Григорий Яковлев[email protected]Системный инженер Cisco
Коммутаторы Cisco Catalyst 2К-4Кчто нового?
Содержание
Портфолио фиксированных коммутаторов
Лицензирование и ios
Коммутаторы 4500/4500х
Cisco Smart Operations
Как создают новое оборудование
2
Портфолио фискированных коммутаторов Catalyst 2K/3K
Catalyst Compact Stackable 3000
SeriesStandalone 3000
Series
Current:3750-X Series3750V2 Series
Модули
C3KX-NM-1G C3KX-NM-10GT C3KX-SM-10G
EoS:3750-E Series3750G Series3750V1 Series
Current:3560-X Series3560V2 Series
EoS:3560-E Series3560G Series3560V1 Series
Layer 3:3560C Series
Layer 2 :2960C Series
Catalyst 2900 Series
Модули
Stackable:2960-S Series
Standalone:2960 Series
C2960S-STACK
EoS:2975 Series
Prev Gen:3560-E 8 and 12
port Series
Крепление на стену
3
Коммутаторы Catalyst 3750-X и 3560-X
Лучший стекируемый коммутатор в индустрии
Самый популярный
коммутатор для стека
? МЛРД портов Более 7 млн инсталляций
Лидер в индустрии
МинимальныйTCO
StackWise Plus и StackPower
Модули для аплинков
Hot-swappable питание и стек
Высовая плотность PoE+
Flexible NetFlow
MACsec
Возможности Снижение операционных усилий
Автоматизация
Защита инвестиций
Расширенная гарантия
4
Сервисные модули – 3750X/3560X
Сервисные модули для 3750x для 3560x– Hot swappable, Plug-and-play
Поддержка Flexible Netflow (FNF) – На аппаратном уровне
Поддержка MACSec (802.1ae)- работает на уровне коммутатор-коммутатор
– Впервые на уровне доступа(3750x/3560x)
•• Два аплинка
C3KX-SM-10G
5
Коммутаторы Catalyst 2960-S
Лучшее соотношение цена/качество
FlexStackPoE на всех портахПоддержка PoE+ Поддержка 1/10G uplinks Уменьшение потребления питания
Возможности Эксплуатация
Расширенная гарантия Порты Auto Smart
Простота в эсплуатации
20Mлнпортов
500K+коммутаторов
Поддержка Green Energy TCO
6
• 24/48 портов 10/100, SFP на аплинках• Cross-stacks с другими 2960S
• Поддерэка РоЕ/PoE+• Низкое потребление энергопитания
Расширение портфолио свичей для FE
Новая модель Catalyst 2960S-F
Коммутаторы Catalyst Compact
Возможности питания от PoE(+)/ UPoEPass through PoE для оконечных устройствUplink & Downlink Data Encryption12 моделей
Возможности Эксплуатация
Zero-touch deploymentAuto Smart Ports
Enhanced Limited Lifetime Warranty
8 или 12 –ти портовые модели
бесшумные(FANLESS)
Единый дизайн (CISCO NETWORK)
Полный спектра возможностейCAPABILITIES
Идеальный выбор для Школ, Конференц-залов, Отелей и т.д...
8
LAN Lite и LAN Base - отличияCatalyst 2960, 2960-S
Functionality LAN Lite LAN Base
Layer 2
• Entry-level Access Layer 2Basic L2 access features including 802.1Q trunking, (M)STP, STP extensions, CDP, DTP, UDLD, VTPv2, PAGP/LACP, LLDP, Storm control
• Enterprise Access Layer 2Wide range of L2 access features for enterprise deployments, including FlexLinks, VTPv3, LLDP MED
Layer 3 • No Routing SupportSupport for L3 management interface
• 16 static IPv4 routes on SVIs
Manageability• Entry-level ManageabilityExpress Setup, Cisco Device Manager, SNMPv3 (w/crypto), RMON, SPAN, TDR, Auto Smart Ports, Smart Install client
• Basic ManageabilitySupport for a wider range of MIBs, IPSLA Responder, RSPAN
Security
• Entry-level Access SecuritySSH v2 server, SSL, HTTPS, SCP, TACACS+, RADIUS, Port Security, 802.1x (w/ Guest VLAN), MAB, Private VLAN Edge, DHCP Snooping
• Enterprise Access SecurityIPSG, DAI, PACLs, Cisco Identity 4.0, NAC and 802.1x features
QoS• Entry-level Access QOS
Ingress and egress queuing, Scheduling, Priority queuing, SRR• Enterprise Access QOS
Ingress policing, Trust Boundary, AutoQOS, DSCP mapping
9
Catalyst 3750v2 and Catalyst 3560v2
Catalyst® 3750-X and Catalyst 3560-X
LAN Base и IP Base and IP Services - Сравнение
Functions LAN Base IP Base IP Services
Layer 2+• Enterprise access Layer 2Wide range of Layer 2 access features for enterprise deployments
• Complete Access Layer 2Supports all Cisco Catalyst 2000 and Catalyst 3000 Layer 2 features, including hot standby protocols; supports Cisco StackPower™ technology (Cisco Catalyst 3750-X)
Layer 3•16 IPv4 static routes on SVI • Enterprise access Layer 3
RIP, static and stub PIM, and EIGRP, OSPF for routed access
• Complete access Layer 3EIGRP, BGP, IS-ISVRF-lite, WCCP, and PBR
Manageability• Basic manageabilitySupport for a wide range of MIBs, IPSLA Responder, and RSPAN
• Enterprise access Layer 3Gold-Lite and Smart Install Director, EEM
• Complete access Layer 3IPSLA Initiator
Security• Enterprise access security
DHCP Snooping, IPSG, DAI, PACLs, Cisco Identity 4.0, NAC and 802.1x features
• Complete access securityRouter and VLAN ACLs, private VLANs, complete identity and security, TrustSec SXP, and IEEE 802.1AE (Cisco Catalyst 3560-X and Catalyst 3750-X)
QoS• Enterprise access QoS
Ingress policing, Trust Boundary, AutoQoS, and DSCP mapping
• Complete access QoSSupport for all Cisco Catalyst 2000 and Catalyst 3000 QoS features, including per-VLAN policies
10
Возможности стекируемого свича Catalyst 3750
• Управление по одному IP адресу
• Can connect all switches in a physical ring topology
Отказоустойчивая топология (кольцо)
Автоматический апгрейл IOS
Automatic configuration of new members
Автоматическое конфигурирование замененного свича
Милисекундные схождения
Cross-stack возможности (Etherchannel и QoS)
Стек по питанию
11
Стек на основе LAN BaseВнимание: Нельзя использовать коммутаторы с разным IOS Feature Set
• Поскольку нельзя выполнять одни и те же задачи на разных IOS feature set Нет HW шифрации, нет поддержки Stackpower
• Catalyst 3750X с версией LAN Base feature можно стековать только с такими же коммутаторами
Common mistake…Don’t call TAC..!– Stacking LAN Base models with IP Base / IP Services
12
• Пропускная способность – 20 Gbps• До 4-х участников в стеке• Не «кольцо»– коммутация HOP by HOP
Возможности стекируемого свича Catalyst 2960 – Flex stack
13
Апгрейд IOS Code на коммутаторах
14
Можно произвести апгрейд IOS, используя .bin или .tar files Рекомендации: .tar файл (автоматическая процедура)
archive download-sw <IOS Image path>.tar (Коммутатор )archive download-sw <IOS Image path>.tar <SM Image path>.tar (Коммутатор с сервисным модулем)
Типы программных лицензий
После того как время вышло, свич продолжает использовать временную лицензию до перезагрузки
15
Постоянные лицензии
предустановленны Управляются Cisco
License Manager
Временные лицензии
60 дней Типы
• Embedded evaluation license
• Extension License• Grace Period
License
Возможно на серии X как часть универсального имиджа
Лицензии на коммутаторах
• Как просмотреть тип лицензии:
– Посмотреть на наименование файлов– Включить детальный режим– Включить debug режим
show license file [switch <switch_id>]
show license status [switch <switch_id>]
show license detail <feature_name> [switch <switch_id>]
show license udi
debug license <events | all | errors>
16
Можно самостоятельно включить Evaluation License!Minimum IOS 12.2(46)SESwitch# license boot level ipservicesSupported license levels are:
ipservicesipbase
PLEASE READ THE FOLLOWING TERMS CAREFULLY. INSTALLING THE LICENSE ORLICENSE KEY PROVIDED FOR ANY CISCO PRODUCT FEATURE OR USING SUCHPRODUCT FEATURE CONSTITUTES YOUR FULL ACCEPTANCE OF THE FOLLOWINGTERMS. YOU MUST NOT PROCEED FURTHER IF YOU ARE NOT WILLING TO BE BOUNDBY ALL THE TERMS SET FORTH HEREIN.You hereby acknowledge and agree that the product feature license is terminable and that the product feature enabled by such license may be shut down or terminated by Cisco after expiration of the applicable term of the license (e.g., 30-day trial period). Cisco reserves the right to terminate or shut down any such product feature electronically or by any other means available. While alerts or such messages may be provided, it is your sole responsibility to monitor your terminable usage of any product feature enabled by the license and to ensure that your systems and networks are prepared for the shut down of the product feature. You acknowledge and agree that Cisco will not have any liability whatsoever for any damages, including, but not limited to, direct, indirect, special, or consequential damages related to any product feature being shutdown or terminated. By clicking the "accept" button or typing "yes" you are indicating you have read and agree to be bound by all the terms provided herein.
ACCEPT? (yes/[no]):
*Apr 2 02:04:08.604: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name = c3750e Next reboot level = ipservices and License = ipservices 17
Содержание
Портфолио фиксированных коммутаторов
Лицензирование и ios
Коммутаторы 4500/4500х
Cisco Smart Operations
Как создают новое оборудование
1
Catalyst 4500-X Лучший среди L2 / L3 коммутаторов
19
Flexible NetFlowEasy Virtual Network (EVN)IOS XE Open Application Platform (Wireshark)MedianetIP SLAs
Возможности: Эксплуатация:До 40 10GE и возможности L2 or L3
Модули: 8-портовый 10GE SFP+Два блока питания
Пять вентиляторов
Идеальный выбор для агрегации 10GE
800GbpsПроизводительность
Малые размеры1 RU x 21” Deep
Широкие возможностиL2 to L3 Enterprise
Лидер в индустрии
Catalyst 4500-X IOS XE - лицензирование• 4500 Universal Image IOS XE 3.3 SG
Enterprise Services
BGPv4IS-IS v4, v6EIGRP, v4, v6OSPF v2/v3PBRVRF-Lite / EVNMedianet; IP-SLA VOMulticast VRF-LiteBFD*Multicast Routing
ISSUSSO/NSFMedianetEIGRP StubOSPF for Routed AccessQinQIP SLA ResponderNetwork Mobility ServicesFlexible NetFlowPIM Stub RoutingEmbedded Event ManagerHSRP/GLBP/VRRP
Auto QoSEnergywiseUPOEFlexlinkIGMP/MLD SnoopingRapid-PVST+IEEE 802.1xSmartportsPACL/VACL
IP BASE
* roadmap
20
VSS будет поддерживаться на Sup7-E/SUP7L-E/C4500X
• Поддержка на E-series (R или non-R)VSL на 1G & 10G: аплинках Поддержка Layer2 MECПоддержка Inter-Chassis SSO/NSF и ISSU
SiSi SiSi
VSS
Campus
VSS на Catalyst 4500/4500X
Catalyst 4500-X – Производительность и масштабирование
Feature Catalyst 4500-X (1RU Compact Switch)
Switching Capacity 800 G-bps (limited by max front panel ports)
Throughput 250 Mpps IPv4(125 Mpps for IPv6)
Bandwidth / Slot NA
CPU Dual Core 1.5 GHz
Egress Buffer 32 MB
Number of Packet buffers 128K
DRAM 4G Actually MORE than a 4500-Super 7E
Bootflash 2G
Number of 1GE ports 16/32 ports + 8 port module (All SFP/SFP+)
Number of 10GE ports 16/32 ports + 8 port module (All SFP)
22
Использование netflow
Отчет по пользователям Кто играет или скачивает файлы? Какой трафик занимает большую часть сети? Как ээто влияет на стоимость?
Отчет по серверам Кто самый популярный? Какая полоса пропускная?
Отчет по безопасности Кто подвергся атаке? Кто атакует? Кто пытается пользоваться неправильными ресурсами?
Мониторинг пропускной способности• Кто «ест» наши ресурсы?• Нужен ли мне апгрейд?• Где проблемы?
IP, Ports TCPFlags
L2 MAC
L2VLAN
UDP Flags IPv6 IP
Options Multicast …
Day 0 AttacksDetect Anomaly
Compliance
SLAApp. M&T
Capacity Planning
Возможностьвидеть трафик
Возможность упралять с
помощью EEM
Mobility, Unified Communications, Network Virtualization
Catalyst 4500E Flexible NetFlow
Catalyst 4500-X Flexible NetFlow
филиалCollector
EcosystemУменьшение CAPEX- Инструмент для планирования сети
(модернизация и развитие) Уменьшение OPEX:
- Инструмент для мониторинга- увеличение продуктивности работы
Catalyst 4500-X Возможности Возможность «видеть» поля на уровнях
L2~7 f Гибкое создание темплейтов для FNF
(flexible flow monitors) Создание собственных политик
безопасности с использованием FNF и EEM24
Flexible NetFlow : видимые поля для анализа
IPv4Source IP address
Destination IP address
Protocol
Precedence
DSCP
TTL
Total Length
Interface Input
IPv6Source IP address
Destination IP address
Protocol
Traffic Class
Flow Label
Total Length
Extension Headers**
DSCP
Next-header*
Hop-Limit
Is-multicast
TransportICMP Code
ICMP Type
IGMP Type
TCP Source Port
TCP Destination Port
UDP Source Port
UDP Destination Port
Layer 2Dot1q priority
Dot1q Vlan ID
Source MAC address
Destination MAC address
Возможности Wireshark.
• Wireshark как отдельный IOS процесс
• Фильтр для мониторинга• Фильтр для просмотра
• Сохранение пакетов в PCAP для дальнейшей переправки на удаленный TFTP/SSH сервер
• Одновременный захват пакетов по нескольким сессий
Как просмотреть содержимое
Switch# show monitor capture file bootflash:mycapture.pcap1 0.000000 192.85.1.3 -> 192.85.1.4 UDP Source port: 1024 Destination port: 28960
2 0.000000 192.85.1.3 -> 192.85.1.4 UDP Source port: 1024 Destination port: 28960
3 0.000000 192.85.1.3 -> 192.85.1.4 UDP Source port: 1024 Destination port: 28960
4 0.000000 192.85.1.3 -> 192.85.1.4 UDP Source port: 1024 Destination port: 28960
• DSwitch# show monitor capture file bootflash:mycapture.pcap dump
0000 00 00 94 00 00 04 00 00 94 00 00 03 08 00 45 c0 ..............E.
0010 05 1e 0f 28 00 00 ff 11 24 35 c0 55 01 03 c0 55 ...(....$5.U...U
0020 01 04 04 00 71 20 05 0a db 21 00 00 00 00 00 00 ....q ...!......
Содержание
Портфолио фиксированных коммутаторов
Лицензирование и ios
Коммутаторы 4500/4500х
Cisco Smart Operations
Как создают новое оборудование
Cisco Catalyst Smart Operations
ISR or 3K (“Director”), 4K, 6K Roadmap
Zero Touch РАзвертывание
Подсоединение Нового коммутатора
Загрузка IOS Software image; Автоматическое применение конфигурационного файла
Smart Install
Подсоединение нового устройства
Port Configuration: AppliedQoS Policy: EnforcedSecurity Policy: Enforced
Plug and Play для Оконечных устройств
Auto Smart Ports
Автоматическое определениеПроактивная диагностикаВ реальном режиме времениWeb- отчетОбращение в TAC Открытие кейса
Быстрое определение проблемSmart Call Home
29
Smart Install – Основные параметры
ISR or 3K(“Director”)
AccessSwitches
Возможность масштабирования и использование технологии
ZERO TOUCH
Quickly Identify and Resolve
Network Issues
New switch is connectedSoftware image is downloadedConfiguration automatically applied
Step 1 – ENABLE THE DIRECTOR Director# configure terminalvstack director 10.0.0.33vstack basic
Step 2 – Specify IMAGE & CONFIG using built-in group (uses external TFTP server)vstack group built-in 2960 24 image tftp://10.0.0.10/c2960-universal-tar.122-52.SE.tar config tftp://10.0.0.10/2960-24-built-in config.txt exit
Step 3 – Specify external DHCP server interface Vlan1ip address 10.0.0.33ip helper-address 10.0.0.10 (points to existing external DHCP server)ip helper-address 10.0.0.11
ALTERNATIVELY … Enable DHCP server on the Director vstack dhcp-localserver pool1 address-pool 10.0.1.0 255.255.0.0 default-router 10.0.0.33 file-server 10.0.0.33 Exitip dhcp rememberend
30
Auto Smartports.Перед тем как включить
Включение ASP по умолчанию применит политики ко ВСЕМ портамПроблемы : Может нарушить уже существуюшие подключения к маршрутизатору и другим свичам
Изменит политики на портах Может повлиять на соединения
Решение: Отключить определение устройств на портах Отключить ASP на портах в сторону аплинков (в сторону коммутаторов и маршрутизаторов)
S iS iS iS iS iS i
ASP enabled
Ports go down
ASP: Конфигурирование
1) Простая конфигурация на портах– Access vlan 112960s(config)#int range GigabitEthernet 1/0/1 – 482960s(config-if-range)#switchport access vlan 112960s(config-if-range)#switchport mode access
2) В этом примере ASP включена для определения портов подключения Lightweight Access Points и IP телефонов
2960s(config)#macro auto global control device phone lightweight -ap
В остальных случаях ASP не будет отрабатывать
4) Включить ASP
2960s(config)#macro auto global processing
3) Установить значение vlan для AP и IP телефонов2960s(config)#macro auto device phone ACCESS_VLAN=11 VOICE_VLAN=102960s(config)#macro auto device lightweight-ap ACCESS_VLAN=11
ASP: Конфигурирование (продолжение)
Пример запускаемого Macro
34
interface $INTERFACEmacro description $TRIGGERswitchport access vlan $ACCESS_VLANswitchport mode accessswitchport block unicastif [[ $AUTH_ENABLED -eq NO ]]; then
switchport voice vlan $VOICE_VLANfiswitchport port-security maximum 3switchport port-security maximum 2 vlan accessswitchport port-securityswitchport port-security aging time 1 switchport port-security violation restrictswitchport port-security aging type inactivityload-interval 30auto qos voip cisco-phonestorm-control broadcast level pps 1kstorm-control multicast level pps 2kstorm-control action trapspanning-tree portfastspanning-tree bpduguard enableip dhcp snooping limit rate 15