového a video i audio provozu na společné síti

3. Jaké jsou potenciální přínosy a výhody (benefit) konvergované sítě?

a) Zjednodušuje provádění změn v síti

b) na jednom počítači je jsou datové i video a audio aplikace



c) datovou i telefonní síť spravuje stejný tým lidí (protože je to na jedné síťové infrastruk-tuře)

4. Akce prováděné v jednotlivých typech analýzy:

a) Komunita uživatelů:

i. počet portů požadovaných pro pracovní stanice v oddělení

ii. předpokládaný růst počtu portů v oddělení

iii. intenzita použití aplikačního serveru v oddělení

b) Datová úložiště a datové servery

i. objem provozu mezi servery

ii. objem zálohovaných dat

iii. síťová úložiště dat

iv. objem provozu pro SAN (Storage Area Network)

5. Který faktor může zkomplikovat analýzu komunity uživatelů?

a) Použití aplikace není vázáno na konkrétní oddělení nebo fyzické umístění

6. Spárování termínů a jejich popisů:

a) port density – počet portů dostupných na jednom přepínači

b) wire speed – přenosová rychlost dat, kterou je možné připojit na každý jeden port na pře-pínači

c) link aggregation – schopnost použít několik portů přepínače najednou pro vytvoření jedné logické linky s vyšší propustností

d) forwarding rates – kvantitativní vyjádření výkonu přepínače – objem zpracovaných dat za sekundu

7. Jaká bude kapacita jednoho portu na 48-mi portovém Gigabitovém Ethernetovém přepínači?

a) 1000 Mbps

8. Přepínač, který používá pro přeposílání rámců MAC adresy pracuje na které vrstvě OSI modelu?

a) L2

9. Kterou funkci nabízejí všechny stohovatelné (stackable) přepínače?

a) Zadní panel s výměnnými moduly (Fully redundand backplane)

10. Funkce vrstev hierarchického modelu sítě na přepínačích Cisco:

a) Core

i. podpora L3

ii. redundandní komponenty

iii. 10Gbit Ethernet



b) Access

i. zabezpečení portů

ii. virtuální sítě VLAN

iii. napájení přes Ethernet (Power over Ethernet, PoE)

11. Které dvě vlastnosti popisují páteřní (core) vrstvu hierarchické struktury sítě?

a) Nadbytečné redundandní cesty

b) rychlé přeposílání provozu



Kapitola 2 – Koncept přepínání


● Shrnout činnost Ethernetu jak je definována pro LAN 100/1000 Mb/s ve standardu IEEE 802.3.

● Vysvětlit funkce, které umožňují přepínači přepínat rámce v LAN.

● Konfigurovat přepínač pro činnost v síti navržené pro přenos hlasu, videa i dat.

● Konfigurovat základní zabezpečení přepínače, které bude funkční v sítích navržených pro přenos hlasu, videa i dat.

Klíčové prvky Ethernetu

● unicast – jednosměrové vysílání,

● broadcast – všesměrové (oběžníkové) vysílání,

● multicast – skupinové vysílání.

Co bychom měli brát v úvahu při návrhu Ethernetových sítí

● Latence sítě (network latency) – každé zařízení vnáší do sítě zpoždění (delay) signálu a la-tenci (= dobu zpracování celého rámce). Každé zařízení na cestě v síti tedy představuje urči-tou latency. Směrovač pracuje ve střadačovém režimu, rozbalení (strip) obsahu L2 rámce, nalezení nejlepší cesty na základě L3 adresy v paketu a samotné přepnutí znovu zapouz-dřeného (nově vytvořeného) rámce zabere určitý čas. Obecně mají tedy zařízení pracující na vyšší vrstvě větší latenci než zařízení pracující na nižší vrstvě. Při použití zařízení na vyšší vrstvě je ovšem třeba vážit mezi zmenšením zahlcení redukcí velikosti broadcastové domé-ny a možností vzniku kolizí.

● Propustnost (throughput) – pokud máme 48-mi portový přepínač s 1Gb/s v režimu full du-plex potřebujeme vnitřní propustnost přepínače 2x48x1Gb/s = 96Gb/s!!!

● kolizní doména

● broadcastová doména

● segmentace sítě

Metody přepínání (přeposílání, forwarding) rámců na přepínači

● store-and-forward – střadačová metoda, metoda vyrovnávací paměti – načte se nejprve celý rámec a teprve potom se po kontrole přepne – je to pomalejší ale bezpečnější

● cut-through – rovnou přepíná po přijetí cílové MAC adresy – je rychlejší, ale může vést k chybám (přepíná i poškozené rámce)

○ fragment-free – přepíná po přijetí 64bajtů – otestuje vznik kolize v rámci (z nepřepínané sítě)



Symetrické a asymetrické přepínání

● symetrické – na obou stranách stejná propustnost (rychlost)

● asymetrické – na každé straně různá propustnost (rychlost) (v tomto případě je pouze střada-čová metoda – je pomalejší)

Vyrovnávací paměť přepínače může být:

• port based – přidělená k určitému vstupnímu portu

• shared – sdílená, kdy všechny rámce jsou v jedné paměti, kterou porty sdílejí

Porovnání funkcí L3 přepínače a směrovače:

Funkce L3 přepínač Směrovač

L3 směrování Podporuje Podporuje

Správa síťového provozu Podporuje Podporuje

Podpora modulů WIC Podporuje

Pokročilé směrovací protokoly Podporuje

Rychlé směrování Podporuje

Útoky na bezpečnost přepínačů (security attacs)

● záplava falešných fyzických adres na jednom portu (bogus MAC address flooding) – po za-plnění MAC (CAM) tabulky přepínač dál funguje jako rozbočovač,

● útoky pomocí podvržených informací (spoofing attacks),

● falešný DHCP server v segmentu sítě,

● útoky pomocí protokolu CDP (CDP attacks) – zjištění citlivých informací např. verze IOS (neupgradovaná, stará, verze operačního systému může mít známé a zneužitelné slabiny) – CDP pracuje na L2 a proto není šířen přes směrovače – proto, kde není třeba je vhodné CDP vypnout,

● útoky přes virtuální linku Telnet (Telnet attacks) – útok na heslo hrubou silou, obrana: častá a pravidelná změna hesla, používat silná hesla, omezit provoz pouze na malé množství vy-braných uživatelů

Syntaxe základních příkazů pro nastavení (konfiguraci) přepínače

Funkce (Configuration Task) Syntaxe příkazu (Command Syntax )



Pojmenování přepínače Switch(config)#hostname name

Nastavení hesla privilegovaného režimu Switch(config)#enable secret password

Vstup do režimu konfigurace konzolové linky Switch(config)#line console 0

Nastavení hesla konzole Switch(config-line)#password password

Vyžadování přihlášení uživatele vloženým hes-lem

Switch(config-line)#login

Vstup do režimu konfigurace linky virtuálního terminálu (vty) Telnetu

Switch(config)#line vty 0 15

Nastavení hesla linky vty Switch(config-line)#password password

Vyžadování přihlášení uživatele vloženým hes-lem

Switch(config-line)#login

Konfigurace denního přihlašovacího hlášení (message-of-the-day banner)

Switch(config)#banner motd # message #

Nastavení rozhraní virtuální sítě (VLAN interfa-ce)

Switch(config)#interface vlan number

Nastavení adresace na rozhraní Switch(config-if)#ip address address mask

Nastavení portu do přístupového (access) reži-mu.

Switch(config-if)#switchport mode access

Přiřazení přístupové virtuální sítě k číslu VLAN na na portu.

Switch(config-if)#switchport access vlan num-ber

Nastavení rychlosti portu na 100 Mb/s (Mbps) Switch(config-if)#speed 100

Nastavení režimu duplexu na plný (full) Switch(config-if)#duplex full

Nastavení automatické konfigurace rychlosti portu (podle nejvyšší rychlosti druhé strany)

Switch(config-if)#speed auto

Nastavení automatické konfigurace režimu du-plexu.

Switch(config-if)#duplex auto

Aktivace, zapnutí, rozhraní Switch(config-if)#no shutdown

Nastavení implicitní výchozí brány

(Pro administraci z jiné sítě, kdy není na multi-layer přepínači nastaveno směrování.)

Switch(config)#ip default-gateway address



Umožní autentizaci http dle lokální databáze uživatelů.

Switch(config)#ip http authentication enable

Nastaví službu http serveru na přepínači. Switch(config)#ip http server

Vytvoří statické mapování v tabulce fyzických adres (MAC address table).

Switch(config)#mac-address-table static mac-address vlan { 1-4096, ALL } interface interfa-ce-id

Ukládá konfiguraci Switch#copy running-config startup-config

Příkazy pro základní kontrolu konfigurace přepínače

Příkaz (Command) Popis (Description )

show interface Zobrazí stav rozhraní a jeho nastavení pro jedno rozhraní nebo pro všechna rozhraní dostupná na přepínači.

show startup-config Zobrazí startovací konfiguraci uloženou v NVRAM.

show running-config Zobrazí aktuální běžící konfiguraci, která je uložena v RAM.

show flash: Zobrazí informace o souborovém systému flash paměti.

show version Zobrazí stav HW a SW systému.

show history Zobrazí historii příkazů pro dané sezení.

show mac-address-table Zobrazí přepínací tabulku MAC.

show ip interface brief Zobrazí zkrácené informace o konfiguraci roz-hraní, včetně IP adresy a stavu rozhraní.

Příklad konfigurace přepínače

switch>enable Vstup do privilegovaného režimu.

switch#configure terminal Vstup do globálního konfiguračního reži-mu.

switch(config)#no ip domain-lookup Vypne automatické dotazy na DNS (Doménový jmenný systém), takže vás ne-



zdržují překlepy v příkazech.

switch(config)#hostname 2960 Nastaví jméno hostitele na 2960.

2960(config)#enable secret cisco Nastaví zašifrované heslo privilegovaného režimu enable na „cisco“.

2960(config)#line console 0 Vstup do režimu konfigurace konzolové linky.

2960(config-line)#logging synchronous Přidává příkazy vždy na konec nové řádky, takže nejsou přerušovány aktuálními výpi-sy z přepínače.

2960(config-line)#login Uživatel se musí před použitím konzole přihlásit do systému zadáním hesla.

2960(config-line)#password switch Nastaví heslo na „switch“.

2960(config-line)#exec-timeout 0 0 Konzole se sama nikdy automaticky neod-hlásí. (Jinak leze také nastavit čas pro au-tomatické odhlášení pro zvýšení bez-pečnosti.)

2960(config-line)#exit Vrátí zpět do globálního konfiguračního režimu.

2960(config)#line aux 0 Přesune do režimu konfigurace pomocné linky (auxiliary) (pro modem).

2960(config-line)#login Uživatel se musí před použitím pomocné linky přihlásit do systému.

2960(config-line)#password class Nastaví heslo na „class“.

2960(config-line)#exit Vrátí zpět do globálního konfiguračního režimu.

2960(config)#line vty 0 15 Přesune do konfigurace všech 16-ti portů virtuálních linek (vty) najednou. (Na smě-rovačích lze najednou použít pouze 5 linek Telnet.)

2960(config-line)#login Uživatel se musí před použitím virtuální inky přihlásit do systému.

2960(config-line)#password class Nastaví heslo na „class“.

2960(config-line)#exit Vrátí zpět do globálního konfiguračního



režimu.

2960(config)#ip default-gateway 192.168.1.1 Nastaví výchozí bránu (default gateway).

2960(config)#interface vlan 1 Přesune do konfiguračního režimu virtu-álního rozhraní virtuální sítě 1 (VLAN 1). Použito pro vzdálenou konfiguraci a správu přes webové rozhraní.

2960(config-if)#ip address 192.168.1.2 255.255.255.0 Nastaví IP adresu a masku na přepínači pro toto rozhraní.

2960(config-if)#no shutdown Zapne virtuální rozhraní.

2960(config-if)#interface fastethernet 0/1 Přesune do konfiguračního režimu roz-hraní fastethernet 0/1.

2960(config-if)#description Link to Bismarck Router Nastaví lokální popisek toho rozhraní.


2960(config-if)#description Link to Workstation A Nastaví lokální popisek toho rozhraní.

2960(config-if)#switchport port-security Aktivuje zabezpečení portu (port securi-ty).

2960(config-if)#switchport port-security maximum 1 Pro daný port je povolena pouze jedna MAC adresa v MAC tabulce.

2960(config-if)#switchport port-security violation shutdown

V případě, že bude bude zjištěna více než jedna unikátní MAC adresa na portu, port bude vypnut. (= narušení bezpečnosti, security violation)


2960(config-if)#description Link to Workstation B Nastaví lokální popisek toho rozhraní.

2960(config-if)#switchport port-security Aktivuje zabezpečení portu (port security).

2960(config-if)#switchport port-security maximum 1 Pro daný port je povolena pouze jedna MAC adresa v MAC tabulce.

2960(config-if)#switchport port-security violation shutdown

V případě, že bude bude zjištěna více než jedna unikátní MAC adresa na portu, port bude vypnut. (= narušení bezpečnosti,



security violation)

2960(config-if)#exit Vrátí zpět do globálního konfiguračního režimu.

2960(config)#exit Vrátí do privilegovaného režimu.

2960#copy running-config startup-config Uloží konfiguraci do paměti NVRAM.

2960#

Obnova zapomenutého hesla a úplná inicializace pro přepínače řady 2960

(Password Recovery)

Vytáhněte síťový napájecí kabel na zadní straně přepínače.

Stiskněte a držte tlačítko MODE na přední straně přepínače.

Opět připojte přepínač do napájecí sítě.

Uvolněte tlačítko MODE, když se LED dioda SYST rozbliká jantarovou barvou a potom zů-stane nepřerušovaně svítit zeleně. Když uvolníte tlačítko MODE rozbliká se LED dioda SYST zeleně.

Vydejte následující příkazy:

switch: flash_init Inicializuje paměť flash.

switch: load_helper

switch: dir flash: Nezapomeňte na dvojtečku. Zobrazí soubory v paměti flash.

switch: rename flash:config.text flash:config.old Přejmenuje konfigurační soubor. Soubor config.-text obsahuje heslo.

switch: boot Zavede do přepínače OS.

Switch>enable

Switch#rename flash:vlan.dat flash:vlan.old Přejmenuje soubor s databází VLAN. Smaže de-finice jednotlivých virtuálních sítí z přepínače.




1. Co označuje pod vloženým příkazem „R?#clock set 19:56:00 04 8“ v příkazové řádce ná-sledující hlášení „% Invalid input detected at '^' marker“ ?

a) v jednom z parametrů jsou nesprávná data

2. Jaký bude následek vložení příkazu banner login #Authorized Personnel Only!# ?

a) před výzvou na jméno uživatele a heslo se před přihlášením objeví hlášení Authorized Personnel Only!

3. Co vyvolá stisk Ctrl-P v příkazové řádce?

a) Vstup do vyrovnávací paměti historie příkazů

4. Jakou výhodu přináší při vzdáleném přihlášení použití SSH místo Telnetu?

a) Šifrování



Kapitola 3 – Virtuální lokální síť VLAN


● Vysvětlit roli virtuálních sítí VLAN v síti.

● Vysvětlit roli provozu virtuálních sítí VLAN po kmenové lince (trunking) v síti.

● Konfigurovat virtuální sítě VLAN na přepínačích v síťové topologii.

● Odstraňovat běžné závady konfigurace SW i HW souvisejících s virtuálními sítěmi VLAN na přepínačích v síťové topologii.

Přínosy použití VLAN v síti

Více flexibility při podpoře podnikových cílů. Hlavní výhody použití VLAN jsou:

● Bezpečnost (security) – skupiny, které mají senzitivní data jsou oddělené od zbytku sítě, snížení šance na prozrazení důvěrných informací.

● Snížení nákladů (cost reduction) – úspory nákladů na upgrade nákladných linek a efek-tivnější využití přenosové kapacity (šířky pásma) existujících kabelových rozvodů.

● Vyšší výkon (higher performance) – rozdělení plochých L2 sítí do vícero logických pra-covních skupin (broadcastových domén) snižuje nepotřebný síťový provoz a zvyšuje vý-konnost celé sítě.

● Zmírnění broadcastové bouře (broadcast storm mitigation) – rozdělení sítě do VLAN sni-žuje počet zařízení, které se mohou zúčastnit na bouři všesměrového vysílání. Zamezí pro-pagaci všesměrového vysílání do celé sítě.

● Zvýšení efektivity pracovníků IT oddělení – VLAN ulehčují správu sítě, protože uživatelé s podobnými požadavky na síť sdílejí stejnou VLAN. Když obstaráte nový přepínač, všech-ny zásady (politiky) a procedury již nakonfigurované pro určitou jednotlivou virtuální síť VLAN jsou implementovány pouhým přiřazením portů přepínače do této VLAN. Pro IT personál je pak snadné identifikovat funkci VLAN podle vhodně zadaného jména VLAN.

● Jednodušší projektová a aplikační správa – sítě VLAN agregují uživatelská a síťová za-řízení podle obchodních nebo geografických požadavků. Oddělení sítí, může například usnadnit vývoj a správu specializovaných aplikací, také usnadnit určení rozsahu působnosti a efektů aktualizací síťových služeb.

Typy VLAN

V současnosti je v podstatě jeden způsob implementace sítí VLAN – VLAN na základě portů. Tento způsob je přidružen k přístupovému VLAN portu (access port VLAN).

Následující text popisuje běžnou terminologii VLAN:

● Data VLAN – datová VLAN je VLAN konfigurovaná pouze pro přenos uživatelem gene-rovaného síťového provozu. Běžná praxe je oddělit provoz hlasových služeb a provoz pro správu od uživatelských dat.



● Default VLAN – implicitní VLAN (ve schématech Cisco jsou spoje kresleny čárkovaně) - všechny porty přepínače jsou po počátečním zavedení systému členy této VLAN. Jsou tedy v jedné doméně všesměrového vysílání. To umožňuje jakémukoliv zařízení připojenému k jakémukoliv portu komunikovat s ostatními zařízeními na ostatních portech přepínače. Implicitně pro přepínače Cisco implicitní (default) VLAN je VLAN 1. VLAN 1 má všechny vlastnosti a funkce jakékoliv VLAN, s výjimkou toho, že nelze přejmenovat nebo smazat. Implicitně je provoz řízení sítě na L2 jako je CDP a STP přiřazen do VLAN 1. Mezi nejlepší praxi z hlediska bezpečnosti sítě patří změna implicitní sítě do jiného čísla než je VLAN 1, to vyžaduje, aby byly všechny porty na přepínači přiřazeny do implicitní VLAN jiné než je VLAN 1. Kmenové linky podporují přenos více než jedné virtuální sítě (budou vysvětleny později). POZNÁMKA: někteří administrátoři sítě používají termín „implicitní VLAN“ pro VLAN jinou než VLAN 1, do které administrátor přiřadil všechny právě nepoužívané porty. V tomto případě jediná role, kterou hraje VLAN 1, je zajišťování provozu řízení sítě na L2.

● Native VLAN – nativní VLAN je přiřazena kmenovému portu (trunk port) 802.1Q. Kmenový 802.1Q podporuje provoz přicházející z vícero (= ne jedné) VLAN (tagovaný provoz, značkovaný provoz, tagged traffic (= označkovaný číslem VLAN)) stejně tak jako provoz, který nejde z virtuální sítě (neznačkovaný provoz). Trunkový = kmenový port 802.1Q dává neznačkovaný provoz do nativní VLAN. Neznačkovaný provoz je generovaný počítačem připojeným do portu, který jen nakonfigurovaný s nativní VLAN. Nativní VLAN byla vydána ve specifikaci 802.1Q, aby zachovala zpětnou kompatibilitu s neznačkovaným provozem běžným v zastaralých scénářích LAN. Pro naše účely, nativní VLAN slouží jako běžný identifikátor opačných konců kmenové linky. Doporučená nejlepší praxe je používat jako nativní jinou VLAN než VLAN 1.

● Management VLAN – VLAN pro správu sítě je jakákoliv síť, kterou si nakonfigurujete, aby měla přístup ke správě přepínače. VLAN 1 by mohla sloužit jako VLAN pro správu, pokud aktivně nedefinujete určitou VLAN, aby sloužila pro správu. VLAN pro správu na-stavte IP adresu a masku podsítě. Přepínač může být spravován prostřednictvím HTTP, Telnet, SSH nebo SNMP.

● Voice VLAN – VLAN určená pro provoz hlasových služeb (VoIP) – IP telefonie. Pro ta-kový provoz požaduje:

○ zajištěnou přenosovou kapacitu (šířku pásma) pro kvalitní přenos zvuku,

○ prioritu přenosu před jinými typy síťového provozu,

○ schopnost být směrován okolo zahlcených částí sítě,

○ zpoždění menší než 150 milisekund (ms)

Čísla VLAN (jak jsou definovány na přepínačích Cisco)

Číslo VLAN Popis

0 a 4095 rezervované pro systémové použití

1 implicitní VLAN, standardně obsahuje všechny porty, nedá se smazat



2-1001 běžný rozsah pro ethernetové VLAN

1002-1005 speciální implicitní VLAN pro Token Ring a FDDI, nedají se smazat

1006-4094 rozšířené VLAN pro ethernet, nejsou vždy podporovány

Režimy členství portů v určité VLAN (VLAN port membership modes):

• Static VLAN – administrátorem manuálně přiřazen jeden konkrétní port do jedné konkrétní VLAN (to je nejčastější způsob)

• Dynamic VLAN – členství závisí na MAC adrese připojeného zařízení

• Voice VLAN – speciální VLAN pro IP telefonii

Role kmenového vedení (trunk):

Postup konfigurace virtuálních sítí VLAN:

1. Vytvořte jednotlivé virtuální sítě VLAN,

2. Staticky přiřaďte porty přepínače do konkrétní VLAN,

3. Ověřte konfiguraci sítě VLAN,

4. Povolte zapouzdření na kmenové lince (trunking) na linkách mezi přepínači,

5. Ověřte konfiguraci kmenové linky.

Vytvoření jednotlivých VLAN

S1(config)#vlan 99S1(configvlan)#name Management&NativeS1(configvlan)#exitS1(config)#vlan 10S1(configvlan)#name Faculty/StaffS1(configvlan)#exit

Statické přiřazení portů do jednotlivých VLAN

S2(config)#interface fastEthernet0/11S2(configif)#switchport mode accessS2(configif)#switchport access vlan 10Lze použít též příkaz interface range (PT ho ale nepodporuje).

Ověření konfigurace VLAN a přiřazení portů

S1#show vlan brief

VLAN Name Status Ports



1 default active Fa0/1, Fa0/2, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9<vynecháno>10 Faculty/Staff active Fa0/1099 Management&Native active

Přiřazení administrativní VLAN (z bezpečnostních důvodů volíme jinou než implicitní VLAN1) a nastavení rozhraní pro administraci přes http ap.

S1(config)#ip defaultgateway 172.17.99.254S1(config)#interface vlan 99S1(configif)#ip address 172.17.99.11 255.255.255.0S1(configif)#no shutdown

Nastavení kmenových linek a přiřazení nativní VLAN pro linku (musí být na obou koncích linky stejné!!!). Z bezpečnostních důvodů na kmenové lince povolte (allowed) pouze použité sítě VLAN.

S1(config)#interface fa0/1S1(configif)#switchport mode trunkS1(configif)#switchport trunk allowed vlan 10S1(configif)#switchport trunk native vlan 99S1(configif)#end

Ověření konfigurace kmenové linky

S1#show interface trunkPort Mode Encapsulation Status Native vlanFa0/1 on 802.1q trunking 99Fa0/2 on 802.1q trunking 99

Port Vlans allowed on trunkFa0/1 10

Obvyklé problémy s virtuálními sítěmi VLAN a kmenovou linkou:

Problém Následek (Result) Příklad

Nesouhlas nativních VLAN Představuje bezpečnostní riziko a tvoří ne-zamýšlené důsledky.

Například jeden port je definovaný jako VLAN 99, druhý jako VLAN 100.

Nesoulad režimu trunk Příčina ztráty síťové konektivity. Například na jednom portu konfigurovaný režim trunk zapnutý a na druhém vypnutý.

Nesoulad sítě VLAN a IP podsítě

Příčina ztráty síťové konektivity. Například počítače uživatelů mohou mít nastavené ne-správní IP adresy.

Povolené sítě VLAN na kmenové lince

Příčina neočekávaného provozu nebo naopak žádného provozu na kmenové lince.

Seznam povolených sítí VLAN není podporován ak-tuálními náležitostmi VLAN trunkingu.

Použití konfigurační režimu pro VLAN

Switch(config)#vlan 3 Vytvoří VLAN 3 a vstoupí do konfigu-račního režimu VLAN pro další na-



stavování.

Switch(config-vlan)#name Engineering Přiřadí k VLAN jméno. Délka jména může být 1 až 32 znaků.

Switch(config-vlan)#exit Aplikuje změny, zvýší číslo revize (revize VTP) o 1 a vrátí se do globálního konfigu-račního režimu.

Switch(config)#

POZNÁMKA: Tato metoda je jediný způsob jak nakonfigurovat rozšířený rozsah virtuálních sítí (VLAN ID 100 až 4094).

POZNÁMKA: Bez ohledu na metodu použitou pro vytvoření virtuálních sítí, číslo revize VTP je zvýšeno o 1 kdykoliv je VLAN vytvořena nebo změněna.

Použití režimu VLAN databáze

VAROVÁNÍ!!!: Nepoužívejte tento režim! Režim VLAN databáze je neschválený a v budoucích verzích IOS bude vypuštěn. Je proto doporučeno používat pouze režim konfigurace VLAN.

Switch#vlan database Vstup do režimu VLAN databáze.

Switch(vlan)#vlan 4 name Sales Vytvoří VLAN 4 a pojmenuje ji Sales. Délka jména může být 1 až 32 znaků.

Switch(vlan)#vlan 10 Vytvoří VLAN 10 a dá jí implicitně jméno VLAN0010.

Switch(vlan)#apply Aplikuje změny do VLAN databáze, zvýší číslo revize (revize VTP) o 1.

Switch(vlan)#exit Aplikuje změny do VLAN databáze, zvýší číslo revize (revize VTP) o 1 a ukončí režim konfigurace VLAN databáze.

Switch#

POZNÁMKA: Změny musíte aplikovat (apply) do VLAN databáze, aby měly efekt. Musíte použít buď příkaz apply nebo příkaz exit abyste tak učinili. Použití příkazu CTRL+Z k opuštění režimu VLAN databáze potlačí všechny právě provedené změny ve VLAN databázi. Musíte proto použít příkazy buď exit nebo apply a potom ještě jednou příkaz exit.

Přiřazení portů do virtuálních sítí VLAN

Switch(config)#interface fastethernet 0/1 Přechod do konfiguračního režimu roz-hraní (interface configuration mode).



Switch(config-if)#switchport mode access Nastaví port do přístupového režimu (ac-cess mode).

Switch(config-if)#switchport access vlan 10 Přiřadí tento port do virtuální sítě VLAN 10.

POZNÁMKA: Pokud je použit příkaz switchport mode access, port funguje jako jedno rozhraní pro jednu jedinou virtuální síť (to znamená nikoliv jako kmenová linka, = nontrunking), které přenáší a přijímá nezapouzdřené rámce. Přístupový (access) port spadá pouze pod jednu VLAN.

Ověřování informací o VLAN

Switch#show vlan Zobrazí informace o VLAN.

Switch#show vlan brief Zobrazí informace o VLAN v zestručněné formě (brief).

Switch#show vlan id 2 Zobrazí informace pouze o VLAN 2.

Switch#show vlan name marketing Zobrazí informace pouze o VLAN poj-menované „marketing“.

Switch#show interfaces vlan x Zobrazí charakteristiky rozhraní pro spe-cifikovanou VLAN.

Switch#more flash:vlan.dat Výpis obsahu souboru: údaje o VLAN a VTP (viz dále).

Uložení konfigurací VLAN

Konfigurace virtuálních sítí 1 až 1005 jsou vždy uloženy v databázi VLAN. Pokud používáte režim VLAN databáze, konfiguraci ukládají příkazy apply nebo exit. Pokud používáte režim konfigurace VLAN, příkaz exit uloží změny do databáze VLAN také.

Pokud je konfigurace databáze VLAN použita jako startovací, a startovací počáteční konfigurace obsahuje rozšířený rozsah virtuálních sítí VLAN, jsou tyto informace ztraceny při zavedení ope-račního systému (a startup-config). Pokud používáte transparentní režim VTP, konfigurace jsou také uloženy v běžící konfiguraci a mohou být uloženy do startovací konfigurace použitím příkazu copy running-config startup-config.

Jestliže je ve startovací konfiguraci režim VTP transparentní, a VLAN databáze a jméno VTP domény z VLAN databáze jsou stejné ve startovacím konfiguračním souboru, je VLAN databáze ignorovaná (vyčištěná) a jsou použity konfigurace VTP a VLAN ze startovacího konfiguračního souboru. Číslo revize VLAN databáze zůstává nezměněno ve VLAN databázi.

Smazání konfigurací VLAN



Switch#delete flash:vlan.dat Vymaže celou VLAN databázi z paměti flash.

VAROVÁNÍ: ujistěte se, že není žádná mezera mezi dvojtečkou (:) a písmeny vlan.dat. Můžete potenciálně smazat celý obsah paměti flash, pokud není syntaxe tohoto příkazu správná. Určitě si přečtěte výstupní hlášení přepínače než to provedete. Pokud chcete tuto operaci zrušit, stiskněte CTRL+C pro návrat do privilegované-ho režimu.

(Switch#)

Switch#delete flash:vlan.dat

Delete filename [vlan.dat]?

Delete flash:vlan.dat?

[confirm]

Switch#

Switch(config)#interface fastethernet 0/5 Přesune do režimu konfigurace rozhraní.

Switch(config-if)#no switchport access vlan 5 Odstraní port z VLAN 5 a znovu ho přiřadí do VLAN 1 – implicitní VLAN.

Switch(config-if)#exit Přesune do globálního konfiguračního režimu.

Switch(config)#no vlan 5 Odstraní VLAN 5 z databáze VLAN.

NEBO:

Switch#vlan database Vstup do režimu VLAN databáze.

Switch(vlan)#no vlan 5 Odstraní VLAN 5 z databáze VLAN.

Switch(vlan)#exit Aplikuje změny, zvýší číslo revize o jedničku a opustí režim VLAN databáze.

Příklad konfigurace VLAN na přepínači

Switch>enable Přesun do privilegovaného režimu.

Switch#configure terminal Přesun do globálního konfiguračního režimu.

Switch(config)#hostname 2960 Nastaví jméno hostitele.

2960(config)#vlan 10 Vytvoří VLAN 10 a vstoupí do konfiguračního režimu VLAN.



2960(config-vlan)#name Admin Přiřadí VLAN jméno Admin.

2960(config-vlan)#exit Zvýší číslo revize o jedničku a vrátí se do glo-bálního konfiguračního režimu.

2960(config)#vlan 20 Vytvoří VLAN 20 a vstoupí do konfiguračního režimu VLAN.

2960(config-vlan)#name Accounting Přiřadí VLAN jméno Accounting.

2960(config-vlan)#vlan 30 Vytvoří VLAN 30 a vstoupí do konfiguračního režimu VLAN. Všimněte si, že jste se nemuseli vrátit zpět do globálního konfiguračního režimu, abyste mohli provézt tento příkaz.

2960(config-vlan)#name Engineering Přiřadí VLAN jméno Engineering.

2960(config-vlan)#exit Zvýší číslo revize o jedničku a vrátí se do glo-bálního konfiguračního režimu.

2960(config)#interface range fasthethernet 0/1 – 8

Umožní vám nastavit ty samé konfigurační para-metry na více portů najednou.

2960(config-if-range)#switchport mode access Nastaví porty přepínače 1-8 jako přístupové por-ty (access port) = přístupový režim portu přepí-nače.

2960(config-if-range)#switchport access vlan 10 Přiřadí porty 1-8 do VLAN 10.

2960(config-if-range)#interface range fastethernet 0/9 – 15


2960(config-if-range)#switchport mode access Nastaví porty 9-15 jako přístupové porty (access port).


2960(config-if-range)#interface range fastethernet 0/16 - 24


2960(config-if-range)#switchport mode access Nastaví porty 16-24 jako přístupové porty (ac-cess port).


2960(config-if-range)#exit Návrat do globálního konfiguračního režimu.

2960(config)#exit Návrat do privilegovaného režimu.



2960#copy running-config startup-config Uloží konfiguraci do NVRAM.


1. Počet logických IP sítí musí být stejný jako počet definovaných VLAN.2. Jaký mechanismus je použitý pro oddělení jednotlivých sítí VLAN na kmenové lince?

a) Značkování (tagging) rámců pomocí veřejného protokolu 802.1Q3. Co musíte brát v úvahu při konfiguraci kmenové linky mezi dvěma přepínači?

a) Na portu kmenové linky nelze nastavit zabezpečení portu (zabezpečení je vztažené k jedné konkrétní VLAN)

b) Nativní VLAN musí být na obou koncích kmenové linky nastavena ve shodném čísle VLAN

4. Máte 12-ti portový přepínač, na kterém jsou nastavené tři virtuální sítě VLAN. Každá VLAN přemosťuje čtyři porty. Administrátor jednu virtuální síť smaže. Dvě tvrzení správně popisující stav portů přiřazených k této VLAN na přepínači:a) Tyto porty jsou neaktivníb) Tyto porty stále zůstávají v původní zrušené VLAN, dokud nejsou přiřazeny do jiné

VLAN.5. Co je pravda ohledně hostitelských počítačích v jedné VLAN?

a) Musí být ve stejné IP podsítib) Sdílejí stejnou doménu všesměrového vysíláníc) Řídí se stejnými zásadami zabezpečení (security policy)

6. ARP request - šíří se i do jiných VLAN?a) Ne, je šířen pouze v rámci jedné VLAN (ale i na jiných přepínačích), jde o všesměrové

vysílání v jedné doméně všesměrového vysílání7. Charakteristiky staticky a dynamicky definované VLAN:

a) statickyi. každý přístupový port je přiřazený v konkrétní VLANii. port se konfiguruje manuálněiii. pokud se uživatel přesune, vyžaduje to zásah administrátora a rekonfiguraci

b) dynamickyi. porty pracují mimo jejich vlastní konfiguraciii. konfigurace je založená na databáziiii. méně administrativní režie při přesunu uživatele

8. Kategorie rozsahů čísel VLANa) normální

i. 1-1005ii. obsahuje rezervované VLAN pro Token Ring a FDDI

b) rozšířenýi. 1006-4094ii. tyto VLAN se neučí (nezjišťují si informace) pomocí VTP

c) VLAN1i. implicitní VLAN pro administraciii. implicitně jsou v ní přiřazeny všechny porty

9. Máte dva přepínače spojené kmenovou linkou. Na každém z nich jsou dvě VLAN a v každé VLAN je několik klientů. Jedním počítačem na prvním přepínači je vyslán rámec s paketem



adresovaným na jeden klient ve stejné VLAN (jedné určité IP síti), ale na druhém přepínači. Jak a komu bude rámec zaslán?a) První přepínač označkuje pro kmenovou linku rámec číslem konkrétní VLAN. Na

druhém přepínači budou zaplaveni všichni hostitelé ležící v té jedné určité VLAN.10. Přiřaďte k popisu činnosti správný příkaz:

a) zobraz detailní informace o všech VLAN na přepínači = show vlanb) zobraz informace o VLAN na jednom konkrétním portu = show interface fa0/1 switch-

portc) zobraz informace o konkrétní VLAN (např. 2) = show vlan id 2d) konfiguruje port, aby si (pomocí protokolu DTP, viz dále) vyjednal kmenovou linku =

switchport mode dynamic desirablee) konfiguruje kmenovou linku tak, aby neposílala pakety protokolu DTP = switchport no-

negotiatef) konfiguruje port jako permanentní kmenovou linku v 802.1Q = switchport mode trunkg) vypne režim kmenové linky na portu = switchport mode access

11. K popisu přiřaďte správnou příčinu tohoto chybového stavu:a) oba přepínače jsou nakonfigurovány dynamic auto a nebudou vyjednávat linku = nesou-

hlas nastavených režimů kmenové linkyb) ne úplně všechny VLAN potřebují mít povoleno cestovat přes kmenovou linku = ne-

správné přiřazení povolených VLANc) dvě VLAN sdílejí stejný adresní prostor = konflikt podsítí, ve kterých jsou jednotlivé

VLANd) VLAN nakonfigurovaná pro neznačkované (untaged) rámce není stejná na přepínačích

na společné kmenové lince = nesoulad nastavené nativní VLAN12. Vlastnosti přiřazení portu ve správném členství ve skupině:

a) statická VLAN = konfigurace portu je trvale platná dokud není opět manuálně změněnab) dynamická VLAN = c) voice VLAN =



Kapitola 4 – VLAN Trunking Protocol (VTP)


● Vysvětlit roli protokolu VTP v přepínané konvergované síti (converged switched network).

● Popsat činnost VTP včetně domén, režimů, inzerování a pruningu (domains, modes, adverti-sements, and pruning).

● Konfigurovat VTP na přepínačích v konvergované síti (converged network).

VLAN Trunking Protocol (VTP) – proprietární protokol Cisco, který používá rámce na L2 k vý-měně informací o VLAN uvnitř skupiny přepínačů a pro přidávání, rušení a přejmenovávání VLAN uvnitř sítě z jednoho centrálního řídicího bodu.

Přínosy použití VTP:

• konzistentní konfigurace virtuálních sítí VLAN uvnitř sítě,

• přesné sledování a monitorování jednotlivých virtuálních sítí VLAN,

• dynamické informace o do sítě přidaných virtuálních sítích VLAN,

• dynamická konfigurace kmenové linky po přidání virtuální VLAN do sítě.

Dynamic Trunking Protocol (DTP) - proprietární protokol Cisco, pro vyjednávání zapouzdření na kmenové lince mezi dvěma přepínači.

Pruning = „prořezávání“ provozu na kmenových linkách: data do konkrétní virtuální sítě se po-sílají po kmenové lince pouze tehdy, když jsou k přepínači skutečně připojená koncová zařízení ležící v dané virtuální síti.

Komponenty VTP:

• Doména VTP (VTP Domain) – všechny přepínače v jedné doméně sdílejí informace o virtu-álních sítích VLAN pomocí oznamovačů VTP. Směrovač nebo L3 přepínač určuje hranici každé domény.

• Oznamovače VTP (VTP Advertisements) – oznamovače jsou použity pro distribuci a syn-chronizaci konfigurací jednotlivých VLAN v síti.

• Režimy VTP (VTP Modes) – přepínač může být nastaven v jednom z následujících režimů VTP:

◦ server,

◦ klient,

◦ transparentní.

• Server VTP (VTP Server) – server VTP inzeruje informace o VLAN do jiných přepínačů se



spuštěným protokolem VTP ve stejné doméně. Servery VTP ukládají informace o VLAN pro celou doménu v paměti NVRAM. Server je nastaven všude tam, kde je potřeba, aby mohly být v určité doméně VLAN vytvářeny, rušeny nebo přejmenovávány. (Režim serveru VTP je implicitní.)

• Klient VTP (VTP Client) – klient VTP funguje stejným způsobem jako server VTP, ale ne-můžete na něm VLAN vytvářet, rušit a přejmenovávat. Klient VTP pouze uchovává infor-mace o jednotlivých VLAN v celé doméně po dobu, kdy je tento přepínač zapnutý. Reset přepínače odstraní informace o VLAN. Na přepínači musíte režim klienta VTP nastavit (není implicitní).

• Transparentní VTP (VTP Transparent) – přepínače v režimu transparentní VTP přeposílají oznamovače z jiných přepínačů na klienty i servery VTP. Transparentní přepínače se na VTP nepodílejí. Virtuální sítě, které jsou vytvořené, smazané nebo přejmenované na transparent-ním přepínači jsou lokální pouze na tomto přepínači.

• Prořezávání VTP (VTP pruning) – zvyšuje přenosovou kapacitu (bandwidth) sítě ome-zením provozu na kmenových linkách pouze na sítě VLAN, ve kterých jsou skutečně připo-jená koncová zařízení.

Ověření konfigurace VTP

show vtp status (ve výchozím stavu):

S1#show vtp statusVTP Version : 1Configuration Revision : 0Maximum VLANs supported locally : 64Number of existing VLANs : 1VTP Operating Mode : ServerVTP Domain Name : (= null)VTP Pruning Mode : DisabledVTP V2 Mode : DisabledVTP Traps Generation : DisabledMD5 digest : 0x7D 0x5A 0xA6 0x0E 0x9A 0x72 0xA0 0x3A Configuration last modified by 0.0.0.0 at 0000 00:00:00Local updater ID is 0.0.0.0 (no valid interface found)

Postup konfigurace

Na serveru VTP:

• Ověřte výchozí nastavení

• Nastavte 2 přepínače jako servery VTP

• Nastavte doménu VTP na prvním přepínači v síti

• Ujistěte se, že všechny přepínače jsou ve stejné verzi protokolu VTP

• Nastavte jednotlivé VLAN a kmenové porty

Na klientu VTP:



• Ověřte výchozí nastavení,

• Nastavte režim klient VTP,

• Nastavte kmenové linky,

• Připojte se k serveru VTP,

• Ověřte stav VTP,

• Nastavte přístupové porty.

Nastavení tří přepínačů do všech tří režimů včetně stejného jména domény a hesla (zobrazena jsou i hlášení při změně stavu nastavení):

S1(config)#vtp mode serverDevice mode already VTP SERVER.S1(config)#vtp domain Lab4Changing VTP domain name from NULL to Lab4S1(config)#vtp password ciscoSetting device VLAN database password to ciscoS1(config)#end

S2(config)#vtp mode clientSetting device to VTP CLIENT modeS2(config)#vtp domain Lab4Changing VTP domain name from NULL to Lab4S2(config)#vtp password ciscoSetting device VLAN database password to ciscoS2(config)#end

S3(config)#vtp mode transparentSetting device to VTP TRANSPARENT mode.S3(config)#vtp domain Lab4Changing VTP domain name from NULL to Lab4S3(config)#vtp password ciscoSetting device VLAN database password to ciscoS3(config)#end

Obvyklé problémy při nastavení VTP:

• Nekompatibilní verze VTP

◦ VTP verze 1 a 2 jsou vzájemně nekompatibilní ((config)#vtp version number)

◦ Ujistěte se, že všechny přepínače běží ve stejné verzi VTP

• Problémy s heslem VTP

◦ Zajistěte stejná hesla na všech přepínačích se spuštěným VTP v jedné doméně VTP. ((config)#vtp password password)

◦ Implicitně přepínače nepoužívají heslo VTP.

◦ Když přepínač přijme oznamovač VTP, automaticky nenastaví parametr hesla.

• Nesprávné jméno domény VTP



◦ Implicitně je jméno domény prázdné (změna příkazem (config)#vtp domain domain-na-me)

• Všechny přepínače jsou nastavené do režimu klient VTP (změna příkazem (config)#vtp mode server)

• Nesprávné číslo revize VTP (ověření příkazem #show vtp status)

◦ resetování hodnoty revize změnou jména domény a opětovným nastavením původní hodnoty

▪ (config)#vtp domain test

▪ (config)#vtp domain cisco

Dynamic Trunking Protocol (DTP)

Switch (config)#interface fastethernet 0/1 Přesune do režimu konfigurace rozhraní.

Switch(config-if)# #switchport mode dynamic desirable

Přinutí rozhraní na přepínači, aby se aktivně pokoušelo změnit linku na kmenovou linku.

POZNÁMKA: s nastaveným režimem rozhraní přepínače příkazem switchport mode dynamic desirable (= žádaný, vhodný), se linka stane kmenovou, jestliže sousední rozhraní je nasta-veno na režim trunk, desirable nebo auto.

Switch(config-if)#switchport mode dynamic auto

Přinutí rozhraní, aby bylo schopné se automa-ticky konvertovat na kmenovou linku.

POZNÁMKA: s nastaveným příkazem switch-port mode dynamic auto (= automatický), se linka stane kmenovou, jestliže sousední rozhraní je nastaveno na trunk nebo desirable.

Switch(config-if)#switchport nonegotiate Zabraňuje, aby rozhraní generovalo rámce DTP.

POZNÁMKA: příkaz switchport mode no-negotiate používejte pouze tehdy, když je režim rozhraní (portu na přepínači) switchport mode nastavený na přístupový nebo kmenový (access nebo trunk). K ustavení kmenové linky je třeba ručně nastavit (nakonfigurovat) sousední roz-hraní do konkrétního režimu.

Switch(config-if)#switchport mode trunk Rozhraní dá do permanentního stavu jako kmenové (trunk) a vyjedná změnu linky na kmenovou.



POZNÁMKA: s nastaveným příkazem switch-port mode dynamic trunk (= kmenový), se roz-hraní bezpodmínečně stane kmenovou linkou, i když sousední rozhraní není kmenová linka.

TIP: Implicitní režim je závislý na platformě. Pro přepínač 2960 je implicitní režim dynamic auto.

TIP: Na přepínači 2960 je pro všechny porty implicitní režim přístupový. Nicméně, s implicitním režimem DTP dynamic auto, může být přístupový port změněn na kmenový port, pokud tento port přijme DTP informaci z druhé strany linky, jestliže je tato druhá strana nastavena na režim trunk nebo desirable. Z tohoto důvodu je doporučeno, mít napevno na všech přístupových portech nasta-ven přístupový režim příkazem switchport mode access. Tímto způsobem DTP informace nezmění neúmyslně přístupový port na kmenový port. Všechny porty s nastaveným příkazem switchport mode access ignorují jakékoliv DTP požadavky na změnu režimu linky.

Nastavení typu zapouzdření

V závislosti na typové sérii přepínače, který používáte, můžete vybírat, který typ zapouzdření VLAN (trunking protocol) použijete:

● Proprietární protokol Cisco: Inter-Switch Link (ISL) – zastaralý a není obsažen již ani na nových Cisco zařízeních,

● Veřejný standard IEEE 802.1q (dot1q).

Přepínače modelové řady 2960 podporují pouze zapouzdření pro kmenové linky dle standardu dot1q.

3560Switch(config)#interface fastethernet 0/1 Přesune do režimu konfigurace rozhraní.

3560Switch(config-if)#switchport mode trunk Rozhraní dá do permanentního stavu jako kmenové (trunk) a vyjedná změnu linky na kmenovou.

3560Switch(config-if)#switchport trunk en-capsulation isl

Určuje zapouzdření na kmenové lince jako ISL.

3560Switch(config-if)#switchport trunk en-capsulation dot1q

Určuje zapouzdření na kmenové lince jako 802.1q.

3560Switch(config-if)#switchport trunk en-capsulation negotiate

Určuje, že rozhraní vyjedná se sousedícím roz-hraním typ zapouzdření na kmenové lince buď ISL nebo dot1q, v závislosti na možnostech nebo konfiguraci sousedícího rozhraní.

TIP: S nastaveným příkazem switchport trunk encapsulation negotiate je preferovaná metoda za-pouzdření na kmenové lince ISL.

POZOR:Přepínače modelové řady 2960 podporují pouze zapouzdření pro kmenové linky dle stan-dardu dot1q.



VLAN Trunking Protocol (VTP)

VTP je proprietární protokol Cisco, který umožňuje konfiguraci VLAN (přidání, zrušení nebo přej-menování VLAN) přes sdílenou administrativní doménu.

Použití globálního konfiguračního režimu

Switch(config)#vtp mode client Změní přepínač do režimu VTP klienta.

Switch(config)#vtp mode server Změní přepínač do režimu VTP serveru.

Switch(config)#vtp mode transparent Změní přepínač do transparentního režimu VTP.

POZNÁMKA: Implicitně jsou všechny přepína-če Catalyst v režimu VTP server.

Switch(config)#no vtp mode Vrátí přepínač do implicitního režimu VTP serveru.

Switch(config)#vtp domain domain-name Nastavuje doménové jméno VTP. Jméno může být dlouhé od 1 do 32 znaků.

POZNÁMKA: všechny přepínače v režimu VTP server nebo klient musí mít stejné jméno domé-ny, aby spolu mohly navzájem komunikovat (v protokolu VTP).

Switch(config)#vtp password password Nastavuje heslo VTP. V IOS Release 12.3 a poz-dějších je heslo řetězec ASCII dlouhý 1 až 32 znaků. Jestliže používáte starší verze než 12.3, rozsah délky hesla je 8 až 64 znaků.

POZNÁMKA: Aby spolu mohly navzájem ko-munikovat (v protokolu VTP), musí mít přepína-če nastavené stejné heslo pro VTP.

Switch(config)#vtp v2-mode Nastaví VTP doménu do verze 2. Tento příkaz je platný pro IOS Release 12.3 a pozdější. Pro star-ší verze je tento příkaz „vtp version 2“.

POZNÁMKA: Verze VTP 1 a 2 nejsou navzá-jem interoperabilní. Všechny přepínače musí mít stejnou verzi. Největší rozdíl mezi verzí 1 a 2 je podpora pro virtuální sítě VLAN u Token Ring.

Switch(config)#vtp pruning Umožní VTP pruning. POZNÁMKA: implicitně je VTP pruning vypnut. VTP pruning je třeba za-



pnout pouze na jednom přepínači v režimu VTP server.

POZNÁMKA: Pouze ty virtuální sítě VLAN, které jsou zahrnuté v seznamu způsobilých pro „pro-řezávání“ = pruning (pruning-eligible list) mohou být „prořezány“ = vynechány na kmenové lince, pokud není připojeno žádné síťové zařízení, které tuto konkrétní VLAN používá. Virtuální sítě VLAN 2 až 1001 jsou způsobilé implicitně na kmenových (trunk) portech (= portech kmenové linky). Rezervované virtuální sítě a VLAN z rozšířených rozsahů nemohou být „prořezávány“. Pro změnu nastavení použijte příkaz „switchport trunk pruning vlan“:

Switch(config-if)#switchport trunk pruning vlan remove 4, 20-30

! Vymaže virtuální sítě VLAN 4 a 20-30

Switch(config-if)#switchport trunk pruning vlan except 40-50

! Všechny virtuální sítě VLAN jsou přidány do seznamu způsobilých s výjimkou 40-50.

Verifikace VTP

Switch#show vtp status Zobrazí souhrnné informace konfiguraci VTP.

Switch#show vtp counters Zobrazí čítače VTP pro daný přepínač.

POZNÁMKA: Jestliže bylo použití kmenové linky nastaveno ještě před zapnutím VTP, jsou VTP informace propagovány přes strukturu přepínače téměř okamžitě. Nicméně, protože VTP informace jsou inzerovány pouze každých 300 sekund (5 minut), jestliže nebyla provedena nějaká změna, aby se aktualizace vynutila, může trvat několik minut než budou VTP informace propagovány.

Komplexní příklad:

Na přepínači Catalyst 2960 máte na uvedených portech následující režimy a virtuální sítě VLAN v IPv4 adresních blocích:

● Access

● Native – VLAN 1 – fa0/2-4 – 192.168.1.0/24

● Sales – VLAN 10 – fa0/2-4 – 192.168.10.0/24

● Engineering – VLAN 20 – fa0/5-8 – 192.168.20.0/24

● Marketing – VLAN 30 – fa0/9-12 – 192.168.30.0/24

● Trunk IEEE 802.1q

● fa0/1 (připojeno do s0/0/0 směrovače CORP)

Poznámka: Nastavení směrovačů ISP a CORP bude upřesněno v kapitole 6 – Směrování mezi sítě-mi VLAN

Přepínač L2Switch1 (Catalyst 2960):



Switch>enable Přesune do privilegovaného režimu.

Switch#configure terminal Přesun do globálního konfiguračního režimu.

Switch(config)#hostname L2Switch1 Nastaví jméno hostitele.

L2Switch1(config)#no ip domain-lookup Vypne automatický překlad (prohledávání) DNS.

L2Switch1(config)#vlan 10 Vytvoří VLAN 10 a vstoupí do konfiguračního režimu VLAN.

L2Switch1(config-vlan)#name Sales Přiřadí VLAN jméno.

L2Switch1(config-vlan)#exit Návrat do globálního konfiguračního režimu.

L2Switch1(config)#vlan 20 Vytvoří VLAN 20 a vstoupí do konfiguračního režimu VLAN.

L2Switch1(config-vlan)#name Engineering Přiřadí VLAN jméno.

L2Switch1(config-vlan)#vlan 30 Vytvoří VLAN 30 a vstoupí do konfiguračního režimu VLAN. Nezapomeňte, že se nemusíte vracet zpět do globálního konfiguračního režimu (příkazem exit), abyste mohli provést tento příkaz.

L2Switch1(config-vlan)#name Marketing Přiřadí VLAN jméno.

L2Switch1(config-vlan)#exit Návrat do globálního konfiguračního režimu.

L2Switch1(config)#interface range fastethernet 0/2 – 4

Umožní Vám nastavit stejné konfigurační para-metry na několik portů najednou. (Režim konfigurace rozhraní.)

L2Switch1(config-if-range)#switchport mode access

Nastaví porty 2-4 jako přístupové porty.

L2Switch1(config-if-range)#switchport access vlan 10

Přiřadí porty 2-4 do VLAN 10.

L2Switch1(config-if-range)#interface range fastethernet 0/5 – 8

Umožní Vám nastavit stejné konfigurační para-metry na několik portů najednou.







L2Switch1(config-if-range)#interface range fastethernet 0/9 – 12

Umožní Vám nastavit stejné konfigurační para-metry na několik portů najednou.





L2Switch1(config-if-range)#exit Návrat do globálního konfiguračního režimu.

L2Switch1(config)#interface fastethernet 0/1 Přesun do konfiguračního režimu rozhraní.

L2Switch1(config)#description Trunk Link to CORP Router

Nastaví smysluplný lokální popisek rozhraní.

L2Switch1(config-if)#switchport mode trunk Rozhraní dá do permanentního stavu jako kmenové (trunk) a vyjedná změnu linky na kmenovou.

L2Switch1(config-if)#exit Návrat do globálního konfiguračního režimu.

L2Switch1(config)#interface vlan 1 Vytvoří virtuální rozhraní pro VLAN 1 a vstoupí do konfiguračního režimu rozhraní.

L2Switch1(config-if)#ip address 192.168.1.2 255.255.255.0

Přiřadí IP adresu a síťovou masku.

L2Switch1(config-if)#no shutdown Zapne (virtuální) rozhraní přepínače.

L2Switch1(config-if)#exit Návrat do globálního konfiguračního režimu.

L2Switch1(config)#ip default-gateway 192.168.1.1

Přiřadí adresu výchozí brány (default gateway).

L2Switch1(config)#exit Návrat do privilegovaného režimu.

L2Switch1#copy running-config startup-config Uloží konfiguraci do NVRAM.

V této kapitole jsme se naučili:

1. VTP zjednodušuje administraci virtuálních sítí VLAN mezi přepínači Cisco Catalyst replikací konfigurací VLAN mezi přepínači.

2. Doména VTP definuje, které přepínače v síti jsou nastaveny podobně vzhledem k nastavení VLAN.



3. Přepínač Cisco Catalyst může být nastaven do jednoho ze tří režimů VTP: server, klient nebo transparentní.

4. Režim VTP server umožňuje vytvíření, rušení a modifikaci sítí VLAN

5. Režim VTP klient zamezuje modifikaci sítí VLAN a může pouze přijímat informace o VLAN prostřednictví oznamovačů VTP.

6. Režim VTP transparentní umožňuje vytváření, mazání a modifikaci lokálních VLAN, včetně rozšířeného rozsahu sítí VLAN. Informace o sítích VLAN nejsou synchronizované s ostatní-mi přepínači.

7. Heslo VTP může být použito k omezení synchronizace mezi přepínači nastavenými ve stejné doméně VTP.

8. VTP pruning (prořezávání) může zlepšit celkovou přenosovou kapacitu kmenových linek omezením záplavového provozu pouze na aktivní VLAN.

9. Pro omezení možnosti vzniku chyb vždy pečlivě kontrolujte konfiguraci VTP.


1. Jaký vliv má VTP na administraci sítí VLAN?a) VTP propaguje jména virtuálních sítí VLAN na všechny přepínače ve stejné doméně.

2. Ve kterém režimu VTP musí být přepínač Cisco Catalyst aby mohl měnit či rušit sítě ve stejné doméně VTP?a) Server VTP

3. Jaký účel má transparentní režim VTP?a) Umožňuje, aby oznamovače VTP procházely skrze jinak neparticipujícím přepínačem.

4. Možná příčina nešíření VTP informací z jednoho konce kmenové linky na druhý mezi dvě-ma přepínači?a) Různá jména domén VTP (ale nikoliv nestejné režimy, nestejná čísla revizí, nestejné

přenosové kapacity)5. Přepínač v doméně VTP vyslal žádost o oznamovač VTP. Jaká bude odpověď

a) VTP server pošle oznamovače summary a subset.6. Která funkce na přepínané síti umožní omezit záplavový provoz na přepínačích, které nema-

jí aktivní přístupové porty v určité VLAN.a) VTP pruning

7. Co je požadováno nastavit na novém přepínači přidaném do domény VTP?a) Stejná verze VTP, stejné jméno domény VTP, připojení do domény VTP musí být

prostřednictvím kmenové linky.8. Co je účelem VTP?

a) Udržuje konzistentní konfigurace sítí VLAN v celé síti.



Kapitola 5 – Spanning Tree Protocol (STP)


● Vysvětlit roli nadbytečných, redundandních, linek v konvergované síti.

● Shrnout, jak pracuje protokol STP, aby eliminoval smyčky na druhé vrstvě (L2) v konvergo-vané síti.

● Vysvětlit, jaké používá STP tři kroky, aby zkonvergoval (sesynchronizoval) na topologii bez smyček (loop-free topology).

● Implementovat rychlý PVST+ v síti LAN, aby zabránil smyčkám mezi redundandními pře-pínači.

Redundance v hierarchické síti

Hierarchický model návrhu sítě byl uveden v kapitole 1. Hierarchický model návrhu sítě řeší problémy vyskytující se v plochém (flat) modelu síťových topologií. Jedním z těchto problémů je redundance. Redundance na linkové vrstvě zlepšuje dostupnost sítě implementací alternativních sí-ťových cest přidáním dalších síťových zařízení a kabeláže. To, že existuje více cest pro data cestují-cí skrze síť, umožní přerušení (výpadek) jedné cesty, bez toho, aby to mělo dopad na konektivitu sí-ťových zařízení.

Řeší následující typy výpadků:

● spoj mezi přístupovou a distribuční úrovní● spoj mezi distribuční a páteřní úrovní● přepínač na distribuční úrovni● přepínač na páteřní úrovni

Redundance linek mezi přepínači =>

● zvýšení spolehlivosti, odolnosti proti výpadku

● vznik smyček =>

● rámce L2 nemají žádnou maximální životnost (jako mají L3 pakety TTL), oběžní-kové (všesměrové) vysílání na přepínači je šířeno všemi porty kromě příchozího a v síti s redundandními spoji by vyvolalo vznik nekonečné smyčky, bouře všesmě-rového vysílání (broadcast storm), která zahltí celou síť a zamezí užitečnému provo-zu, B/C je ovšem třeba v síti mít (ARP, DHCP)

● duplikace unicastových rámců při dvou alternativních cestách (respektive zmnožení unicastových rámců při více nadbytečných cestách) => při použití TCP (sekvenční čísla) dojde ke zhroucení přenosu

● => smyčky je třeba potlačit pomocí protokolu Spanning Tree Protocol (STP)

Problémy s redundancí v reálném provozu (real-world):

Reálný provoz v malé síti malého podniku může být někdy dosti matoucí. Pokud nejsou kabely řádně označeny, může snadno vzniknout:



● Na propojovacím panelu (patch panel) smyčka mezi dvěma kabely na jednom přepínači oběma vedoucími do druhého přepínače.

● Smyčka z přípoje z dalšího přepínače v téže síti.

● Smyčka na dvou vzájemně propojených rozbočovačích (hub) připojených k jednomu přepí-nači (vznikne asi pouze v případě, že administrátor ponechá uživatelům možnost absolutní svévole při propojování kabelů v přístupové úrovni sítě).

Pro řešení těchto problémů byl navržen protokol Spanning Tree Protocol (STP).

STP zajistí, že je pouze jedna logická cesta mezi všemi cíli v síti, pomocí záměrného zablokování redundandních cest, které by mohly být příčinou vzniku smyčky. Za zablokovaný je považovaný ta-kový port, když je síťovému provozu zabráněno vstupu nebo opuštění tohoto portu. To se ovšem netýká rámců STP (bridge protocol data unit (BPDU)), které STP používá pro prevenci smyček. Blokování redundandních cest je rozhodující pro prevenci smyček v síti. Fyzické cesty stále existu-jí, aby poskytovaly redundanci, ale tyto cesty jsou uměle vyřazeny z provozu, aby se tak zabránilo výskytu smyček. Jestliže je určitá cesta potřeba pro kompenzaci výpadku síťového kabelu nebo za-řízení, STP přepočte cesty a odblokuje potřebné porty, aby se redundandní cesta stala opět aktivní.

Algoritmus STP

STP používá algoritmus Spanning Tree Algorithm (STA), aby určil, které porty v síti je třeba na-stavit jako blokované, aby se zabránilo vzniku smyček. STA určí jeden přepínač jako kořenový (root) a použije ho jako referenční bod pro kalkulace všech cest. Všechny přepínače participující v STP si vyměňují rámce BPDU, aby určily, který přepínač má nejnižší identifikátor můstku bridge ID (BID) v této síti. Přepínač s nejnižším BID se automaticky stane kořenovým můstkem (root bridge) pro výpočty STA. Proces výběru kořenového můstku bude diskutován později v této kapi-tole.

BPDU je informační rámec vyměňovaný přepínači pro STP. Každý BPDU obsahuje BID, který identifikuje přepínač, který odeslal tento BPDU. BID obsahuje: hodnotu priority, MAC adresu vysí-lajícího přepínače a volitelný rozšiřující identifikátor systému (extended system ID). Nejnižší hodnota BID je určena kombinací těchto tří políček.

BID (64 bitů) = Bridge Priority (4 bity) + Extend System ID (12 bitů) + MAC address (48 bitů)

Potom, co byl určen kořenový můstek, STA vypočítá nejkratší cestu do kořenového můstku. Každý přepínač používá STA k určení, který port zablokovat. Zatímco STA určuje v rámci domény všesměrového vysílání (broadcast domain) nejlepší cesty (s nejmenšími náklady, cenou, least cost) do kořenového můstku, je ostatní síťový provoz potlačen. STA bere v úvahu obě ceny, cenu cesty i cenu portu, když určuje, kterou cestu ponechá nezablokovanou. Ceny cesty jsou kalkulovány s vyu-žitím hodnot cen portů přidružených k rychlostem portů podél dané cesty. Součet hodnot cen portů určuje celkovou cenu cesty do kořenového můstku. Jestliže je na výběr více než jedna cesta, STA zvolí cestu s nejnižší cenou cesty.

Když STA určil, které cesty mají být ponechány dostupné, nastaví porty přepínačů do rozdílných rolí. Role portu charakterizují jejich vztah v síti ke kořenovému můstku a zda mají povoleno přepo-sílat síťový provoz:

● Kořenové porty (Root ports) – porty přepínače, které jsou nejblíže ke kořenovému můstku.



● Pověřené porty (Designated ports) – všechny porty, které nejsou kořenové (non-root por-ts), které mají dosud povolené přeposílání síťového provozu.

● Nepověřené porty (Non-designated ports) – všechny porty nastavené do blokovaného stavu, aby zabránily vzniku smyček.

Všechny přepínače v doméně všesměrového vysílání participují na procesu výběru kořenového pře-pínače. Po zavedení operačního systému přepínače, přepínač vysílá každé 2 sekundy rámec BPDU, který obsahuje BID přepínače a identifikátor kořenového přepínače (root ID). Implicitně (= po za-vedení operačního systému do přepínačů) má root ID stejnou hodnotu jako lokální BID pro všechny přepínače v síti. Identifikátor kořene (root ID) identifikuje kořenový můstek v síti. Ve výchozím stavu, po zavedení operačního systému, každý přepínač tedy sám sebe identifikuje jako kořenový přepínač.

Jak přepínače rozesílají svoje rámce BPDU, sousedící přepínače v doméně všesměrového vysílání čtou z rámce informace o Root ID. Jestliže je Root ID z přijatého rámce BPDU nižší než Root ID na přijímajícím přepínači, přijímající přepínač aktualizuje svůj Root ID, identifikujíc tak sousední pře-pínač jako kořenový. Poznámka: Nemusí to být sousedící přepínač, ale kterýkoliv jiný přepínač v doméně všesměrového vysílání. Tento přepínač potom rozešle ostatním sousedním přepínačům nové rámce BPDU s nižším Root ID. Nakonec je přepínač s nejnižším Root ID identifikován jako kořenový můstek pro celou tuto instanci spanning-tree.

Kroky konvergence STP:

1. volba kořenového můstku (root bridge)

2. volba kořenových portů (root ports)

3. volba pověřených (designated) a nepověřených (non-designated) portů

Ceny portů pro výpočet nejlepší cesty do kořenového přepínače (můstku):

Rychlost linky

Link speed

Cena (revidovaná specifikace IEEE)

Cost (Revised IEEE specification)

Cena (předchozí specifikace IEEE)

Cost (Previous IEEE specificatons)

10Gb/s 2 1

1Gb/s 4 1

100Mb/s 19 10

10Mb/s 100 100

Jednotlivé ceny se sčítají za celou trasu.

Výběr kořenového můstku (příklad 5.2.2)

Přehled zpracování BPDU:



Poznámka: Počáteční rozhodující faktor pro výběr kořenového můstku je priorita. Pokud priority všech přepínačů byly stejné, bude rozhodující činitel MAC adresa.

Mějme tři přepínače (S1, S2 a S3) zapojené do trojúhelníka na počátku mají priority: S1 = 24577, S2 = 32769 a S3 = 32769. MAC adresy S1 = 000A00333333, S2 = 000A00111111 a S3 = 000A-00222222. Root ID je složeno z priority a MAC adresy např. Pro S1 Root ID = 24577. 000A-00333333. Ceny cest jsou 19.

1. Na počátku každý přepínač identifikuje sám sebe jako kořenový. Přepínač S2 rozešle rámce BPDU ze všech svých portů. BPDU obsahuje Bridge ID a stejný Root ID identifikující, že S2 je kořenový můstek.

2. Když přepínač S3 přijme BPDU z přepínače S2, S3 porovná svůj vlastní Root ID s rámcem, který přijal. Priority jsou stejné, tak je přepínač donucen prozkoumat část MAC adresou, aby zjistil, která MAC adresa má nižší hodnotu. Protože S2 má nižší MAC adresu, S3 aktua-lizuje svůj Root ID s hodnotou Root ID z S2. V této chvíli S3 považuje S2 za kořenový můs-tek.

3. Když S1 porovná svůj Root ID s Root ID z přijatého rámce (z S2), zjistí, že lokální Root ID má nižší hodnotu a tak rámec BPDU z S2 odloží.

4. Když S3 vyšle rámce BPDU, je Root ID obsažený v rámcích ten z S2.

5. Když S2 přijme rámec BPDU, zahodí ho po ověření, že Root ID v BPDU je stejný jako lokální Root ID.

6. Protože S1 má nižší hodnotu priority ve svém Root ID, zahodí rámec BPDU přijatý z S3.

7. S1 vyšle rámce BPDU.

8. S3 zjistí, že Root ID v BPDU má menší hodnotu než ta jeho, proto jí aktualizuje svoji hodnotu Root ID, aby tak dal najevo, že nyní je kořenovým přepínačem S1.

9. S2 zjistí, že Root ID v BPDU má menší hodnotu než ta jeho, proto jí aktualizuje svoji hodnotu Root ID, aby tak dal najevo, že nyní je kořenovým přepínačem S1.

Stav portu v STP

Stálý nebo Přechodný

Definice

Blocking2

Blokování

Stálý Port je nepověřený. Rozhraní nezpracovává přijaté datové rámce nebo neposílá datové rámce ven z tohoto rozhraní (datové rámce jsou zahazovány). Přijímá pouze BPDU, aby určil umístění a Root ID přepínače - kořenového můstku.

Forwarding

Přeposílání

Stálý Rozhraní přeposílá nebo přijímá rámce normálně (zároveň se učí MAC adresy a zpracovává BPDU).

Disabled

Vypnutý

Stálý Rozhraní je porouchané nebo bylo administrativně zakázané. Žádný rámec není přijímán nebo přeposílán. Nelze rovnou pře-

2 Anglická mnemotechnika pro stavy portu v STP: BLLUF.



pnout do stavu Forwarding. Vůbec se nezúčastní STP.

Listening

Naslouchání

Přechodný Dočasný stav zatímco přepínač čeká na prodlevu při čtení z MAC tabulky (CAM). V tomto stavu přepínač nepřeposílá rámce.

Learning

Učení

Přechodný Dočasný stav zatímco se přepínač učí nové vstupy do MAC tabulky (CAM) na základě zdrojových MAC adres nově přijatých rámců. V tomto stavu přepínač nepřeposílá rámce.

Přechody mezi stavy:

initialization -> blocking

blocking -> listening nebo do disabled

listening -> learning nebo do disabled

learning -> forwarding nebo do disabled

forwarding -> blocking nebo do disabled

Stavy portů a procesy na nich

Procesy Blocking Listening Learning Forwar-ding

Disable

Přijímá a zpracovává rámce BPDU Ano Ano* Ano Ano Ne

Přeposílá datové rámce přijaté na rozhraní Ne Ne Ne Ano Ne

Přeposílá datové rámce přepnuté z jiného rozhraní Ne Ne Ne Ano Ne

Učí se MAC adresy Ne Ne Ano Ano Ne

*Návrat do stavu blocking pokud není nejnižší cena cesty ke kořenovému můstku

Časovače STP

Hello time Hello time je doba mezi vysíláním jednotlivých rámců BPDU na port.

Implicitně je rovná 2 sekundám, ale může být nastavena mezi 1 až 10 sekunda-mi.

Forward delay Forward delay je doba strávená ve stavu listening a learning.

Implicitně je rovna 15 sekundám pro každý stav, ale může být nastavena mezi 4 až 30 sekundami.

Maximum age Maximum age řídí maximální dobu, po kterou přepínač uchovává konfiguraci BPDU.

Implicitně je rovna 20 sekund, ale může být nastavena mezi 6 až 40 sekundami.



Technologie Cisco PortFast

Jde o technologii firmy Cisco. Když je port přepínače nakonfigurován s funkcí PortFast a nastaven jako přístupový (access), potom port přejde okamžitě ze stavu blokovaného do stavu přeposílání a obejde stavy STP naslouchání a učení se. PortFast lze použít na portech přepínače, ke kterému je připojena jedna pracovní stanice nebo server. To umožňuje se těmto zařízením připojit do sítě okamžitě a nemusí čekat na konvergenci algoritmu STP. Technologie PortFast je použita pro podpo-ru DHCP. Bez PortFastu může PC vyslat DHCP request před tím než je port ve stavu forwarding a tím zabrání, aby PC obdrželo z DHCP použitelnou IP adresu a další informace.

Konfigurace (PortFast je implicitně na všech rozhraních vypnutý):

• zapnutí PortFast - (config-if)#spanning-tree portfast

• vypnutí PortFast – (config-if)#no spanning-tree portfast

Ověření:

• #show running-config

Poznámka

Nezapomeňte, že v naší síťové laboratoři používané přepínače (Catalyst 2950) nemají spustitelnou funkci MDI/MDIX a pro vzájemné propojení přepínačů je třeba skutečně použít překřížené kabely. V opačném případě se tyto přepínače navzájem „nevidí“. STP je sice na portech zpřístupněn, ale pokud přepínač „nevidí“ žádný jiný přepínač není STP vůbec spuštěn.

Cvičení

V Packet Traceru propojte 3 přepínače dohromady do trojúhelníka vždy 3-mi paralelně vedenými (překříženými) UTP kabely. Ke každému přepínači připojte jedno PC (nastavte vhodnou IP adresu a masku).

1. Sledujte konvergenci STP. Po zkonvergování jsou všechny porty buď ve stavu přeposílání (forwarding) nebo nebo blokování (blocking) (do stavu vypnutého (disabled) musí nastavit administrátor ručně).

2. Určete, který z přepínačů je kořenový (root). (Je to jednoduché – kořen je tam, kde není blo-kovaný žádný port na přepínači.)

3. V privilegovaném režimu (enable) si vypište stav STP kořenového přepínače i ostatních. (Viz následující příkazy.)

Příkazy CLI Cisco 2950 Catalyst Switch použité při konfiguraci Spanning Tree Protocol (v IOS)

Switch_A>enable

Password:

Switch_A#show interface vlan 1 (zjišťuji MAC adresu pro konkrétní rozhraní)

Switch_A#show spanning-tree (zobrazí, zda je můstek kořenový, ceny, stavy a typy portů)

Switch_A#show mac-address-table dynamic (totéž udělá příkaz show mac address-table)



Switch_A#configure terminal (přepne do configuračního režimu)

Switch_A(config)#spanning-tree vlan 1 root {primary/secondary} (hlavní konfigurační režim, na-stavení primárního nebo sekundárního kořenového můstku)

Switch_A(config-if)#spanning-tree cost cena (nastavení ceny pro konkrétní rozhraní)

PT Activity: 5.2.5

Lab Basic STP: 5.5.1

Cvičení 5.5.5 nastavení kořenového můstku pomocí priorit přepínačů

Spuštění STP

Switch(config)#spanning-tree vlan 5 Spustí/umožní STP na VLAN 5

Switch(config)#no spanning-tree vlan 5 Vypne STP na VLAN 5

POZNÁMKA: Jestliže je v protokolu VTP definováno více sítí VLAN než je instancí STP, můžete mít pouze STP na 64 sítích VLAN. Jestliže máte více než 128 sítí VLAN, je doporučeno používat protokol Multiple STP.

Konfigurace (primárního) kořenového přepínače (root switch)

Switch(config)#spanning-tree vlan 5 root Modifikuje prioritu přepínače z implicitní hodnoty 32768 na nižší hodnotu, aby přepínač stal kořenovým pro VLAN 5.

POZNÁMKA: Jestliže všechny ostatní přepína-če mají podporu rozšířeného ID, tento přepínač přenastaví svoji prioritu na 24576. Jestliže jaký-koliv jiný přepínač již má prioritu nastavenou na 24576, tento přepínač nastaví svoji vlastní prio-ritu o 4096 menší než je nejnižší priorita na ostatních přepínačích. Pokud by provedením tohoto postupu měl mít tento přepínač prioritu menší než 1, tento příkaz selže.

Switch(config)#spanning-tree vlan 5 root prima-ry

Přepínač přepočítá časovače společně s priori-tou, aby umožnil tomuto přepínači se stát ko-řenovým přepínačem pro VLAN 5.

TIP: Kořenový přepínač by měl být páteřní nebo distribuční přepínač.

Switch(config)#spanning-tree vlan 5 root prima-ry diameter 7

Nakonfiguruje přepínač, aby se stal kořenovým přepínačem pro VLAN 5 a nastaví nejdelší délku trasy v síti (síťovou vzdálenost) (network dia-



meter) na 7.

TIP: Klíčové slovo diameter je použito pro defi-nici maximálního počtu přepínačů mezi jaký-mikoli dvěmi koncovými stanicemi.

Switch(config)#spanning-tree vlan 5 root prima-ry hello-time 4

Nakonfiguruje přepínač, aby se stal kořenovým přepínačem pro VLAN 5 a nastaví časovač hello-delay na 4 sekundy.

TIP: Klíčové slovo hello-time nastaví časovač hello-delay na kteroukoliv hodnotu mezi 1 a 10 sekundami. Implicitní hodnota je 2 sekundy.

Nastavení sekundárního kořenového přepínače

Switch(config)#spanning-tree vlan 5 root secon-dary

Přepínač přepočítá časovače společně s priori-tou, aby umožnil tomuto přepínači se stát ko-řenovým přepínačem pro VLAN 5 v případě, že by (primární) kořenový přepínač selhal.

POZNÁMKA: Jestliže všechny ostatní přepína-če mají podporu rozšířeného ID, tento přepínač přenastaví svoji prioritu na 28672. Proto tedy, jestliže kořenový přepínač selže a všechny ostat-ní přepínače mají nastavenou implicitní prioritu 32768, se tento přepínač stane novým ko-řenovým přepínačem. Pro přepínače bez podpo-ry rozšířeného ID systému je priorita přepínače změněna na 16384.

Switch(config)#spanning-tree vlan 5 root secon-dary diameter 7

Nakonfiguruje přepínač, aby se stal sekundárním kořenovým přepínačem pro VLAN 5 a nastaví nejdelší délku trasy v síti (síťovou vzdálenost) (network diameter) na 7.

Switch(config)#spanning-tree vlan 5 root secon-dary hello-time 4

Nakonfiguruje přepínač, aby se stal sekundárním kořenovým přepínačem pro VLAN 5 a nastaví časovač hello-delay na 4 sekundy.

Nastavení priority portu (port priority)

Switch(config)#interface gigabitethernet 0/1 Přesune do režimu konfigurace rozhraní.

Switch(config-if)#spanning-tree port-priority 64 Nastaví prioritu portu pro rozhraní, které je v



režimu přístupového (access) portu.

Switch(config-if)#spanning-tree vlan 5 port-pri-ority 64

Nastaví VLAN prioritu pro rozhraní v režimu kmenového (trunk) portu.

POZNÁMKA: Priorita portu se používá pro zlo-mení vazby mezi dvěma přepínači se stejnými prioritami pro určení kořenového přepínače. Čís-lo může být mezi 0 a 255. Implicitní priorita portu je 128. Čím větší číslo, tím vyšší priorita.

Nastavení ceny cesty (Path Cost)

Switch(config)#interface gigabitethernet 0/1 Přesune do režimu konfigurace rozhraní.

Switch(config-if)#spanning-tree cost 100000 Nastaví cenu (cost) pro rozhraní, které je v reži-mu přístupového (access) portu.

Switch(config-if)#spanning-tree vlan 5 cost 1000000

Nastaví cenu pro rozhraní v režimu kmenového (trunk) portu pro jednu konkrétní VLAN (5).

POZNÁMKA: Jestliže se vyskytnou smyčky (loops), STP použije cenu cesty, když zkouší určit, které rozhraní umístit do stavu přeposílání (forwarding). Vyšší cena cesty znamená nižší rychlost přenosu. Rozsah pro klíčové slovo cost je od 1 do 200000000. Implicitní hodnota je za-ložena na rychlosti média na rozhraní.

Nastavení priority přepínače pro VLAN

Switch(config)#spanning-tree vlan 5 priority 12288

Nastaví prioritu přepínače pro VLAN 5 na 12288.

POZNÁMKA: Pro klíčové slovo priority je rozsah od 0 až do 61440 pro kroku inkrementace 4096. Implicitní hodnota je 32768. Čím nižší priorita, tím spíše bude přepínač vybrán jako kořenový.

Jako konkrétní hodnoty priority mohou být použita pouze následující čísla:

0 4096 8192 12288

16384 20480 24576 28672

32768 36864 40960 45056

49152 53248 57344 61440

VAROVÁNÍ: Cisco doporučuje obezřetnost při použití tohoto příkazu. Cisco dále doporučuje pou-



žívat namísto modifikace priority přepínače příkazy spanning-tree vlan x root primary nebo spanning-tree vlan x root secondary.

Nastavení časovačů STP

Switch(config)#spanning-tree vlan 5 hello-time 4

Změní časovač hello-delay ve VLAN 5 na hodnotu 4 sekundy.

Switch(config)#spanning-tree vlan 5 forward-ti-me 20

Změní časovač forward-delay ve VLAN 5 na hodnotu 20 sekund.

Switch(config)#spanning-tree vlan 5 max-age 25 Změní časovač maximum-aging ve VLAN 5 na hodnotu 25 sekund.

POZNÁMKA: Pro příkaz hello-time je rozsah 1 až 10 sekund. Implicitní hodnota jsou 2 sekundy. Pro příkaz forward-time je rozsah 4 až 30 sekund. Implicitní hodnota je 15 sekund. Pro příkaz max-age je rozsah 6 až 40 sekund. Implicitní hodnota je 20 sekund.

Verifikace STP

Switch#show spanning-tree Zobrazí informace o STP

Switch#show spanning-tree active Zobrazí informace o STP pouze pro aktivní roz-hraní.

Switch#show spanning-tree brief Stručně zobrazí stav STP.

Switch#show spanning-tree detail Zobrazí detailní přehled informací o rozhraní.

Switch#show spanning-tree interface gigabi-tethernet 0/1

Zobrazí informace o STP pro rozhraní gigabi-tethernet 0/1

Switch#show spanning-tree summary Zobrazí přehled stavů portů

Switch#show spanning-tree summary totals Zobrazí součtové řádky sekce STP.

Switch#show spanning-tree vlan 5 Zobrazí informace o STP pro VLAN 5

Volitelná nastavení STP

Ačkoliv následující příkazy nejsou pro činnost STP mandatorní, mohou být užitečné pro lepší vyla-dění vaší sítě.

PortFast

Switch(config)#interface fastethernet 0/10 Přesune do režimu konfigurace rozhraní.

Switch(config-if)#spanning-tree portfast Zapne na přístupovém (access) portu PortFast.



Switch(config-if)#spanning-tree portfast trunk Zapne na kmenovém (trunk) portu PortFast.

VAROVÁNÍ: Používejte příkaz portfast pouze, pokud připojujete jedno koncové zařízení na pří-stupový nebo kmenový port. Použití tohoto příkazu na portu připojeném na rozbočovači nebo přepínači zamezí detekci smyček pomocí STP.

POZNÁMKA: Pokud zapnete funkci hlasové VLAN, je PortFast zapnut automaticky. Pokud hlasovou VLAN deaktivujete, zůstane PortFast stále zapnutý.

Switch#show spanning-tree interface fastethernet 0/10 portfast

Zobrazí informace o PortFast na rozhraní FastEthernet 0/10.

Změna režimu STP

Na přepínačích Ciscco mohou být nastaveny různé druhy STP. Volby jsou závislé na platformě:

● Per-VLAN Spanning Tree (PVST) - Pro každou VLAN je jedna instance STP. Proprietární protokol Cisco.

● Per-VLAN Spanning Tree Plus (PVST+) - Také proprietární protokol Cisco. Přidává rozšíření do protokolu PVST.

● Rapid PVST+ - To samé jako PVSTP+ s výjimkou, že používá rychlou konvergenci na zá-kladě standardu 802.1w.

● Multiple Spanning Tree Protocol (MSTP) - IEEE 802.1s. Rozšiřuje algoritmus 802.1w Rapid Spanning Tree (RST) na více STP. Více sítí VLAN může být namapováno na jednu instanci RST. V jednu chvíli nemůžete spustit MSTP a zároveň PVST.

Switch(config)#spanning-tree mode mst Zapne MSTP. Tento příkaz je dostupný pouze na přepínačích na kterých je spuštěn obraz software EI.

Switch(config)#spanning-tree mode pvst Zapne PVST. To je implicitní nastavení.

Switch(config)#spanning-tree mode rapid-pvst Zapne Rapid PVST+.

Zapnutí Rapid Spanning Tree

Switch(config)#spanning-tree mode rapid-pvst Zapne Rapid PVST+.



Switch(config)#interface fastethernet 0/1 Přesune do konfiguračního režimu rozhraní.

Switch(config-if)#spannisng-tree link-type point-to-point

Nastaví rozhraní jako rozhraní typu point-to-point.

POZNÁMKA: Nastavení typu linky jako point-to-point znamená, že pokud tento port připojíte ke vzdálenému portu, a tento port se stane pově-řeným portem, přepínač vyjedná se vzdáleným portem a přenese lokální port do stavu přeposí-lání (forwarding).

Switch(config-if)#exit

Switch(config)#clear spanning- tree detected-protocols

POZNÁMKA: Příkaz clear spanning-tree de-tected-protocols restartuje migrační proces pro-tokolu na přepínači, jestliže je jakýkoliv port při-pojen na port zastaralého přepínače s normou 802.1D (bridges standard, který obsahuje STP ale nikoliv VLAN).


1. Dva problémy s redundandními spoji mezi přepínačia) bouře všesměrového vysílání (broadcast storm)b) vytváření vícenásobných kopií rámců

2. Da přepínače jsou spojeny do smyčky a jsou na ně připojeny klienti. Není spuštěn STP. Z jednoho klienta vyšlete ARP request. Co se stane?a) Rámec opakovaně ve smyčce cestuje mezi přepínači (dokud se přepínače nevypnou).

3. Vzájemné redundandní spojení několika přepínačů se spuštěným STP ve výchozím nasta-vení. Jak STP předchází vzniku směrovacích smyček? a) Jeden z přepínačů je zvolen kořenovým a redundandní cesty do tohoto přepínače jsou

zablokovány.4. Co musí přepínač se spuštěným STP udělat při svém prvním spuštění?

a) Zjistit identifikátor (BID) všech přepínačů v síti. 5. Spárování názvů variant STP s jejich popisky:

a) MSTP = redukuje počet instancí STP potřebných při velkém počtu sítí VLANb) RSTP = začleněný do IEEE 802.1D-2004, podporuje BackboneFast, UplinkFast, Port

Fastc) PVST = podporuje trunking s ISL a vyrovnávání zátěžed) PVST+ = podporuje BDU guard, root guard a použití trunkingu IEEE 802.1Qe) rapid PVST+ = založený na IEEE 802.1w, podporuje BackboneFast, UplinkFast, Port



Fast6. Které tři porty (rozuměj, v jakých stavech) budou odkládat (zahazovat) došlá data během

činnosti STP?a) Blocking,b) Disabled,c) Listening.d) Naopak přijímat je budou porty ve stavech root, designated a forwarding

7. Správné spárování stavů portů při STP a jejich popisů:a) disabled = nepřijímá rámce BPDUb) blocking = přijímá pouze rámce BPDUc) listening = pouze přijímá a zpracovává BPDUd) learning = pouze přijímá a zpracovává BPDU, plní přepínací MAC tabulkue) forwarding = přijímá a zpracovává BPDU, plní přepínací MAC tabulku a posílá data

8. Které tři časovače určují výkon a změnu stavů v STP?a) Hello timeb) maximum age (maximální stáří)c) forward delay (zpoždění přeposlání)

9. Výběr kořenového můstku (root bridge) probíhá postupněa) nejnižší přiorita, při jejich rovnosti nejnižší MAC adresa

10. Protokol per-VLAN Spanning Tree Protocol (PVSPT) podporuje který standard?a) IEEE 802.1Db) ale nikoliv: 802.1, 802.1Q, 802.1w



Kapitola 6 – Směrování mezi sítěmi VLAN


● Vysvětlit, jak je síťový provoz směrován mezi virtuálními sítěmi LAN v konvergované síti.

● Konfigurovat směrování mezi virtuálními sítěmi (inter-VLAN routing) na směrovači, aby se umožnila komunikace mezi zařízeními koncových uživatelů (end-user devices) v oddě-lených virtuálních sítích.

● Řešit běžné problémy související s propojováním virtuálních sítí.

Komunikace mezi VLAN a externí směrovač:

● Standardní směrování, každá VLAN na zvláštním portu,

● Router-on-a-Stick – směrování s využitím kmenové linky (trunk link), kmenová linka je přivedena na jeden fyzický port směrovače s vytvořenými virtuálními pod-rozhraními (vir-tual subinterfaces).

Porovnání výhod/nevýhod fyzického rozhraní a logického (virtuálního) pod-rozhraní

Fyzické rozhraní Virtuální pod-rozhraní

Jedno fyzické rozhraní pro jednu VLAN Jedno fyzické rozhraní pro mnoho sítí VLAN

Nesoupeří se o přenosovou kapacitu, šířku pásma

Soupeření o přenosovou kapacitu, šířku pásma

Připojeno k portům přepínače, které jsou v pří-stupovém režimu (accesss mode)

Připojeno k jednomu portu přepínače. Tento port je v režimu kmenové linky (trunk mode).

Cenově dražší Méně drahé

Méně složitá konfigurace Více složitější konfigurace

Tipy pro komunikaci mezi virtuálními sítěmi VLAN:

● Přestože většina směrovačů podporuje oboje zapouzdření ISL i dot1q, některé modely přepí-načů podporují pouze dot1q (například modelové řady 2950 a 2960).

● Jestliže potřebujete použít jako zapouzdřovací protokol (trunking protocol) ISL, použijete příkaz „encapsulation isl x“, kde x je číslo virtuální sítě VLAN, která má být přiřazena k tomu příslušnému pod-rozhraní.

● Doporučovaná nejlepší praxe (recommended best practice) je použít stejné číslo VLAN jako pro číslo pod-rozhraní. Je snazší hledání a odstraňování chyb VLAN 10 na podrozhraní fa0/0.10 než na fa0/0.2.

● Nativní VLAN (obvykle VLAN 1) nemůže být konfigurována na podrozhraní pro IOS s čís-lem release dřívějším než 12.1(3)T. IP adresy nativní VLAN tudíž musí být konfigurovány na fyzickém rozhraní. Provoz ostatních VLAN je nastaven na podrozhraních (sub-interface).



Postaru: před verzí Cisco IOS version 12.1(3)T musí být nativní VLAN připojena k fyzickému roz-hraní směrovače (tzn., že nativní VLAN nemůže být připojena k virtuálnímu podrozhraní):

Router(config)#interface fastethernet 0/0

Router(configif)#ip address 192.168.1.1 255.255.255.0

Router(configif)#no shutdown

Router(configif)#interface fastethernet 0/0.10

Router(configsubif)#encapsulation dot1q 10

Router(configsubif)#ip address 192.168.10.1 255.255.255.0

Nově: od verze Cisco IOS version 12.1(3)T je použit nový příkaz „encapsulation dot1q 1 native“ pro nativní VLAN připojenou na virtuálním podrozhraní. Fyzické rozhraní musí být sice zapnuté, ale nemá přidělenou žádnou IP adresu:Router(config)#interface fastethernet 0/0

Router(configif)#no shutdown


Router(configsubif)#encapsulation dot1q 1 native



Router(configsubif)#encapsulation dot1q 10


Poznámka:

U virtuálních rozhraní na směrovači je třeba pro konkrétní virtuální pod-rozhraní při konfiguraci nastavit nejprve zapouzdření a teprve potom IP adresu (operační systém to v opačném pořadí nedovolí provést).

Běžné problémy konfigurace přepínačů při směrování mezi VLAN a způsoby jejich odstraňování:

1. Když používáte tradiční model směrování pro směrování mezi VLAN (= každá VLAN na samostatném fyzickém portu na směrovači), zajistěte, aby porty přepínače, které jsou připo-jeny do jednotlivých rozhraní směrovače, byly nastaveny do správných sítí VLAN. Pokud nejsou nastaveny do správných sítí VLAN, zařízení připojená do této VLAN se nemohou připojit k rozhraní směrovače, a tak nemohou směrovat do ostatních sítí VLAN.

○ Oprava: switchport access vlan <správné číslo VLAN>

2. V případě směrování mezi VLAN s použitím kmenové linky (router-on-a-stick routing model). Může vzniknout problém, pokud nenastavíte linku na přepínači jako kmenovou (a tím zůstane tento port v implicitní VLAN). Výsledkem je, že žádný z virtuálních podroz-hraní na směrovači není schopen přijmout nebo vyslat označkovaný provoz virtuální sítě (VLAN tagged traffic). To znemožní směrováním na směrovači dosáhnout jinou VLAN.

○ Oprava: switchport mode trunk.



3. Spadlá nezálohovaná kmenová linka.

○ Oprava: přidání redundandních linek do klíčových oblastí sítě (jako jsou právě kmenové linky). Technologie Cisco EtherChannel umožní agregovat více fyzických linek do jedné logické linky. To umožní mít například agregovanou přenosovou kapacitu (šířku pásma) 80Gb/s složenou z 10Gb/s linek.

○ Další možností je přidat redundandní fyzické linky a mít je, kvůli vzniku smyček, blo-kované pomocí STP. Provoz STP může ale způsobit krátké výpadky provozu během doby své konvergence.

Příkazy vhodné pro hledání chyb nastavení přepínače:

● show interface <interface-id> switchport

● show running-config

Běžné problémy konfigurace směrovačů

1. Jedna z nejběžnějších chyb nastavení směrovače při směrování mezi virtuálními sítěmi je připojení fyzického rozhraní směrovače ke špatnému portu přepínače, který leží nesprávné VLAN. Tím se znemožní přístup do ostatních VLAN.

○ Oprava: změna portu nebo rekonfigurace portu, do kterého je zapojen kabel.

2. Špatná konfigurace VLAN na virtuálním podrozhraní směrovače. Opět to způsobí přístup do ostatních VLAN v síti.

○ Oprava: nastavení virtuálního podrozhraní do správné VLAN.

○ Příkazem pro konfiguraci podrozhraní: encapsulation dot1q <číslo VLAN>

Příkazy vhodné pro hledání chyb a ověření nastavení směrovače:

● show interface,

● show running-config.

Běžné problémy při konfiguraci IP adresace:

Pro jednotlivé VLAN jsou použity samostatné IP podsítě. Virtuální podrozhraní musí být adresová-na ve správných IP sítích. (Viz nejlepší postupy (best practice) pro přiřazování adres). Chyba může vzniknout i zadání špatné masky, například překryvy.

Příkazy vhodné pro hledání chyb a ověření IP adresace:

● show ip interface,

● show running-config.

Lab 6.2.2.5 – Router-on-a-Stick Inter-VLAN Routing

● nastavte



● ověřte obsah směrovací tabulky

Lab 6.4.2 verze Challenge (nebo Basic – tam jsou uvedeny všechny potřebné příkazy, proti verzi Challenge). Zadání si vytiskněte.

● Změňte kořenový přepínač pro STP na ten, který je připojený ke směrovači.

Poznámka (práce s VLAN a směrováním na kmenové lince v PacketTraceru):

Před nastavením kmenové linky na přepínači, připojenému ke směrovači, je třeba nejprve ak-tivizovat rozhraní na přepínači (například přepnutím do simulačního režimu a „propinknutím“ nebo automatickým odesláním BPDU protokolu STP). Nebo vypnutím a zapnutím portu. Ověřte si stav trunk linky.

Pokračování komplexního příkladu z kapitoly 4

ISP Router

Router>enable Přesune do privilegovaného režimu.

Router>#configure terminal Přesune do globálního konfiguračního režimu.

Router(config)#hostname ISP Nastaví jméno hostitele.

ISP(config)#interface loopback 0 Přesune do režimu konfigurace rozhraní.

ISP(config-if)#description simulated address representing remote website

Nastaví lokálně určující popisek rozhraní.

ISP(config-if)#ip address 198.133.219.1 255.255.255.0


ISP(config-if)#interface serial 0/0/0 Přesune do režimu konfigurace rozhraní.

ISP(config-if)#description WAN link to the Corporate Router


ISP(config-if)#ip address 192.31.7.5 255.255.255.252


ISP(config-if)#clock rate 56000 Přiřadí takt hodin (clock rate) na rozhraní DCE - kabel je zastrčen do tohoto rozhraní.

ISP(config-if)#no shutdown Zapne rozhraní.

ISP(config-if)#exit Návrat do globálního konfiguračního režimu.

ISP(config-if)#router eigrp 10 Vytvoří směrovací proces 10 pro směrovací pro-tokol Enhanced Interior Gateway Routing Proto-



col (EIGRP).

ISP(config-router)#network 198.133.219.0 Inzeruje přímo připojené sítě (pouze adresy v plné třídě, potom se nemusí uvádět pseudomas-ka).

ISP(config-router)#network 192.31.7.0 Inzeruje přímo připojené sítě (pouze adresy v plné třídě).

ISP(config-router)#no auto-summary Vypne automatickou sumarizaci, agregaci sítě (auto summarization).

ISP(config-router)#exit Návrat do globálního konfiguračního režimu.

ISP(config)#exit Návrat do privilegovaného režimu.

ISP#copy running-config startup- config Uloží konfiguraci do NVRAM.

CORP Router

Router>enable Přesune do privilegovaného režimu.

Router>#configure terminal Přesune do globálního konfiguračního režimu.

Router(config)#hostname CORP Nastaví jméno hostitele.

CORP(config)#no ip domain-lookup Vypne automatické dotazy na DNS (Doménový jmenný systém), takže vás nezdržují překlepy v příkazech.

CORP(config)#interface serial 0/0/0 Přesune do režimu konfigurace rozhraní.

CORP(config-if)#description link to ISP Nastaví lokálně určující popisek rozhraní.

CORP(config-if)#ip address 192.31.7.6 255.255.255.252

Přiřadí IP adresu a síťovou masku (masku podsí-tě).

CORP(config-if)#no shutdown Zapne toto rozhraní.

CORP(config-if)#exit Návrat do globálního konfiguračního režimu.

CORP(config)#interface fastethernet 0/0 Vstup do režimu konfigurace rozhraní.

CORP(config-if)#duplex full Zapne činnost full-duplex, aby se zajistilo, že provoz kmenové linky bude zajištěn zde i na přepínači L2Switch1.

CORP(config-if)#no shutdown Zapne rozhraní. (Fyzické rozhraní v tomto pří-



padě nemá nastavenu IP adresu a masku.)

CORP(config-if)#interface fastethernet 0/0.1 Vytvoří virtuální podrozhraní (virtual subinter-face) a přesune do režimu konfigurace tohoto podrozhraní.

CORP(config-subif)#description Management VLAN 1 – Native VLAN


CORP(config-subif)#encapsulation dot1q 1 na-tive

Přiřadí VLAN 1 k tomuto podrozhraní. VLAN 1 bude nativní (native, = pro administraci) VLAN. Toto podrozhraní bude pro zapouzdření na kmenové lince používat protokol 802.1q (trunking protokol).

CORP(config-subif)#ip address 192.168.1.1 255.255.255.0


CORP(config-subif)#interface fastethernet 0/0.10

Vytvoří virtuální podrozhraní (virtual subinter-face) a přesune do režimu konfigurace tohoto podrozhraní.

CORP(config-subif)#description Sales VLAN 10


CORP(config-subif)#encapsulation dot1q 10 Přiřadí VLAN 10 k tomuto podrozhraní. Toto podrozhraní bude pro zapouzdření na kmenové lince používat protokol 802.1q (trunking pro-tokol).


Přiřadí IP adresu a síťovou masku (masku podsí-tě). (Virtuální rozhraní je automaticky spuštěno po zapnutí fyzického rozhraní.)



CORP(config-subif)#description Engineering VLAN 20









CORP(config-subif)#description Marketing VLAN 30



CORP(config-subif)#ip add 192.168.30.1 255.255.255.0


CORP(config-subif)#exit Návrat do konfiguračního režimu rozhraní.

CORP(config-if)#exit Návrat do globálního konfiguračního režimu.

CORP(config)#router eigrp 10 Vytvoří směrovací proces 10 pro směrovací pro-tokol EIGRP a přesune do konfiguračního reži-mu směrování (směrovače) (router configu-ration mode).

CORP(config-router)#network 192.168.1.0 Inzeruje síť 192.168.1.0




CORP(config-router)#network 192.31.7.0 Inzeruje síť 192.31.7.0 (propojovací, tranzitní, síť (sériovou linku WAN) do ISP).

CORP(config-router)#no auto-summary Vypne automatickou sumarizaci, agregaci sítě (auto summarization), na hranici plné třídy.

CORP(config-router)#exit Návrat do globálního konfiguračního režimu.

CORP(config)#exit Návrat do privilegovaného režimu.

CORP#copy running-config startup-config Uloží konfiguraci do NVRAM.

V této kapitole jsme se naučili:



● Směrování mezi virtuálními sítěmi VLAN se dosáhne použitím vyhrazeného směrovače (dedicated router) nebo přepínače ve vícevrstvém režimu (multilayer switch, (alespoň L3 switch)). Směrování mezi virtuálními sítěmi umožňuje komunikaci mezi zařízeními vzá-jemně izolovanými hranicemi virtuální sítě.

● Tradiční směrování mezi virtuálními sítěmi VLAN vyžaduje, aby na směrovači byly na-konfigurováno více fyzických rozhraní, každé fyzicky připojené do oddělené samostatné VLAN na jednotlivém portu přepínače.

● Model router-on-a-stick – směrování mezi VLAN s použitím kmenové linky – má podobnou funkcionalitu jako tradiční směrování mezi VLAN, za nižší náklady, na zatížených sítích má ale menší výkonnost.

● Tradiční směrování mezi virtuálními sítěmi VLAN používá fyzická rozhraní na směrovači, zatímco směrování s využitím kmenové linky používá logická pod-rozhraní fyzických roz-hraní.

● Porty přepínače připojené do směrovače nastavujte do patřičné VLAN. Každé rozhraní smě-rovače nastavte do podsítě přiřazené k té které VLAN.

● Každému pod-rozhraní směrovače, v případě směrování s využitím kmenové linky, nastavte unikátní identifikátor VLAN a korespondující IP adresu přiřazenou k té určité VLAN.

● Aby se snížilo riziko výskytu problémů s nastavením přepínače, směrovače nebo IP adres, pečlivě ověřujte nastavení každého jednotlivého síťového zařízení.


1. Správně přiřadit možné charakteristiky a vlastnosti k fyzickému rozhraní a virtuálnímu podrozhraní:a) fyzické rozhraní:

i. složitější kabelážii. jedno fyzické rozhraní pro každou VLANiii. na portu je nastavený přístupový režim (access mode)

b) virtuální podrozhraní:i. jedno fyzické rozhraní pro více sítí VLANii. soutěží o přenosovou kapacituiii. na portu je nastaven režim kmenové linky (trunk mode)

2. Přepínač L3. Co musí umožňovat?a) IP směrování

3. Máte přepínač s nastavenými VLAN připojený ke směrovači klasickým způsobem (pro kaž-dou VLAN zvláštní kabel). Jaké budou výhody směrování na kmenové lince (router-on-a- stick)?a) Uvolní se porty na přepínačib) sníží se složitost kabelážec) můžete přidávat další VLAN bez nutnosti přidávat další kabely

4. Při směrování na kmenové lince (router-on-a-stick), co je potřeba pro směrování mezi jednotlivými VLAN.a) Virtuální podrozhraní na portu směrovače

5. Které dvě metodologie je vhodné použít pro redukci možnosti vzniku chyb na linkách mezi



přepínači při směrování mezi jednotlivými sítěmi VLAN?a) Nastavení a realizace alternativních cest mezi přepínači,b) nastavení a spuštění technologie EtherChannel

6. Máte přepínač s nastavenými VLAN připojený ke směrovači klasickým způsobem (pro kaž-dou VLAN zvláštní kabel). Tři pravdivá tvrzení:a) obtížné rozšiřování takovéto konfiguraceb) počet možných sítí VLAN je omezen počtem portů na přepínačic) tato konfigurace není příliš efektivní z hlediska nákladů

7. Čím je odlišná model směrování na kmenové lince proti klasickému modelu směrování (každé VLAN na zvláštním portu)?a) Používá virtuální podrozhraní na jednom fyzickém rozhraní směrovače, jediný příkaz no

shutdown je na tomto fyzickém rozhraní (a nikoliv na virtuálních podrozhraních)8. Který příkaz používá administrátor pro ověření funkčnosti směrování mezi jednotlivými

VLAN?a) Ping

9. Které dva prvky jsou nezbytné při konfiguraci směrování na kmenové lince?a) Každé podrozhraní směrovače musí být nastaveno s unikátní IP adresou v jiné podsíti,b) port na přepínači, který je připojený ke směrovači musí být nastavený jako kmenový

(trunk mode)10. Máte přepínač s nastavenými VLAN připojený ke směrovači klasickým způsobem (pro kaž-

dou VLAN zvláštní kabel). Tři pravdivá tvrzení:a) linky mezi přepínačem a směrovačem jsou v přístupovém režimu (access mode),b) každé rozhraní směrovač má unikátní IP adresu v jiné podsíti pro každou VLANc) každé rozhraní směrovače musí být zapnuto příkazem no shutdown

11. Tři možné způsoby směrování mezi virtuálními sítěmi VLAN:a) tradiční směrování (traditional routing)b) směrování na kmenové lince (router-on-a-stick)c) rychlé směrování na L3 přepínači (switch based routing)

12. Síťový technik nastavil směrovač pro směrování mezi VLAN. Po vstupu do režimu příkazové řádky na směrovači R1 a výběru rozhraní Fa0/0/1 se administrátor pokusil vložit příkaz encapsulation dot1q 10. Směrovač tento příkaz nepřijal. Co toho může být příčinou?a) Tento příkaz lze nastavit pouze na virtuální podrozhraní směrovače.



Kapitola 7 – Základy bezdrátových sítí


● Popsat komponenty a základní funkce bezdrátové lokální sítě WLAN (Wireless LAN).

● Popsat komponenty a funkce základního zabezpečení WLAN.

● Konfigurovat a ověřit základní bezdrátový přístup do LAN.

● Odstraňovat závady připojení bezdrátového klienta.

Bezdrátové technologie

PAN LAN MAN WAN

Standardy Bluetooth802.15.3

Wi-Fi802.11a,b,g(,n)

802.11802.16802.20

GSM, CDMA,satelit

Rychlost < 1 Mb/s 11 až 54 (200+) Mb/s

10 až 100+ Mb/s 10 kb/s – 2 Mb/s

Dosah Malý Střední Středně daleký Daleký

Použití Peer-to-peerjedno zařízení k druhému

Podnikové sítě Poslední kilometr(Last Mile Access)

Mobilní datová zařízení

PAN = Personal Area Network

LAN = Local Area Network

MAN = Metropolitan Area Network

WAN = Wide Area Network

Porovnání WLAN a LAN

Charakteristika 802.11 bezdrátová LAN (WLAN)

802.3Ethernet LAN

Fyzická vrstva Rozhlasové frekvence Kabel

Metoda přístupu k médiu CSMA/CA – předcházení ko-lizím

CSMA/CD – detekce kolizí

Dostupnost Kdokoliv s bezdrátovou NIC v dosahu přístupového bodu (AP)

Požadováno kabelové připojení

Interference signálu Ano Nevýznamná

Omezení a regulace Další omezení dané místními úřady.

Diktát standardu IEEE.



Porovnání použití rozhlasových frekvencí (RF) s použitím kabelu:

RF nemá hranice tak jako je přenos signálu v kabelu svázán s tímto kabelem. Signál RF může přijí-mat kdokoliv v jejich dosahu.

RF jsou nechráněné před vnějšími signály (tak jako kabel). Ve stejném geografickém území může signál interferovat s jinými vysílači.

RF vysílání má stejné základní problémy jako všechny technologie založené na vysílání elektro-magnetických vln v rozhlasových pásmech. Například, pokud jste dále od vysílače, můžete slyšet stanice hrající přes sebe nebo atmosférické statické rušení ve vysílání. Případně můžete ztratit signál úplně. LAN na kabelovém médiu má takovou patřičnou délku, aby signál byl udržen vždy dosta-tečně silný.

RF pásma jsou v různých zemích různým způsobem regulována. Použití WLAN je pak předmětem dodatečných regulací a standardů, které nejsou třeba v případě použití drátové LAN.

Standardy WLAN

802.11a 802.11b 802.11g 802.11n

Pásmo (Band) 5.7 GHz 2.4 GHz 2.4 GHz Nepotvrzenéobojí 2.4 a 5.7 GHz

Kanály (Channels)3 Až do 23 3 3

Modulace(Modulation)

OFDM DSSS DSSS OFDM MIMO-OFDM

Přenosové rychlosti (Rates)

Až do 54 Mb/s Až do 11 Mb/s Až do 11 Mb/s

Až do 54 Mb/s

Až do 248 Mb/s pro 2 streamy MIMO

Dosah (Range) ~ 35 m ~ 35 m ~ 35 m ~ 70 m

Datum uvolnění(Release Date)

Říjen 1999 Říjen 1999 Červen 2003 Stále ještě v návrhu (Draft)

Pro (Pros) Rychlé, méně ná-chylné na interference

Nízká cena, dobrý do-sah

Rychlé, dobrý dosah, nesnadno se zablokuje

Velmi dobrý dosah, vylepšená rychlost

Proti (Cons) Dražší, malý dosah Pomalé, náchylné na interference

Náchylné na interfe-rence z dalších za-řízení v pásmu 2.4 GHz.

Modulace:● Direct Sequence Spread Spectrum (DSSS)● Orthogonal Frequency Division Multiplexing (OFDM)● technologie Multiple Input/Multiple Output (MIMO)

Komponenty infrastruktury bezdrátové sítě

• Bezdrátové síťové karty (WNIC)

• Bezdrátové přístupové body (AP)

3 Nepřekrývající se kanály.



◦ přístupová metoda (distributed coordination function (DCF)) se nazývá Carrier Sense Multiple Access with Collision Avoidance (CSMA/CA). Zařízení čekají až je médium volné před vysíláním. Když AP přijme data z klienta, pošle klientu potvrzení, že data byla přijata. Zajistí to znovu odvysílání dat při kolizi. Kolize mohou vzniknout v případě tzv. problému skrytého uzlu (hidden node problem). Dvě síťové karty sice vidí na jeden AP, ale nevidí se navzájem. Jeden způsob řešení tohoto problému a předcházením kolizí je rezervace kanálu pomocí žádosti o rezervaci kanálu (Request To Send (RTS)) a po-tvrzení této rezervace (Clear To Send (CTS)).

• Bezdrátové směrovače

Topologie WLAN

Bezdrátová zařízení (AP)

Režim topologie

Stavební blok topologie Oblast pokrytí Propojení

Žádný AP Ad-hoc Independed Basic Service Set (IBSS)

Basic Service Area (BSA)

Peer-to-peer

Jeden AP Infrastruktura Basic Service Set (BSS) Basic Service Area (BSA)

Klient k AP

Více než jeden AP

Infrastruktura Extended Service Set (ESS) Extended Service Area (ESA)

Klient k AP

Asociace (přidružení) klienta k přístupovému bodu (Access Point, AP):

● Maják (Beacon) – signální věž

○ AP periodicky vysílá signalizační rámec, ten obsahuje:

■ SSID,

■ podporované přenosové rychlosti,

■ implementované zabezpečení (například WPA2).

○ Klient s bezdrátovou síťovou kartou „slyší“ maják.

● Průzkum (Probe, 802.11 Probing) – 1. krok asociace

○ Klient vyšle průzkumný rámec, ten obsahuje:

■ SSID,

■ přenosovou rychlost.

○ AP vyšle odpověď na průzkumný rámec, ten obsahuje:

■ SSID,

■ přenosovou rychlost,

■ implementované zabezpečení.

● Autentizace (Authenticate) – 2. krok asociace



○ požadavek klienta - obsahuje:

■ typ (otevřený, sdílený klíč),

■ klíč (pokud je typ se sdíleným klíčem).

○ odpověď AP s autentizací - obsahuje:

■ typ,

■ klíč,

■ úspěšná/neúspěšná.

● Přidružení (Associate) – 3. krok asociace

○ Požadavek na přidružení – obsahuje:

■ MAC adresu klienta,

■ MAC adresa AP (BSSID),

■ identifikátor ESS (ESSID).

○ Odpověď na žádost o přidružení z AP – obsahuje:

■ úspěšná/neuspěšná,

■ identifikátor přidružení, pokud bylo úspěšné (AID).

Ohrožení bezpečnosti bezdrátové sítě

Tři hlavní druhy neautorizovaného přístupu:

• „War Drivers“ - „nájezdníci“ - najdou „otevřenou“ síť; využijí ji k získání přístupu k In-ternetu zdarma

• Hackers, Crackers – využijí slabého zabezpečení k získání senzitivních informací o WLAN a ty použijí k průniku do bezdrátových sítí

• Vlastní zaměstnanci – zastrčí malospotřebitelský AP/gateway do Ethernetového portu fi-remní sítě a vytvoří tak vlastní bezdrátovou síť.

Průzkum „slyšitelných“ bezdrátových sítí například program inSSIDer.

Základní kroky k zabezpečení WLAN:

Otevřený přístup SSID (Service Set IDentifier)• nešifrované• základní autentizace• nezabezpečené zpracování

Šifrování první generace WEP (Wired Equivalency Protection)• není silná autentizace• statický, prolomitelný klíč• nerozšiřovatelné



Mezidobí WPA (Wi-Fi Protected Access)• standardizované• vylepšené šifrování• silná autentizace uživatelů / RADIUS (například: LEAP, PEAP,

EAP-FAST)

Současnost 802.11i/WPA2• šifrování AES• autentizace 802.1x• dynamická správa klíčů• WPA2 je implementace normy 802.11i Wi-Fi aliancí

Sestavení WLAN ze dvou AP (AP + klient)

WAP54G (Linksys je obchodní značka pro výrobky kategorie SOHO (Small Office Home Office) firmy Cisco) – (z názvu vidíme Wireless Access Point, bandwith 54Mb/s, norma 802.11g). AP, pří-mý kabel, PC. Proveďte RESET AP (po vytažení ze zásuvky a znovu zapnutí držet skryté tlačítko RESET cca 30 sekund – až do rozsvícení červené LED pro diagnostiku). Nastavení přes webové rozhraní http://192.168.1.245 (POZOR: počítač i AP musí být v této chvíli v jedné síti; jeden na-stavte například 192.168.1.243 a druhý 192.168.1.244, výchozí brána není třeba ale nastavte na 192.168.1.1).

Po HW resetu je implicitně nastaveno:

User: <none> - nechte prázdné pole!!!

Password:admin

IP (default): 192.168.1.245

SSID: linksys

Jeden AP nechte nastavený jako AP a druhý nastavte jako AP klient. MAC addresu prvního AP si druhý AP klient najde sám, musíte o průzkum ale požádat (survey). V případě dostupných více sítí vyberte síť dle názvu SSID (implicitně: linksys). Ověřte pomocí ping 192.168.1.243 z .244.

Sestavili jsme tedy infrastrukturní síť AP – WLAN síťová karta (kde jsme použili místo WLAN sí-ťové karty AP v režimu AP klient.)

AP lze použít ještě v dalších režimech:

● repeater (prodlouží segment na fyzické vrstvě),

● bridge (propojí dvě normy např. Ethernet a Wi-Fi pro spojení typu point-to-point)

Viz: http://homestore.cisco.com


1. Přiřaďte částečné popisky k jednotlivým standardům WLAN:a) 802.11a = používá pásmo 5,7GHz s menší interferencí, obstrukce při zvětšeném provozu

mohou vést ke zmenšení výkonu a dosahu


http://homestore.cisco.com/

http://192.168.1.245/


b) 802.11b = specifikuje přenosové rychlosti 1,2,5.5 a 11 Mbps k různě velkým rozpro-střeným sekvencím specifikovaných v modulační technice DSSS

c) 802.11g = používá 802.11 MAC, ale s vyššími přenosovými rychlostmi v ISM pásmu 2.4GHz, používá techniku modulace OFDM

d) 802.11n = na koncových bodech používá vícero frekvencí a antén, každé vysílání na určité frekvenci vytváří svůj vlastní datový tok (stream)

2. Přiřaďte správné popisky k jednotlivým bezdrátovým zařízením:a) bezdrátová síťová karta (wireless NIC) = kóduje datové toky na rádiové signály s použi-

tím nastavené modulační technikyb) přístupový bod (access point, AP) = připojuje vícero bezdrátových klientů nebo stanic

do drátové sítěc) bezdrátový směrovač = propojuje dohromady dvě oddělené samostatné drátové sítě

3. Na které vrstvě OSI pracuje bezdrátový přístupový bod (AP)?a) Linková, spojová

4. Dva kroky požadované, aby se bezdrátový klient přidružil k přístupovému bodu (AP)?a) Autentizace bezdrátového klientab) přidružení (association) bezdrátového klientac) špatně: identifikace kanálu

5. Které tři typy autentizace klienta WLAN požadují zaslání předprogramovaného šifrovacího klíče na klienta?a) SHARED se šifrovacím algoritmem WEPb) WPA-PSK4 se šifrovacím algoritmem TKIPc) WPA2-PSK se šifrovacím algoritmem AES

6. Které dva prvky přispívají k zabezpečení (rozuměj šifrování) WLAN?a) WPA2b) AESc) chybně: použití vícero kanálů, skrytí SSID, otevřená autentizace

7. K zajištění zabezpečené bezdrátové sítě WLAN používá většina firem který standard?a) 802.11i

8. Která metoda síťové autentizace poskytuje nejvyšší stupeň zabezpečení?a) WPA-PSKb) chybně: open, shared, WPA

9. Které dvě kombinace rozhlasových kanálů podle standardu 802.11b by umožnily dvěma AP v jedné místnosti fungovat simultánně bez překryvu kanálů?a) 6 a 11b) 7 a 2

10. Proč bezdrátová zařízení jako jsou bezdrátové telefony občas interferují s bezdrátovými AP?a) Protože pracují na podobných frekvencích

11. Jaký je doporučovaný překryv dosahu dvou bezdrátových AP, aby byla zajištěna vyhovující konektivita pro uživatele?a) 10-15%

12. Spárujte metodu autentizace s odpovídajícím šifrovacím algoritmem nebo bezpečnostním protokolem:a) OPEN = nepoužíváb) WEP = RC4

4 WPA-PSK = Wi-Fi Protected Access - pre-shared key



c) WPA = TKIPd) WPA2 = AES

13. Které nastavení klienta WLAN by mělo být zkontrolováno při hledání chyb šifrování na AP?a) Vlastnosti bezdrátového přidružení



ObsahPředpokládané znalosti.........................................................................................................................1Přepínání v lokální síti LAN a bezdrátové sítě.....................................................................................1

Úvod.................................................................................................................................................4Kapitola 1 – Návrh LAN.................................................................................................................5

Kontrolní opakovací otázky a odpovědi (kvíz):................................................................7Kapitola 2 – Koncept přepínání.....................................................................................................10

Obnova zapomenutého hesla a úplná inicializace pro přepínače řady 2960...................16Kontrolní opakovací otázky a odpovědi (kvíz):..............................................................17

Kapitola 3 – Virtuální lokální síť VLAN.......................................................................................18Kontrolní opakovací otázky a odpovědi (kvíz):..............................................................26

Kapitola 4 – VLAN Trunking Protocol (VTP)..............................................................................28Kontrolní opakovací otázky a odpovědi (kvíz):..............................................................37

Kapitola 5 – Spanning Tree Protocol (STP)..................................................................................38Poznámka.........................................................................................................................43Cvičení.............................................................................................................................43Kontrolní opakovací otázky a odpovědi (kvíz):..............................................................49

Kapitola 6 – Směrování mezi sítěmi VLAN..................................................................................51Kontrolní opakovací otázky a odpovědi (kvíz):..............................................................58

Kapitola 7 – Základy bezdrátových sítí.........................................................................................60Sestavení WLAN ze dvou AP (AP + klient)........................................................................64

Kontrolní opakovací otázky a odpovědi (kvíz):..............................................................64


Documents

CCNA Exploration – Přepínání v LAN a bezdrátové sítě