H2 Laag-2 switchen, H6 Virtuele LANs (VLANs) H7 Een Cisco-internetwerk

Sybex

Cisco CCNA Reader

Datacom ICT4 H2 – Laag-2 switchen, H6 – Virtuele LANs (VLANs) H7 – Een Cisco-internetwerk beheren, H9 – Verkeer met toegangslijsten beheren & H10 – WAN-protocollen Appendix B De Catalyst 1900 switch configureren

Laag-2 switchen

Hoofdstuk

2

DIT HOOFDSTUK BEHANDELT ONDER MEER DE VOLGENDE CCNA EXAMENONDERWERPEN: ✓ Bridging/switching •

Benoemen en beschrijven van twee switchmethodes.

•

Uitleggen van het verschil tussen cut-through en storeand-forward LAN-switchen.

•

Beschrijven van de werking van het Spanning Tree Protocol en de voordelen hiervan.

W

anneer Cisco het over switching heeft, is dit altijd laag-2 switchen, tenzij dit anders wordt aangegeven. Laag-2 switchen is het proces waarbij men het hardware-adres van apparaten op een LAN gebruikt om een netwerk te segmenteren. Omdat u de grondbeginselen hiervan al kent, richt dit hoofdstuk zich op de details van laag-2 switchen en wordt uitgelegd hoe het werkt. U weet dat switchen grote collision-domeinen in kleinere delen opsplitst. U weet ook dat een collision-domein een netwerksegment is met twee of meer apparaten die dezelfde bandbreedte (bandwidth) delen. Een typisch voorbeeld van deze technologie is een hub-netwerk. Maar omdat iedere poort op een switch in feite zijn eigen collision-domein is, is het mogelijk een veel beter Ethernet-LAN-netwerk te maken door de hubs door switches te vervangen. Switches hebben de manier waarop netwerken worden ontworpen en toegepast radicaal veranderd. Een correct geïmplementeerd zuiver geswitcht ontwerp resulteert in een vlekkeloos, rendabel en flexibel internetwerk. In dit hoofdstuk bekijkt en vergelijkt u het ontwerp van netwerken vóór en na de introductie van switchingtechnologie. Route-protocollen (bijvoorbeeld RIP, zie hoofdstuk 5) bevatten processen die verhinderen dat netwerklussen in de netwerklaag voorkomen. Echter, als er tussen de switches redundante fysieke links zitten, verhinderen route-protocollen niet dat er op de gegevens Link-laag lussen voorkomen. Daarom werd het Spanning Tree Protocol ontwikkeld – om lussen in laag-2 geswitchte internetwerken te verhinderen. Dit hoofdstuk zal grondig ingaan op de essentiële punten van dit onmisbare protocol en ook uitleggen hoe het binnen een geswitcht netwerk functioneert. Wanneer een frame een geswitcht fabric (of geswitcht internetwerk) passeert bepaalt het type LAN-switch hoe een frame naar een uitgangspoort op een switch wordt doorgestuurd. Er zijn drie verschillende soorten LAN-switch-methoden, die elk anders met het frame omgaan wanneer een switch het doorstuurt. Dit hoofdstuk sluit af met een discussie van de drie methodes die door Cisco-switches gebruikt worden.

Studiegids Cisco CCNA

63

2.1 Het tijdperk vóór laag-2 switchen Even terug in de tijd en kijken naar de opzet van netwerken vóór de introductie van switches en hoe switches bij het segmenteren van de gemeenschappelijke LAN geholpen hebben. Vóór LAN-switchen zag een typisch netwerkontwerp eruit als in figuur 2.1. Figuur 2.1

Het tijdperk vóór switchen Hubs

Server-park (server farm)

Centrale router

Router op nevenvestiging

Token Ring

(Lokaal ringnetwerk)

Het ontwerp in figuur 2.1 heette een ‘collapsed backbone’ omdat – en dit gold voor LAN’s en ook voor mainframes – alle hosts naar de gemeenschappelijke ‘ruggengraat’ moesten gaan om de netwerkservices te bereiken. Vóór netwerken van het type in figuur 2.1 fysieke segmentatieapparaten zoals routers en hubs hadden, was er het mainframe-netwerk. Dit netwerk bestond uit het mainframe (IBM, Honeywell, Sperry Univac, Dec, enzovoort) controllers en domme terminals aangesloten op de controller. Andere vestigingen waren door middel van bridges op het mainframe aangesloten. Door de opkomst van de pc werd het mainframe later aangesloten op het Ethernet- of een Token Ring LAN. Binnen dit LAN werden de servers geïnstalleerd. Op deze servers draaide meestal O/S 2 of LAN Manager, omdat NT nog niet was uitgevonden. Op iedere verdieping van het gebouw lagen coaxiaal- of getwiste aderpaarkabels, aangesloten op het gemeenschappelijke backbone en dan aangesloten op een router. Op deze pc’s draaide een emulatieprogramma waarmee ze op de

64

Hoofdstuk 2 • Laag-2 switchen

mainframe-services waren aansloten. Hierdoor konden de pc’s tegelijkertijd toegang krijgen tot de services op het mainframe en het LAN. De pc ontwikkelde zich uiteindelijk tot een robuust systeem, waardoor de systeemontwikkelaars de kans kregen om toepassingen effectiever dan ooit te porten. Door deze vooruitgang daalden de netwerkprijzen en konden bedrijven veel sneller groeien. Eind 1980 en begin negentiger jaren was Novell in opkomst en NetWare-services vervingen meestal de O/S 2- en LAN Manager-servers. Hierdoor werd het Ethernetnetwerk nog populairder, want Novell 3.x-servers gebruiken het om met client/serversoftware te communiceren. In het kort is dit hoe het netwerk in figuur 2.1 ontstond. Er was echter één probleem: de gemeenschappelijke backbone groeide gestaag door, en de netwerkservices werden hierdoor steeds langzamer. De belangrijkste reden hiervoor was dat tijdens deze enorme groei de LAN-services tegelijkertijd snellere service vereisten en het netwerk helemaal verzadigd raakte. Men verving de Macs en de domme terminals, die altijd voor de mainframe-service gebruikt werden, door nieuwe pc’s. Het voordeel hiervan is dat ze makkelijker op het gemeenschappelijke backbone en de netwerkservices aansloten. Dit voltrok zich vóór het Internet zo enorm populair werd. Dit betekent dat iedereen in het bedrijf toegang nodig had tot de gemeenschappelijke netwerk-services. Waarom? Omdat zonder Internet alle netwerk-services intern waren – dus uitsluitend voor het bedrijfsnetwerk. Het was daarom nodig om het gigantische, zwoegende gemeenschappelijke netwerk, aangesloten op oude en langzame routers, te segmenteren. Eerst ontwikkelde Cisco alleen snellere routers, maar er was vooral op de Ethernet-LAN’s meer segmentatie nodig. De uitvinding van FastEthernet was een goede zaak, maar deed niets aan de nodige netwerksegmentatie. Bridges losten dit probleem wel op. Zij werden eerst in netwerken gebruikt om collision-domeinen op te splitsen, maar konden maar een beperkt aantal poorten en netwerk-services verschaffen. Laag-2 switches maakten een eind aan deze beperkingen. Deze switches konden de collision-domeinen op iedere poort splitsen en konden er honderden bieden. In dit vroege stadium zag een geswitcht LAN eruit als het netwerk in figuur 2.2. Iedere hub was aangesloten op een switch-poort, een uitvinding die het netwerk drastisch verbeterde. Niet langer maakte ieder gebouw deel uit van hetzelfde collisiondomein. In plaats daarvan werd iedere hub een apart collision-domein. Er was echter één probleem – switch-poorten waren splinternieuw en daarom ongelofelijk duur. Vandaar dat het nog niet mogelijk was om simpelweg op iedere verdieping een switch te installeren. De prijs van switches is nu echter sterk gedaald. Het is nu economisch verantwoord om iedere gebruiker op een switchpoort aan te sluiten. De conclusie is dan ook: als u een netwerk wilt ontwerpen en het wilt realiseren, is het onontbeerlijk dat u hierin switching services gebruikt. Figuur 2.3 is een voorbeeld van een toegepast compleet, modern, geswitcht netwerkontwerp.

Studiegids Cisco CCNA Figuur 2.2

65

Het eerste geswitchte LAN Hubs

Server-park (server farm)

Switches

Centrale router

Router op nevenvestiging

Token Ring

(Lokaal ringnetwerk)

Figuur 2.3

Het karakteristieke ontwerp van een geswitcht netwerk

U zult zeggen dat u nog steeds een router ziet. Dat klopt, deze router bestaat nog steeds, maar de functie ervan is veranderd. De router realiseert niet langer de fysieke segmentatie maar zorgt voor en beheert logische segmentatie. Deze logische segmenten heten VLANs. Deze VLANs worden in dit hoofdstuk en hoofdstuk 6 grondig uitgelegd.


66

2.2 Switching services Laag-2 switching is hardware-based. Dit betekent dat laag 2 het MAC-adres van de NIC-kaarten van de host gebruikt om het netwerk te filteren. In tegenstelling tot bridges, die hardware gebruiken om een filtertabel te maken en beheren, gebruiken switches Application-Specific Integrated Circuits (ASICs, toepassingsspecifieke geïntegreerde circuits) voor het opstellen en onderhouden van de filtertabellen. Dit betekent niet dat het onjuist is om een laag-2 switch als een multipoort bridge te beschouwen. Zij bestaan namelijk allebei om dezelfde reden – het splitsen van collision-domeinen. Laag-2 switches en bridges zijn sneller dan routers omdat ze geen tijd in verdoen aan het bekijken van de header-informatie van de netwerklaag. In plaats daarvan kijken ze naar de hardware-adressen van het frame, waarna ze besluiten om het frame door te sturen of het te negeren. Laag-2 switching biedt het volgende: • Hardware-based bridging (MAC) • Draadsnelheid (wire speed) • Lage wachttijd (latency) • Lage kosten Laag-2 is zo efficiënt omdat de inhoud van het datapakket niet wordt gewijzigd. Het apparaat leest alleen het frame dat het pakket inkapselt, waardoor het switchproces duidelijk sneller wordt en er minder fouten voorkomen dan bij routeprocessen. En als u laag-2 switchen voor werkgroepaansluitbaarheid en netwerksegmentatie (het splitsen van collision-domeinen) gebruikt, kunt u een platter netwerkontwerp maken met meer netwerksegmenten dan met traditionele gedeelde 10BaseTnetwerken. Laag-2 switchen verhoogt ook de bandbreedte (bandwidth) per gebruiker omdat iedere aansluiting (interface) in de switch een eigen collision-domein vormt. Deze functie maakt het mogelijk om op elke interface meer apparaten aan te sluiten.

2.2.1

Beperkingen van laag-2 switching Omdat laag-2 switching gewoonlijk in dezelfde categorie als overbrugde (‘bridged’) netwerken ingedeeld wordt, denkt men ook vaak dat deze dezelfde karakteristieken en problemen heeft. Men moet niet vergeten dat bridges nuttig en effectief zijn wanneer men het netwerk goed ontworpen heeft, met de functies en beperkingen hiervan in gedachten. Bij het ontwerpen van een netwerk met bridges moet rekening gehouden worden met het volgende:


67

• De collision-domeinen moeten absoluut correct worden opgesplitst. • Bij het realiseren van een functioneel bridged netwerk moeten de gebruikers 80 procent van de tijd op het locale segment doorbrengen. Ondanks het feit dat bridged netwerken collision-domeinen opsplitsen, moet u niet vergeten dat een netwerk toch één groot broadcast-domein is. Laag-2 switches en bridges mogen een broadcast-domein nooit opsplitsen. Dit beperkt de netwerkgrootte en de groeimogelijkheid ervan, plus het algemene prestatievermogen. Samen met de trage convergence (samenkomst) tijd van Spanning Tree kunnen broadcasts en multicasts aanzienlijke problemen veroorzaken wanneer het netwerk groeit. Dit zijn de belangrijkste redenen waarom switches en bridges (apparaten op laag-2) routers (apparaten op laag-3) in het internetwerk nooit helemaal kunnen vervangen.

2.2.2

Bridging versus LAN-switchen Het is waar dat laag-2 switches eigenlijk gewoon bridges zijn die meer poorten bieden, maar er zijn een paar belangrijke verschillen die u niet moet vergeten: • Bridges zijn software-based, maar switches zijn hardware-based omdat ze een ASICs-chip gebruiken bij het maken van filter-beslissingen. • Bridges mogen per bridge maar één Spanning Tree-record in de database hebben, terwijl switches er veel meer kunnen hebben. (Het principe van Spanning Tree wordt later uitgelegd). • Bridges kunnen niet meer dan 16 poorten hebben. Een switch kan honderden poorten hebben.

2.2.3

De drie switchfuncties van laag-2 Laag-2 switches hebben drie verschillende functies: ‘Address learning’ (adres-registratie) Laag-2 switches en bridges onthouden het hardware-bronadres (source address) van ieder frame dat door de interface ontvangen wordt. Zij slaan deze informatie op in een MAC-database die een forward/filtertabel heet. Forward/filter-beslissingen Wanneer een interface een frame ontvangt kijkt de switch naar het hardwaredoeladres (destination address) en zoekt deze de uitgangsinterface op in de MACdatabase. Het frame wordt alleen naar de gespecificeerde doelpoort doorgestuurd (‘geforward’).


68

Het vermijden van lussen (loop avoidance) Als ervoor redundantiedoeleinden meer aansluitingen tussen switches worden gemaakt, kunnen er netwerklussen ontstaan. Het Spanning Tree Protocol (STP) wordt gebruikt om netwerklussen te voorkomen en toch redundantie mogelijk te maken. De volgende paragrafen behandelen address learning, forward/filter-beslissingen en het vermijden van lussen uitvoerig.

Address learning Als een switch voor het eerst wordt aangezet is de MAC-forward/filtertabel leeg (zie figuur 2.4). Figuur 2.4

Lege forward/filtertabel op een switch Forward/Filter-tabel E0/0: E0/1: E0/2: E0/3: E0/0

E0/1

E0/3

E0/2

Wanneer een apparaat een broadcast zendt en een interface een frame ontvangt, plaatst de switch het bronadres van het frame in de MAC-forward/filtertabel. Deze onthoudt dan op welke interface het zendende apparaat zich bevindt. Hierna moet de switch het netwerk met dit frame ‘flooden’ (flooden: het over alle poorten versturen) omdat het geen idee heeft waar het doelapparaat zich bevindt. Wanneer een apparaat deze broadcast beantwoordt en een frame terugstuurt neemt de switch het bronadres van dat frame en zet deze het MAC-adres ook in de database. Bij het MAC-adres van de bron wordt ook de interface dat het frame ontvangen heeft vastgelegd. Omdat de switch nu beide relevante MAC-adressen in de filtertabel heeft kunnen de twee apparaten een point-to-point-verbinding maken. De switch hoeft nu niet meer op dezelfde manier als de eerste keer te broadcasten omdat de frames nu


69

alleen tussen die twee apparaten heen en weer gestuurd (‘geforward’) kunnen worden. Daarom zijn laag-2 switches beter dan hubs. In een hub-netwerk worden alle frames elke keer naar alle poorten gestuurd – wat er ook gebeurt. Figuur 2.5 toont welke processen er bij het opbouwen van een MAC-database komen kijken. Figuur 2.5

Hoe switches de locaties van de host leren Forward/Filter-tabel E0/0: 0000.8c01.000A stap 2 E0/1: 0000.8c01.000B stap 4 E0/2: E0/3: E0/0

Stap 1

E0/3

E0/1 3

Host A

Host B

E0/2 4

3

Host C

3

Host D

In dit figuur zijn vier hosts met een switch verbonden. Wanneer de switch aangezet wordt staat er, net zoals in figuur 2.4, niets in de MAC-adres forward/filtertabel. Maar wanneer de host begint te communiceren plaatst de switch het hardwarebronadres van elk frame in deze tabel, samen met de poort die bij het frameadres hoort. Dit is een voorbeeld van de manier waarop een forward/filtertabel wordt ingevuld: 1. host A stuurt een frame naar host B. Het MAC-adres van host A is 0000.8c01.000A en het MAC-adres van host B is 0000.8c01.000B. 2. De switch ontvangt het frame op interface E0/0 (het adresseren van switchinterfaces wordt in appendix B behandeld) en plaatst het bronadres in de MACadrestabel. 3. Omdat het doeladres niet in de MAC-database staat, wordt het frame naar alle interfaces gestuurd. 4. Host B ontvangt het frame en beantwoordt host A. De switch ontvangt dit frame op interface E0/2 en plaatst het hardware-bronadres in de MACdatabase.


70

5. Host A en host B kunnen nu een point-to-point-verbinding maken. Nu ontvangen alleen deze twee apparaten de frames. hosts C en D zien de frames niet, en hun MAC-adressen staan niet in de database omdat ze nog geen frame naar de switch hebben gestuurd. Als host A en host B binnen een bepaalde tijd niet weer met de switch communiceren zal de switch de invoer uit de database verwijderen zodat het zo actueel mogelijk blijft.

Forward/filter-beslissingen Wanneer een frame bij een switch-interface arriveert vergelijkt deze het hardwaredoeladres met de forward/filter MAC-database. Als het hardware-doeladres bekend is en in de database voorkomt, stuurt de switch het frame alleen naar de juiste interface. De switch stuurt het frame alleen uit de doelinterface. Dit bespaart bandbreedte (bandwidth) op de andere netwerksegmenten en heet frame filteren. Als het hardware-doeladres niet in de MAC-database staat wordt er door de switch naar alle actieve interfaces een broadcast verzonden, behalve naar de interface waarop het frame ontvangen werd. Als een apparaat de broadcast beantwoordt, wordt de locatie van het apparaat (interface) in de MAC-database geregistreerd. Als een host of server een broadcast op het LAN uitzendt zal de switch het broadcast-bericht standaard naar alle actieve poorten versturen. Vergeet niet dat de switch alleen kleinere collision-domeinen maakt, en dat het nog steeds één groot broadcast-domein is.

Lussen vermijden (loop avoidance) Redundante links tussen switchen zijn nuttig omdat ze voorkomen dat een heel netwerk het laat afweten als één link niet meer werkt. Ondanks dat redundante links erg effectief kunnen zijn veroorzaken ze meestal meer problemen dan ze oplossen. Dit komt doordat frames allemaal tegelijk over alle redundante links gestuurd kunnen worden, en daarmee netwerklussen en andere problemen veroorzaken. Hier is een lijst met de grootste problemen: • Als er geen lusvermijding (lus avoidance) bestaat zullen de switches het internetwerk voortdurend met broadcasts overspoelen (‘flooden’). Dit wordt ook wel een broadcast-storm genoemd. Figuur 2.6 illustreert hoe een broadcast over een heel netwerk verspreid kan worden. U ziet hoe een frame continu over de fysieke netwerk-media van het internetwerk gebroadcast wordt.


71

Broadcast-storm

Segment 1

Broadcast

Switch A

Switch B

Segment 2

• Een apparaat kan meer kopieën van hetzelfde frame ontvangen omdat dit frame tegelijkertijd vanuit verschillende segmenten ontvangen kan worden. Figuur 2.7 laat zien hoe het mogelijk is dat een hele groep frames vanuit meer segmenten ontvangen wordt. De server in deze figuur stuurt een unicast-frame naar router C. Omdat het een broadcast is, stuurt switch A het frame door. Switch B doet hetzelfde – ook deze stuurt de broadcast door. Dit is ongunstig, omdat router C het unicast-frame twee keer ontvangt en het netwerk hiermee extra belast. Figuur 2.7

Meer framekopieën

Router C

Unicast

Segment 1 Unicast

Switch B

Unicast

Switch A

Segment 2

• Het volgende is ook mogelijk: de MAC-filtertabel weet niet wat de locatie van het apparaat is omdat de switch het frame van meer dan één link kan ontvangen. Hierbij kan de verwarde switch zó bezig raken met het continu bijwerken van de MAC-filtertabel van de bron locatie hardware dat deze vergeet het frame door te sturen. Dit heet het thrashing (toetakelen) van de MAC-tabel.


72

• Één van de meest onaangename dingen die er kunnen gebeuren is dat er door het hele internetwerk heen meer lussen worden gegenereerd. Dit houdt in dat er lussen binnen lussen voorkomen. Als er zich dan ook nog een broadcast-storm voordoet, kan het netwerk niet langer frame-switchen. Deze problemen zullen het netwerk bijna of helemaal platleggen, en veroorzaken dus situaties die men moet vermijden of, indien nodig, op de één of ander manier moet repareren. Hierbij komt het Spanning Tree Protocol kijken. Dit protocol is speciaal ontworpen om de problemen die hierboven genoemd zijn op te lossen.

2.3 Spanning Tree Protocol (STP) Voor het verkocht werd en de naam werd veranderd in Compaq, ontwikkelde Digital Equipment Corporation (DEC) de oorspronkelijke versie van Spanning Tree Protocol (STP). De IEEE stelde later een eigen versie van STP op, die 802.1d heette. Op alle Cisco-switches staat de IEEE 802.1d-versie van STP, die niet compatibel is met de DEC-versie. Het is de hoofdtaak van STP te verhinderen dat er lussen in het laag-2 netwerk (bridges of switches) voorkomen. Het controleert alle links in het netwerk zorgvuldig en zorgt er door de redundante links op te heffen voor dat er geen lussen ontstaan. Het Spanning Tree Protocol (STP) gebruikt het spanning-tree-algoritme (STA) om eerst een topologiedatabase te maken en dan redundante links te vinden en te vernietigen. Wanneer STP draait worden frames alleen naar de belangrijkste, door STP gekozen links gestuurd.

2.3.1

STP-terminologie Vóór wordt uitgelegd hoe STP binnen het netwerk werkt, is het belangrijk om de basisideeën en –termen en de manier waarop deze binnen het laag-2 geswitchte netwerk onderling samenhangen, toe te lichten: Spanning Tree Protocol STP is een bridge-protocol dat de STA gebruikt om redundante links dynamisch te vinden en daarmee een Spanning Tree topologie-database te maken. Bridges wisselen BPDU-berichten uit met andere bridges om lussen te vinden en deze dan te verwijderen door bepaalde bridge-interfaces stop te zetten. Root-bridge Een root-bridge is de bridge met het hoogste ID. De grondgedachte achter STP is dat alle switches in het netwerk een root-bridge kiezen. Die root-bridge komt centraal te staan in het netwerk. Alle andere beslissingen in het netwerk –


73

bijvoorbeeld welke poort moet worden geblokkeerd en welke in forwarding mode (doorstuurmodus) moet worden gezet – worden vanuit het perspectief van deze root-bridge gemaakt. Bridge-protocol gegevens Unit (BPDU) Alle switches wisselen gegevens uit om de root-switch te kunnen kiezen en ook voor latere configuratie van het netwerk. Iedere switch vergelijkt de parameters in de BPDU die het naar een naburige switch stuurt met de parameters die het van een andere ontvangt. Bridge-ID Hiermee houdt de STP de switches in het netwerk bij. Het bridge-ID wordt bepaald door een combinatie van de bridge-prioriteit (standaard 32.768 voor alle switches) en het basis MAC-adres. Het laagste bridge-ID wordt de root-bridge in het netwerk. Non-root-bridge Dit zijn alle bridges die geen root-bridge zijn. Ze wisselen BPDU uit met alle bridges en werken de STP topologie-database van alle switches bij. De non-rootbridges verhinderen hiermee het ontstaan van lussen en vormen een gedeeltelijke oplossing voor de gevolgen van het uitvallen van links. Root-poort Dit is altijd de link die direct met de root-bridge verbonden is, of het kortste pad is naar de root-bridge. Als er meer dan één link met de root-bridge verbonden is, worden de poortkosten (port cost) bepaald door de bandbreedte van iedere link te controleren. De poort met de laagste kosten wordt de root-poort. Aangewezen poort (designated port) Een root-poort of een poort waarvan bepaald is dat deze de laagste kosten heeft – dit zal de forwarding poort (doorstuurpoort) worden. Poortkosten (port cost) Poortkosten worden bepaald wanneer er tussen twee switches meer links gebruikt worden en geen hiervan een root-poort is. De bandbreedte van een link bepaalt de kosten van een link. Niet-aangewezen poort (non-designated port) Dit is een poort met lagere kosten dan de aangewezen poort die in de blockingmodus gezet zal worden. Forwarding-poort (doorstuurpoort) Poort die frames doorstuurt. Geblokkeerde poort (forwarding port) Poort die om lussen te voorkomen geen frames doorstuurt.


74

2.3.2

Wat doet de Spanning Tree? U weet inmiddels dat het de taak van STP is om alle links in het netwerk te vinden, de redundante op te heffen, en netwerklussen te verhinderen. STP kiest hiervoor eerst een root-bridge die het voortouw neemt bij het tot stand komen van beslissingen op het terrein van de netwerk topologie. Deze beslissingen bepalen welke ‘wegen’ de frames het beste kunnen nemen en welke wegen gereserveerd moeten worden als back-up-routes voor het geval dat de hoofd‘wegen’ het begeven. Zaken lopen vlotter wanneer slechts één persoon beslissingen over de navigatie neemt. Daarom mag er maar een netwerk dus maar één root-bridge hebben. De verkiezing van de root-bridge wordt in de volgende paragraaf uitgebreider beschreven.

Het kiezen van de root-bridge Het ID wordt gebruikt om de root-bridge in het netwerk te kiezen en ook om de rootpoort te bepalen. Dit ID is acht bytes lang, en bevat de prioriteiten het MAC-adres van het apparaat. De standaard prioriteit op alle apparaten met de IEEE STP-versie is 32.768. Om de root-bridge te bepalen worden de prioriteiten van de bridge en het MACadres gecombineerd. Als twee switches of bridges dezelfde prioriteit hebben bepaalt het MAC-adres welke switch het laagste ID heeft. Dit werkt als volgt: als twee switches – noem ze A en B – allebei de standaardprioriteit 32.768 gebruiken wordt in plaats daarvan gebruikt het MAC-adres. Als het MAC-adres van switch A 0000.0c00.1111.1111 is en het MAC-adres van switch B is 0000.0c00.2222.2222 wordt switch A de root-bridge. Vergeet niet dat bij het kiezen van een root-bridge een lagere waarde beter is. BPDU’s worden iedere twee seconden naar alle actieve poorten op een bridge/ switch gezonden. De bridge met het laagste bridge-ID wordt de root-bridge. Het ID van de bridge kan veranderd worden zodat het automatisch een root-bridge wordt. Het is bij een groot geswitcht netwerk belangrijk dat u dit kunt doen – hierdoor worden de beste paden (paths) gekozen.

Het veranderen van STP-parameters valt buiten de scope van dit boek, maar het wordt behandeld in CCNP: Switching Study Guide (Sybex, 2000).


75

Het kiezen van de aangewezen poort (designated port) Als er meer dan één link met de root-poort verbonden is worden de poortkosten gebruikt om te bepalen welke poort de root-poort wordt. Als men dus wil bepalen welke poort of poorten gebruikt worden om met de root-bridge te communiceren, moet men eerst bepalen wat de kosten van het pad zijn. De STP-kosten zijn het totaal van de pad-kosten gebaseerd op de beschikbare bandbreedte van iedere link. Tabel 2.1 toont een karakteristiek van de kosten die aan verschillende Ethernet-netwerken verbonden zijn. Tabel 2.1

Karakteristiek van de kosten van verschillende Ethernet-netwerken Snelheid

Nieuwe IEEE kosten

Oorspronkelijke IEEE kosten

10Gbps 1Gbps 100Mbps

2 4 19

1 1 10

10Mbps

100

100

De IEEE-specificatie 802.1d is onlangs herzien en kan nu overweg met de nieuwe links, die een hogere snelheid hebben. De 1900-switches gebruiken de oorspronkelijke IEEE 802.1d specificaties.

Spanning Tree poortstatussen De poorten op een bridge of een switch met STP kunnen in vier verschillende modi werken: Blocking (blokkeren) Een geblokkeerde poort zal geen frames doorsturen. Een poort in deze modus luistert alleen naar BPDU’s. Alle poorten zijn standaard geblokkeerd wanneer de switch aangezet wordt. Listening (luisteren) De poort luistert naar BPDU’s om ervoor te zorgen dat er geen lussen op het netwerk voorkomen. Pas als de poort heeft vastgesteld dat er geen lussen zijn, worden de dataframes doorgestuurd. Learning (leren) De poort leert MAC-adressen en bouwt een filtertabel op, maar stuurt geen frames door.


76

Forwarding (doorsturen) De poort verzendt en ontvangt alle gegevens op de bridged poort. Switch-poorten staan meestal in de status ‘blocking’ (geblokkeerd) of de ‘forwarding’ (doorstuur). Een forwarding-poort (doorstuurpoort) is een poort waarvan bepaald is dat het de laagste kosten naar de root-bridge heeft. Echter, als het netwerk van topologie verandert (omdat er een link uitvalt of omdat iemand een nieuwe switch toevoegt) staan de poorten op een switch in de status listening en learning. Zoals al eerder is gezegd, is het blokkeren van poorten een strategie voor het verhinderen van netwerklussen. Wanneer een switch eenmaal het beste pad naar de root-bridge bepaald heeft, staan alle poorten in de modus blocking. Geblokkeerde poorten kunnen nog steeds BPDU’s ontvangen, ze zenden alleen geen frames uit. Als een switch bepaalt dat een geblokkeerde poort een aangewezen poort moet worden, zal deze overgaan naar de modus listening en alle ontvangen BPDU’s controleren. Op die manier zorgt de switch ervoor dat er geen lus ontstaat wanneer de poort overschakelt naar de modus forwarding.

Convergence (samenkomst) Convergence vindt plaats wanneer bridges en switches naar de modus forwarding of blocking zijn overgegaan. Gedurende deze tijd worden er geen gegevens doorgestuurd. Vóór er weer gegevens doorgestuurd worden, moeten de apparaten een update ondergaan. Convergence is nodig om ervoor te zorgen dat alle apparaten dezelfde database hebben. Dit kost echter wel wat tijd. Normaal duurt het 50 seconden om over te schakelen van de modus blocking naar de modus forwarding. U kunt deze tijd wijzigen, maar het veranderen van de standaard STP-timers wordt niet aanbevolen. De ‘doorstuurvertraging’ van een poort is de tijd die een overgang van de modus listening naar de modus learning (of andersom) in beslag neemt.

2.3.3

Voorbeeld van een Spanning Tree Nu is het tijd om het geleerde in de praktijk toe te passen. Het is belangrijk om te bekijken hoe de Spanning Tree in een internetwerk werkt, omdat het dan makkelijker te begrijpen is. In de volgende paragraaf kunt u zien wat u geleerd hebt, omdat het getoonde voorbeeld uit een echt netwerk afkomstig is. Bestudeer figuur 2.8, waarin u kunt zien dat alle vijf switches dezelfde prioriteit hebben: 32.768. Kijk dan naar het MAC-adres van iedere switch. Door naar de prioriteit en de MAC-adressen van ieder apparaat te kijken kunt u als het goed is de root-bridge bepalen.


77

Voorbeeld van een Spanning Tree MAC = 0000.8c00.1201

SwitchA

MAC = 0000.8c00.8955

SwitchB

SwitchC

MAC = 0000.8c00.2101

SwitchD

MAC = 0000.8c00.1202

MAC = 0000.8c00.9870

SwitchE

Wanneer u hebt bepaald welke switch de root-bridge moet zijn, kijk dan nog een keer naar het figuur en probeer te bepalen wat de root-poort op iedere aparte switch is. Probeer hierna te bepalen welke poort in de modus blocking (blokkeer) staat.

Tip: Root-poorten zijn altijd aangewezen (designated) poorten. Deze zullen dus altijd in de modus forwarding staan.

Figuur 2.9 laat de poortstatussen van iedere switch zien. Omdat switch A het laagste MAC-adres heeft, en alle vijf switches de standaard prioriteit gebruiken, is switch A de root-bridge. Vergeet niet dat alle poorten op een root-bridge altijd in de modus forwarding staan (aangewezen poorten). U bepaalt de root-poorten op switch B en switch C door de verbinding naar de root-bridge te volgen. Iedere directe verbinding naar de root-bridge zal een root-poort – en dus aangewezen – zijn. Op de switches D en E zijn de poorten die met de switches B en C verbonden zijn dichtstbijzijnde poorten van de switches D en E naar de root-bridge (laagste kosten), en dus zijn deze poorten root-poorten en staan ze in de modus forwarding (aangewezen).


78 Figuur 2.9

Antwoorden bij het voorbeeld van een Spanning Tree Root-bridge Alle poorten aangewezen (forwarding)

Root-poort MAC = 0000.8c00.8955

Switch B

Aangewezen (forwarding)

Root-poort MAC = 0000.8c00.1202 Aangewezen (forwarding)

Root-poort MAC = 0000.8c00.2101 Switch D

Niet aangewezen (blokkerend)

Switch C

Root-poort MAC = 0000.8c00.9870 Aangewezen (forwarding)

Switch E

Kijk nu weer naar figuur 2.9. Kunt u zien welke poorten tussen switch D en E uitgezet moeten worden om te verhinderen dat er een netwerklus voorkomt? Werk dit als volgt uit: omdat de verbindingen van de switches D en E naar de switches B en C root-poorten zijn, kunnen deze niet uitgeschakeld worden. Het bridge-ID wordt gebruikt om aangewezen en niet-aangewezen poorten te bepalen. Dus, omdat switch E het laagste bridge-ID heeft, wordt de poort van switch D naar switch E nietaangewezen (blokkerend) en de aansluiting van switch E op switch D aangewezen (forwarding).

2.4 Het type LAN-switch Het type LAN-switch bepaalt hoe een frame wordt behandelt wanneer het door een switch-poort ontvangen wordt. Wachttijd – latency: de tijd die verstrijkt tussen de ontvangst van een frame op een switch en het moment dat dit naar een uitgangspoort gestuurd wordt – hangt af van de gekozen switchmodus. Er zijn drie switch-modi:


79

Cut-through Wanneer een switch in deze modus staat, wacht deze op de ontvangst van het hardware-doeladres vóór de switch het doeladres in de MAC-filtertabel opzoekt. FragmentFree (gemodificeerde cut-through) Dit is de standaardmodus voor de Catalyst 1900-switch, ook wel gemodificeerde cut-through genoemd. In deze modus controleert de switch de eerste 64 bytes van een frame vóór deze het doorstuurt voor fragmentatie. Hierdoor voorkomt de switch mogelijke botsingen (collisions). Store-and-forward In deze modus wordt het hele data frame in de buffer van de switch ontvangen. Er wordt een CRC uitgevoerd. Vervolgens zoekt de switch het doeladres op in de MAC-filtertabel. Figuur 2.10 toont de verschillende punten waarop de switchmodus in het frame plaatsvindt. Hieronder worden de details van de drie switchmodi besproken. Figuur 2.10

Verschillende switchmodi in een frame

6 bytes

Preamble

1 byte

SFD

6 bytes Destination hardware addresses (hardwaredoeladressen)

6 bytes

2 bytes

Tot 1.500 bytes

4 bytes

Source hardware addresses (hardwarebronadressen)

Lengte

DATA

FCS

Cut-through: geen foutcontrole

2.4.1

FragmentFree: controleert op collisions

Store-and-forward: alle fouten gefilterd; heeft langste wachttijd

Cut-through (real time) Bij de cut-through switch-methode kopieert de LAN-switch alleen het doeladres (de eerste zes bytes die op de preambule volgen) in de buffers. Hierna vindt de switch het hardware-doeladres in de MAC-switchtabel en bepaalt de uitgaande interface. Vervolgens stuurt de switch het frame door naar het doel. Een cut-through switch is erg nuttig voor het verminderen van wachttijd (latency) omdat deze met het doorsturen van het frame begint zodra de switch het doeladres leest en dan de uitgaande interface bepaalt. Nadat de switch de doelpoort heeft bepaald, worden de daaropvolgende frames meteen naar deze poort doorgestuurd. Sommige switches hebben een extra functie: de flexibiliteit om cut-through switching per poort uit te voeren tot er een door de gebruiker ingestelde aantal fouten


80

(error threshold) is bereikt. Op het moment dat deze grens wordt bereikt gaan de poorten automatisch in de modus store-and-forward over zodat ze de fouten niet langer doorsturen. En wanneer het aantal fouten op de poort weer tot onder de grens daalt, gaat de poort automatisch weer terug in de modus cut-through.

2.4.2

FragmentFree (gemodificeerde cut-through) FragmentFree is een gemodificeerde vorm van cut-through switching. De switch wacht tot de collision-window (64 bytes) voorbij is vóór deze met doorsturen begint. De reden hiervoor is dat als een pakket een fout bevat, deze fout bijna altijd in de eerste 64 bytes zit. Dus zal elk frame in het dataveld gecontroleerd worden om vast te stellen dat er geen fragmentatie is opgetreden. De modus FragmentFree biedt betere controle op fouten dan de modus cutthrough. Een groot voordeel, zonder ernstige nadelen: er treedt geen merkbaar langere wachttijd op. Dit is de standaard switch-methode voor de 1900-switches.

2.4.3

Store-and-Forward Store-and-forward switching is Cisco’s belangrijkste LAN-switchmethode. Wanneer deze in store-and-forward staat kopieert de LAN-switch het hele frame in de buffers en voert dan de ‘cyclic redundancy check’ (CRC, cyclische redundantiecontrole) uit. Omdat de switch het hele frame kopieert is de wachttijd (latency) op de switch afhankelijk van de lengte van het frame. Het frame wordt verwijderd als het een CRC-fout bevat, als het te kort is (minder dan 64 bytes inclusief de CRC) of als het te lang is (meer dan 1.518 bytes inclusief de CRC). Als het frame geen fouten bevat, zoekt de LAN-switch het hardware-doeladres op in de forwarding- of switch-tabel om de juiste uitgaande interface te vinden. Als de switch deze vindt, stuurt deze het frame naar het doel. Dit is de modus die de Catalyst-switches uit de 5000-serie gebruiken. Het is niet mogelijk deze modus aan te passen.

2.5 Samenvatting Dit hoofdstuk beschrijft de achtergrond van het laag-2 switchen. Als het goed is hebt u nu alle kennis die nodig is om met de rest van dit boek verder te gaan. De belangrijkste punten zijn:


81

• Laag-2 switching en het verschil tussen switches en bridges. • Address learning en hoe de MAC-adres filtertabel wordt opgebouwd. • Forward/filtering- (doorstuur/filter-)beslissingen die de laag-2 switches kunnen nemen en de manier waarop ze deze nemen. • Het vermijden van lussen (loop-avoidance) en de problemen die ontstaan als er geen maatregelen voor lusvermijding in het netwerk genomen worden. • Spanning Tree Protocol en hoe STP het ontstaan van lussen verhindert. • LAN-switch-types die op Cisco-routers gebruikt worden en de verschillen ertussen. Als er onderwerpen in deze lijst staan die u niet helemaal begrijpt, kijk dan nog eens in de desbetreffende paragraaf. Deze concepten zijn fundamenteel en progressief. Als u op dit moment niet alles begrijpt zult u alleen maar gefrustreerd raken als u meteen doorgaat naar hoofdstuk 3 en de daaropvolgende hoofdstukken. Het kost niet veel tijd, en het loont de moeite om een deel van de stof opnieuw door te nemen. De rest van de cursus wordt op die manier duidelijker en makkelijker te begrijpen.

2.6 Kernbegrippen Vóór u het examen doet, moet u ervoor zorgen dat u de volgende termen kent: address learning bridge-protocol data units (BPDU’s) cut-through aangewezen poort (designated port) FragmentFree niet-aangewezen poort (nondesignated port) root-bridge Spanning Tree Protocol (STP) store-and-forward

Hoofdstuk

6

Virtuele LANs (VLANs) DE VOLGENDE ONDERWERPEN UIT HET CCNA-EXAMEN WORDEN IN DIT HOOFDSTUK BEHANDELD: ✓ Bridging/Switching •

Beschrijf de voordelen van virtuele LANs.

I

k weet dat ik het al veel vaker gezegd heb, maar ik wil zeker weten dat u dit nooit meer vergeet, dus zeg ik het nog maar een keer: switches scheiden collisiondomeinen en routers scheiden broadcast-domeinen. Goed, ik voel me een stuk beter! Nu kunnen we doorgaan. Vroegere netwerken waren gebaseerd op collapsed backbones, maar de huidige netwerken hebben een plattere architectuur – dankzij switches. En nu? Hoe scheiden we broadcast-domeinen in een puur geswicht internetwerk? Door het maken van virtuele LANs. Een virtueel LAN ()een VLAN) is een logische groep netwerkgebruikers en systeemcomponenten die verbonden is aan administratief gedefinieerde poorten op een switch. Met VLANs krijgt u de mogelijkheid om kleinere broadcast-domeinen te maken binnen een laag-2 geswicht internetwerk door verschillende poorten op de switch toe te wijzen aan verschillende subnetwerken. Een VLAN wordt behandeld als zijn eigen subnet of broadcast-domein. Dit houdt in dat frames die gebroadcast worden op het netwerk alleen geswicht worden tussen de poorten die logisch gegroepeerd zijn binnen dezelfde VLAN. Een sterk staaltje! Betekent dit dat we geen routers meer nodig hebben? Misschien wel, misschien niet. Het hangt er helemaal vanaf wat u precies wilt doen. Hosts in een VLAN kunnen niet communiceren met hosts die lid zijn van een andere VLAN, dus als u inter-VLAN communicatie wilt, is het antwoord: ja, u hebt nog steeds een router nodig. In dit hoofdstuk leert u precies wat een VLAN is, en hoe VLAN-lidmaatschappen gebruikt worden in een geswicht internetwerk. Ook vertel ik u hoe Virtual Trunk Protocol (VTP) gebruikt wordt om switch-databases met VLAN-gegevens aan te passen, en hoe trunking gebruikt wordt om alle VLAN-gegevens over een link te sturen. Dan sluit ik af door uit te leggen hoe u inter-VLAN-communicatie mogelijk maakt door een router te introduceren in uw geswicht internetwerk.

6.1 Introductie Virtuele LANs (VLANs) Zoals u in figuur 6.1 ziet, worden laag-2 geswichte netwerken meestal ontworpen als een plat netwerk. Elk apparaat op het netwerk ziet alle broadcast pakketten die verzonden worden, of het die gegevens nou wel of niet nodig heeft.


283

Routers staan alleen broadcasts toe in het netwerk waar ze vandaan komen, maar switches sturen broadcasts naar alle segmenten. Het wordt een plat netwerk genoemd omdat het één broadcast-domein is, niet omdat het fysiek plat is. Figuur 6.1

Platte netwerk structuur Host A

In figuur 6.1 zien we dat Host A een broadcast stuurt en dat alle poorten op alle switches deze broadcast doorsturen, behalve de poort die het als eerste ontving. Kijk nu eens goed naar het geswichte netwerk in iguur 6.2. Host A stuurt een frame naar Host D, en zoals u ziet, wordt dat frame alleen maar doorgestuurd via de poort waar Host D op staat. Dit is een enorme verbetering van de vroegere hub-netwerken, tenzij u natuurlijk per se standaard een collision-domein wilt. Nu kent u het grootste voordeel van een laag-2 geswicht netwerk al: aparte collision-domein segmenten ondersteunen elk apparaat dat op de switch aangesloten wordt. We kunnen nu grotere netwerken bouwen omdat de afstandsbeperkingen van Ethernet wegvallen. Maar elk voordeel heeft een nadeel – hoe groter het aantal gebruikers en apparaten, hoe meer broadcasts en pakketten elke switch aan moet kunnen! Figuur 6.2

Het voordeel van een geswicht netwerk Host A

Host D

Hoofdstuk 6 • Virtuele LANs

284

En hier is nog een probleem – beveiliging! Dit is een groot probleem. In een normaal laag-2 geswicht internetwerk kunnen alle gebruikers alle apparaten zien. En u kunt niet verhinderen dat de apparaten een broadcast sturen, of dat gebruikers op broadcasts reageren. De beveiligingsmogelijkheden zijn jammer genoeg beperkt tot het instellen van wachtwoorden (passwords) op servers en apparaten. Maar niet als u VLANs maakt, beste vriend! Jawel, u kunt veel van de problemen met laag-2 switching met VLANs oplossen – zoals u snel zult zien! VLANs vergemakkelijken het netwerkbeheer op een aantal manieren: • Een VLAN kan verscheidene broadcast-domeinen in meerdere logische subnetten groeperen. • Netwerkuitbreidingen, -verhuizingen en -wijzigingen worden uitgevoerd door een poort te configureren in het juiste VLAN. • Een groep gebruikers die een hoge mate van beveiliging nodig heeft, kan in een apart VLAN gezet worden, zodat gebruikers van buiten dat VLAN niet met ze kunnen communiceren. • Omdat VLANs logische groeperingen van gebruikers zijn, worden ze beschouwd als onafhankelijk van de fysieke of geografische locatie van de gebruikers.

6.1.1

Broadcast-beheer Broadcasts komen in elk protocol voor, maar hoe vaak ze voorkomen hangt af van drie dingen: • Type protocol. • De toepassing(en)/diensten die op het internetwerk gebruikt worden. • Hoe die diensten gebruikt worden. Sommige oudere toepassingen zijn herschreven zodat ze minder bandbreedte gebruiken, maar er is een nieuwe generatie toepassingen die ongelofelijk veel bandbreedte nodig hebben en alles gebruiken wat ze kunnen vinden. Deze veelvraten zijn ondermeer multimedia-toepassingen die intensief gebruik maken van broadcasts en multicasts. De problemen die deze veeleisende broadcast-toepassingen veroorzaken, worden verergerd door falende apparatuur, ontoereikende segmentatie, en slecht ontworpen firewalls. Dit alles heeft de manier waarop netwerken worden ontworpen, ingrijpend veranderd. Het is ook de oorzaak geweest voor nieuwe uitdagingen voor de beheerder. Goed segmenteren is voor een netwerk erg belangrijk. Alleen zo blijven problemen van een segment geïsoleerd en verspreiden ze zich niet door het hele internetwerk. De meest effectieve manier is het toepassen van strategische switching en routing.


285

Nu switches veel betaalbaarder geworden zijn, vervangen veel bedrijven hun platte hub-netwerken door een puur geswicht netwerk en VLANs-omgeving. Alle apparaten in een VLAN zijn leden van hetzelfde broadcast-domein en ontvangen alle broadcasts. Een switch houdt broadcasts tegen van alle poorten die geen lid zijn van hetzelfde VLAN. Dit is geweldig, want het biedt u alle voordelen van een geswicht ontwerp zonder de aanzienlijke ellende die u zou meemaken als al uw gebruikers in hetzelfde broadcast-domein zaten!

6.1.2

Beveiliging Maar er schijnt altijd wel een addertje onder het gras te moeten zitten, dus we komen terug op de beveiliging. Meestal wordt een plat internetwerk beveiligd door hubs en switches te verbinden met routers. Het kwam er dus op neer dat een router de veiligheid moest garanderen. Dat werkte om meerdere redenen niet: Ten eerste, iedereen die verbinding maakt met het fysieke netwerk, krijgt toegang tot de netwerkcomponenten van dat fysieke LAN. Ten tweede, het enige dat daarna hoeft te gebeuren om al het verkeer op dat netwerk te observeren, is het simpel op de hub aansluiten van een netwerkanalysator. En op dezelfde wijze konden gebruikers lid worden van een werkgroep door gewoon hun werkplekken op de bestaande hub aan te sluiten. Eigenlijk was er dus geen beveiliging! Daarom zijn VLANs zo mooi. Ze geven de systeembeheerder volledige macht over elke poort en elke gebruiker! Omdat de beheerder nu de macht heeft over elke poort en alle systeemcomponenten die via die poort benaderd kunnen worden, kunnen gebruikers niet langer hun werkplekken op een willekeurige switchpoort aansluiten en zo toegang krijgen tot alle netwerkcomponenten. En omdat VLANs rekening kunnen houden met de netwerkcomponenten die een gebruiker nodig heeft, kunt u switches zo configureren dat ze het netwerkmanagementstation waarschuwen zodra iemand ongeoorloofde toegang tot netwerkcomponenten probeert te krijgen. En als u inter-VLAN-communicatie wilt, kunt u beperkingen implementeren op een router. U kunt ook beperkingen instellen die gebaseerd zijn op hardware-adressen, protocollen, en toepassingsprogramma’s – dat is pas beveiliging!

6.1.3

Flexibiliteit en Schaalbaarheid Als u hebt opgelet, weet u dat laag-2 switches de frames alleen lezen om ze te filteren – ze kijken niet naar het protocol op de Netwerk-laag. En switches sturen alle broadcasts door. Maar als u VLANs maakt en toepast, bent u eigenlijk bezig met het maken van kleinere broadcast-domeinen op laag-2. Dit betekent dat broadcasts, die gezonden worden vanuit een node in een VLAN, niet doorgestuurd worden naar poorten die geconfigureerd zijn voor een ander


286

VLAN. Dus door het toewijzen van switchpoorten of gebruikers aan VLAN-groepen op een switch of groep van verbonden switches, (switch fabric), heeft u de flexibiliteit om alleen de gebruikers toe te voegen die u in dat broadcast-domein wilt hebben, ongeacht hun fysieke locatie! Deze opzet blokkeert broadcast-stormen die veroorzaakt worden door een defecte netwerk-interfacekaart (NIC), en voorkomt dat een toepassing deze stormen door het hele internetwerk stuurt. Dit onheil kan nog steeds voorkomen op het VLAN waar het probleem begon, maar de ziekte blijft beperkt tot dat ene getroffen VLAN. Een ander voordeel is dat als een VLAN te groot wordt, u meer VLANs kunt maken om te voorkomen dat de broadcasts teveel bandbreedte opslokken – hoe minder gebruikers in een VLAN, hoe minder gebruikers beïnvloed worden door broadcasts. Dit is allemaal wel leuk en aardig, maar als u een VLAN maakt, moet u uiteraard wel de netwerkdiensten (network services) in het achterhoofd houden en begrijpen hoe gebruikers verbinding leggen met deze diensten. Het is verstandig om, als dat enigszins mogelijk is, te proberen alle diensten lokaal te houden voor alle gebruikers, met uitzondering van de e-mail en de Internet-toegang die iedereen nodig heeft. Om te begrijpen hoe een VLAN eruitziet vanuit het oogpunt van een switch, moeten we eerst kijken naar het traditionele netwerk. Figuur 6.3 toont hoe een netwerk gemaakt werd door fysieke LANs te verbinden met hubs en een router. Figuur 6.3

Fysieke LANs verbonden met een router Hubs Tekenkamer

Verkoop

Marketing

Expeditie

Financieële administratie

Management

Hier ziet u dat elk netwerk op een hubpoort naar de router was aangesloten (elk segment had ook zijn eigen logische netwerknummer, hoewel dit niet duidelijk te zien is in de figuur). Elke node die verbonden was aan een bepaald fysiek netwerk moest een netwerkadres gebruiken dat paste bij dat netwerknummer. Alleen als aan die voorwaarde was voldaan, kon de node met het internetwerk kon communiceren. Elke


287

afdeling had zijn eigen LAN, dus nieuwe gebruikers bij Verkoop werden gewoon op de Verkoop LAN aangesloten en daarmee automatisch onderdeel van het collision- en broadcast-domein van Verkoop. Dit ontwerp werkte jarenlang bijzonder goed. Maar er was een groot nadeel: wat gebeurt er als de hub voor Verkoop vol is en u moet een nieuwe gebruiker toevoegen aan de Verkoop LAN? Of, wat doen we als er geen fysieke ruimte meer is voor de nieuwe medewerker in de locatie waar het verkoopteam zich bevindt? Laten we aannemen dat er toevallig voldoende vrije ruimte is op het etage waar de afdeling Financiën is gehuisvest. De nieuwe verkoopmedewerker moet noodgedwongen op dezelfde etage gaan zitten als de financiële mensen, en we sluiten de arme ziel gewoon aan op de hub voor Financiën. Als u dit doet, wordt de nieuwe gebruiker onderdeel van de Financiële LAN. Dit is om meer dan één reden geen goed idee. De eerste (en belangrijkste) reden is de beveiliging: deze nieuwe gebruiker is lid van het Financiële broadcast-domein en ziet dus dezelfde servers en netwerkdiensten als de medewerkers van Financiën. Ten tweede, als deze nieuwe gebruiker toegang wil tot de netwerkdiensten van Verkoop die hij/zij voor zijn/haar werk nodig heeft, moet die persoon door de router naar de login van de Verkoopserver gaan – niet bepaald efficiënt! Kijk nu eens wat een switch kan doen. Figuur 6.4 laat zien dat switches de fysieke beperkingen van onze problemen weghalen. Figuur 6.4

Switches nemen de fysieke beperking weg VLAN2 VLAN3 VLAN4 VLAN2 VLAN7 VLAN3 VLAN3 VLAN6 VLAN5 VLAN5 VLAN6 VLAN4

Verzorgt inter-VLANcommunicatie en WAN-services Marketing Expeditie Tekenkamer Financiëëèele adm. Management Verkoop

VLAN2 VLAN3 VLAN4 VLAN5 VLAN6 VLAN7

172.16.20.0/24 172.16.20.0/24 172.16.20.0/24 172.16.20.0/24 172.16.20.0/24 172.16.20.0/24

Figuur 6.4 laat zien hoe zes VLANs (genummerd twee tot en met zeven) gebruikt werden om een broadcast-domein voor elke afdeling te maken. Elke switchpoort is


288

daarna administratief toegewezen aan een VLAN-lidmaatschap, afhankelijk van de host en van het broadcast-domein waarin deze poort moet komen. En als ik nu een nieuwe gebruiker wil toevoegen aan de Verkoop VLAN (VLAN 7), wijs ik gewoon de benodigde poort toe aan VLAN 7, waar de nieuwe verkoopmedewerker zich fysiek ook bevindt – leuk! Dit illustreert een van de leukste voordelen van het ontwerpen van netwerken met VLANs in plaats van volgens het oude collapsed backbone-architectuur. Nu wijst u eenvoudigweg elke host die tot de Verkoop VLAN moet behoren, toe aan VLAN 7. U hebt vast wel gemerkt dat ik begonnen bent met nummer 2 toen ik VLANs nummers toewees. Het nummer doet er niet toe, maar u vraagt zich natuurlijk af wat er met VLAN 1 gebeurd is. Dit VLAN is een administratieve VLAN, en hoewel hij wel voor een werkgroep gebruikt kan worden, raadt Cisco u aan deze alleen voor administratieve doelen te gebruiken. U kunt de naam van VLAN 1 niet wijzigen of verwijderen, en alle poorten op een switch zijn standaard lid van VLAN 1 totdat u ze wijzigt. Elk VLAN wordt gezien als een broadcast-domein dus moet het ook zijn eigen subnetnummer hebben, zoals figuur 6.4 laat zien. En als u ook IPX gebruikt, moet elk VLAN ook zijn eigen IPX-netwerknummer toegewezen krijgen. Laten we nu eens terugkomen op de misvatting dat we “dankzij de komst van de switches geen routers meer nodig hebben”. In figuur 6.4, ziet u dat, als we VLAN 1 meetellen, er zeven VLANs of broadcast-domeinen zijn. De nodes binnen elke VLAN kunnen met elkaar communiceren, maar niet met een apparaat in een ander VLAN, omdat de nodes in elke willekeurig VLAN ‘denken’ dat zij eigenlijk in een collapsed backbone zijn, zoals figuur 6.3 laat zien. En welk handig hulpmiddeltje hebben we nodig om de hosts in figuur 6.3 met een node of host op een ander netwerk te laten communiceren? U raadt het al – een router! Deze nodes moeten hun gegevensverkeer absoluut door een router of een ander laag-3 apparaat naar een ander netwerksegment laten overzetten, net als wanneer deze nodes in VLAN’s zijn opgenomen (Figuur 6.4). Het is net of we verschillende fysieke netwerken aan elkaar proberen te hangen. Communicatie tussen VLANs moet ook door een laag-3 apparaat. Dus denk maar niet dat routers snel zullen verdwijnen!

6.2 VLAN-lidmaatschap VLANs worden meestal door een beheerder gemaakt die daarna switchpoorten toewijst aan de VLANs. Dit worden statische VLANs genoemd. Als de beheerder vooraf iets meer werk van te voren doet en voor alle host-apparaten in een database de hardware-adressen toewijst aan een VLAN, kunnen de switches zo geconfigureerd worden dat VLANs dynamisch kunnen worden toegewezen als een host op een switch aangesloten wordt.


6.2.1

289

Statische VLANs Statische VLANs zijn de meest gebruikelijke en meest veilige manier om VLANs te maken. De switchpoort die u aan een VLAN toewijst, blijft aan die VLAN toegewezen totdat een beheerder die instelling met de hand verandert. Een dergelijke VLAN-configuratie is relatief makkelijk op te zetten en in de gaten te houden. Het werkt goed in een netwerk waarin gebruikers niet voortdurend naar een andere plek in het netwerk verhuizen. En hoewel het nuttig kan zijn poorten te configureren met behulp van software voor netwerkbeheer, is het niet verplicht. In figuur 6.4. heeft de beheerder elke switchpoort geconfigureerd met een VLANlidmaatschap, uitgaande van de VLAN waarvan de host lid moest zijn – de fysieke locatie van het apparaat doet er niet toe. Het broadcast-domein waar de hosts lid van worden is een administratieve keuze. Onthoud dat elke host ook het juiste IP-adres moet hebben. Bijvoorbeeld, elke host in VLAN 2 moet geconfigureerd worden in het netwerk 172.16.20.0/24.

6.2.2

Dynamische VLANs Dynamische VLANs bepalen de toewijzing van een VLAN aan een node automatisch. Met behulp van intelligente beheerssoftware kunnen we op basis van hardware(MAC-) adressen, protocollen, of zelfs applicaties dynamische VLANs maken. De keus is aan u! Ga er even van uit dat MAC-adressen in een gecentraliseerde VLANbeheerstoepassing ingevoerd zijn. Als een node dan op een niet-toegewezen switchpoort aangesloten wordt, kan de VLAN-management database het hardwareadres opzoeken en de switchpoort aan de juiste VLAN toewijzen en configureren. Dit is geweldig – het maakt beheer en configuratie gemakkelijker omdat de switch een gebruiker automatisch op het juiste VLAN zal indelen als hij of zij verhuist. Maar u zult vooraf een hoop meer werk moeten doen, bij het opzetten van de database. Cisco-beheerders kunnen de service (dienst) VLAN Management Policy Server (VMPS) gebruiken om een database van MAC-adressen op te zetten. Deze database wordt gebruikt bij het dynamische adresseren van VLANs. Een VMPS-database legt de relatie tussen MAC-adressen en VLANs.

6.3 VLANs identificeren Omdat frames door het hele internetwerk geswicht zijn, moeten switches in staat zijn alle verschillende soorten frames in de gaten te houden. Switches moeten ook begrijpen wat er met die frames moet gebeuren. U weet: dit is afhankelijk van het hardware-adres. Bedenk bovendien dat niet alle frames altijd op dezelfde manier

290


moeten worden behandeld. Dit is weer afhankelijk van de soort link die deze frames moeten oversteken. Er zijn twee verschillende soorten links in een geswichte omgeving: Access link (toegangslink) Dit soort links is altijd deel van één VLAN. Ze worden de native VLAN van de poort genoemd. Elk apparaat dat aan een access link gehangen wordt weet niets van een VLAN-lidmaatschap – het apparaat neemt gewoon aan dat het deel is van een broadcast-domein, maar weet niets van het fysieke netwerk. Switches verwijderen alle VLAN-gegevens uit het frame voordat dit naar een access link gestuurd wordt. Access links kunnen niet communiceren met apparaten buiten hun eigen VLAN, tenzij het pakket door een router overgezet wordt. Trunk links Trunks kunnen frames van meerdere VLANs doorgeven en ontleenden oorspronkelijk hun naam aan de hoofdkabels die in de telefonie worden gebruikt om meer telefoongesprekken tegelijk te kunnen doorgeven. Trunk links zijn 100- of 1000Mbps point-to-point verbindingen tussen twee switches, tussen een switch en router, of tussen een switch en server. Ze geven het verkeer van meerdere VLANs tegelijk door – van 1 tot wel 1005 per keer. Zulke trunks kun je niet draaien op 10Mbps links. Trunking stelt u in staat één poort deel uit te laten maken van meerdere VLANs. Dit kan een echt voordeel zijn. U kunt het bijvoorbeeld zo regelen dat u een server hebt in twee broadcast-domeinen, zodat uw gebruikers niet via een laag-3 apparaat (router) hoeven te gaan om in te loggen op en toegang te krijgen tot de server. Een ander voordeel van trunking merkt u als u switches verbindt. Trunk links kunnen voor sommige of voor alle VLAN’s gegevens over de link doorgeven, maar als de links tussen uw switches niet ‘trunked’ zijn, zullen alleen de gegevens van VLAN 1 over de link geswicht worden. Daarom worden alle VLANs automatisch aan een trunked link toegewezen tenzij een beheerder ze met de hand blokkeert. Figuur 6.5 toont hoe de verschillende links gebruikt worden in een geswitcht netwerk. Beide switches kunnen communiceren met alle VLANs vanwege de trunk link tussen hen. En denk eraan, het gebruik van een access link staat slechts één VLAN toe tussen switches. Zoals u ziet, gebruiken deze host access links om met de switch verbinding te leggen, dus dat betekent dat ze slechts in één VLAN communiceren.


291

Access links en trunk links in een geswicht netwerk Æ

Catalyst 1900 10BaseT

100BaseTX

CISCOSYSTEMS SYSTEM RPS

1x

2x

3x

4x

5x

6x

7x

8x

9x

10x

11x

12x

13x

14x

15x

16x

17x

18x

19x

20x

21x

22x

23x

24x

Ax

Bx

STAT UTL FDUP

MODE

Trunk-link

Rode VLAN

Blauwe VLAN

Groene VLAN

Æ

Catalyst 1900 10BaseT

100BaseTX


1x

2x

3x

4x

5x

6x

7x

8x

9x

10x

11x

12x

13x

14x

15x

16x

17x

18x

19x

20x

21x

22x

23x

24x

Ax

Bx

STAT UTL FDUP

MODE

Door het gebruik van trunk-links kunnen VLANs meer switches omvatten; over deze trunk-links kan verkeer voor meer VLANs plaatsvinden.

6.3.1

Rode VLAN

Blauwe VLAN

Groene VLAN

Frame Tagging U kunt ook VLANs maken die meer dan een switch bevatten. In figuur 6.4, zijn hosts van diverse VLANs over vele switches verspreid. Deze zeer krachtige, flexibele functie is waarschijnlijk het grootste voordeel bij VLAN-implementatie! Maar dit kan behoorlijk ingewikkeld worden – zelfs voor een switch. Daarom moet er voor elke switch een manier zijn om alle gebruikers en frames in de gaten te houden tijdens hun reis over het switch fabric en de VLANs. (Denk eraan, een switch fabric is een groep switches die dezelfde VLAN-informatie delen.) Hier komt frame tagging om de hoek kijken. Deze methode voor frame-identificatie wijst een uniek, door de gebruiker gedefinieerd kenmerk (een ‘unique user-defined ID’) toe aan elk frame. Sommige mensen noemen dit een ‘VLAN ID’ of ‘VLAN-kleur’. Zo werkt het: elke switch waar het frame langs komt moet eerst de VLAN ID van het frame tag identificeren. Daarna zoekt de switch uit wat hij met het frame moet doen. Dit geheurt door te kijken naar de informatie in de filtertabel. Als het frame een switch bereikt die een ‘trunked’ link heeft, wordt het frame via die trunk link doorgestuurd. Als het frame een uitgang naar een access link bereikt, verwijdert de switch de VLAN-identificatie. Zo kan het doelapparaat de frames ontvangen zonder dat dit apparaat hun VLAN-identificatie hoeven te begrijpen.


292

6.3.2

VLAN-identificatiemethoden Switches gebruiken dus VLAN-identificatie om al die frames in de gaten te houden terwijl deze frames binnen een groep van switches (switch fabric) worden doorgestuurd. Op deze wijze weten switches welke frames bij welke VLANs horen. Er zijn meerdere trunk-methoden: Inter-Switch Link (ISL) Dit is producentspecifiek voor Cisco-switches, en het wordt alleen gebruikt voor FastEthernet en Gigabit Ethernet links. Om de server te voorzien van een trunk link kan ISL-routing toegepast worden op een switchpoort, router interfaces en server interface-kaarten. Dit is een uitstekende methode als u functionele VLAN’s maakt en de 80/20-regel niet wilt breken. De 80/20-regel is een formule die zegt dat 80% van gegevensverkeer op het plaatselijke segment moet blijven, terwijl 20% of minder de overstap maakt van het ene naar het andere netwerksegment. Een ‘trunked’ server is onderdeel van alle VLANs (alle broadcast-domeinen), Gebruikers hoeven dus niet via een laag-3 apparaat toegang tot de server te zoeken. IEEE 802.1q Een standaardmethode van frame tagging die ontworpen werd door de IEEE. Het voegt eigenlijk een veld toe aan het frame; een veld dat het VLAN identificeert. Als u een trunk tot stand brengt tussen een Cisco-geswichte link en een swicht van een ander merk, moet u 802.1q gebruiken. Doet u dit niet, dan werkt de trunk niet. LAN-emulatie (LANE) Wordt gebruikt om middels ATM met meer VLANs te communiceren. 802.10 (FDDI) Het protocol 802.10 wordt gebruikt om VLAN-informatie over FDDI te sturen. Het gebruikt een SAID-veld in de ‘frame header’ om het VLAN te identificeren. Dit is ook producentspecifiek voor Cisco-apparaten.

Het CCNA examen behandelt alleen de ISL-methode van VLAN-identificatie. Het is echter verstandig om ook iets van de andere methoden af te weten.


6.3.3

293

Inter-Switch Link (ISL) Protocol Inter-Switch Link (ISL) is een manier om expliciet VLAN-informatie op te nemen in een Ethernet-frame. Met deze tagging-informatie kunnen de VLANs tegelijktijdig gebruik maken van een trunk link. Dit gelijktijdig gebruik wordt ‘multiplexen’ genoemd. Om te kunnen multiplexen wordt een externe inkapselingmethode (encapsulation method) gebruikt. Door ISL te gebruiken kun u meerdere switches met elkaar (door)verbinden. Daarbij blijkft VLAN-informatie behouden als het verkeer tussen de switches over de trunk links heen en weer gaat. ISL heeft een lage wachttijd (latentie) en benut de volledige beschikbare bandbreedte van de verbindingskabel. Dit in tegenstelling tot Fast-Ethernet, dat of half- of full-duplex gebruikt.

Cisco heeft het producentspecifieke ISL-protocol gemaakt, en dus wordt het alleen gebruikt in Cisco-apparaten. Als u een niet-producentspecifiek VLAN protocol nodig hebt, gebruik dan 802.1q. Dit protocol wordt behandeld in het door Sybex uitgegeven boek CCNP: Switching Study Guide.

Hoe dan ook, ISL is een extern tagging proces. Dit betekent dat het oorspronkelijke frame niet veranderd wordt – het wordt alleen ingekapseld in een nieuwe 26-byte ISL-header. Het voegt ook een tweede 4-byte veld toe. Dit veld, een ‘frame check sequence’-veld (FCS-veld) komt aan het einde van het frame (trailer). Omdat het frame door ISL ingekapseld is met ISL-specifieke informatie (header en trailer), kan het alleen gelezen worden door apparaten die ISL ondersteunen. Deze frames kunnen wel 1.522 bytes lang zijn. en apparaten die ze ontvangen slaan ze op als één gigantisch frame. Dit is nodig omdat het de lengete van het frame langer is dan het door Ethernet toegestane maximum van 1.518 bytes. Op multi-VLAN (trunk)poorten krijgt elk frame een tag als het op de switch binnenkomt. Met ISL-netwerk interface-kaarten (NICs) kunnen servers frames, die tags hebben van meer VLANs, ontvangen en doorzenden. Hierdoor kunnen deze frames meer VLANs oversteken zonder door een router moeten gaan. Dit is mooi, omdat het wachttijd vermindert. ISL zorgt ervoor dat gebruikers makkelijk en efficiënt toegang krijgen tot servers. Ze hoeven immers niet elke keer via een router te gaan als ze met een systeemcomponent willen communiceren. Deze techniek kan ook gebruikt worden met sondes (probes) en sommige netwerkanalysators. Beheerders kunnen met deze techniek file servers in meerdere VLANs tegelijk opnemen. VLAN-informatie van ISL wordt alleen aan een frame toegevoegd als het frame doorgestuurd wordt vanuit een poort die geconfigureerd is als trunk link. De ISLinkapseling wordt van het frame gehaald als het frame doorgestuurd wordt naar een access link. Dit is een belangrijk stukje ISL-kennis!


294

6.4 VLAN Trunk Protocol (VTP) Cisco heeft ook het VTP-protocol gemaakt, maar deze keer is het niet producentspecifiek. Met VLAN Trunk Protocol (VTP) beheert u alle geconfigureerde VLANs over een geswicht internetwerk en behoudt u de consistentie in het netwerk. Met VTP kan de beheerder VLANs toevoegen, verwijderen en hernoemen en deze informatie dan naar alle switches in het netwerk doorsturen. Hier is een overzicht van enkele voordelen van VTP: • Consistente VLAN-configuratie over alle switches in het netwerk. • VLANs kunnen middels een trunk worden verdeeld over gemengde netwerken; een VLAN in een netwerk met een trunk tussen een Ethernet- en een ATM LANE- of FDDI-deel. • U kunt het gegevensverkeer over VLANs accuraat volgen en monitoren. • Alle switches ontvangen automatisch een melding van toegevoegde VLANs. • Plug-and-Play VLAN-toevoeging D voordelen zijn natuurlijk heel mooi. Maar voordat u met VTP aan de slag kunt om VLANs in een netwerk te beheren, moet u eerst een VTP-server maken. Alle servers die VLAN-informatie delen, moeten dezelfde domeinnaam gebruiken. En een switch kan slechts in één domein opgenomen zijn. Dit houdt dus in dat een switch alleen VTP-domeininformatie kan delen met andere switches als ze in hetzelfde VTPdomein geconfigureerd zijn. U kunt een VTP-domein gebruiken als u meer dan één switch hebt aangesloten in een netwerk. Echter, wanneer al uw switches in slechts één VLAN staan, hoeft u geen VTP te gebruiken. VTP-informatie wordt tussen switches verzonden door een trunkpoort. Switches sturen elkaar beheerinformatie over VTP-domeinen, een revisienummer van de configuratie en informatie over alle bekende VLANs, compleet met de bijbehorende parameters. En dan is er ook nog zoiets als de VTP-transparante modus. In deze modus kunt u switches configureren zodat ze VTP doorsturen via trunkpoorten, maar geen aanpassingen van informatie of van hun VTP-databases accepteren. Merkt u dat er problemen ontstaan doordat gebruikers switches aan uw VTPdomein toevoegen, dan kun u wachtwoorden gebruiken. Let echter wel op een belangrijke beperking: elke switch moet worden ingesteld met hetzelfde wachtwoord. In de praktijk kan dit lastig blijken. Switches stellen het bestaan van een voor hen nieuw VLAN vast aan de hand van een ontvangen VTP-bekendmaking (een VTP-advertisement). Als reactie hierop treffen deze switches dan voorbereidingen om gegevens over het nieuwe VLAN op hun trunkpoorten te ontvangen. Deze gegevens bestaan dan uit een VLAN ID, uit 802.10 SAID-velden of uit LANE-informatie. Aanpassingen worden gestuurd met een


295

revisienummer dat gelijk is aan dat van het VTP-bericht plus 1. Als een switch een hoger revisienummer ziet, weet hij dat die informatie recenter is, en gaat de switch de gegevens in de database overschrijven met de nieuwe informatie.

6.4.1

VTP-operation modi Switches kennen zijn drie verschillende ‘operation modi’; drie verschillende manieren om de switches in een VTP-domein te gebruiken. Figuur 6.6 laat ze alle drie zien: Server-modus De standaard voor alle Catalyst-switches. U hebt minimaal een server nodig in uw VTP-domein om VLAN-informatie over het domein te verspreiden. De switch moet in server-modus werken om VLANs in een VTP-domein te kunnen maken, toe te voegen of te verwijderen. VTP-informatie wijzigen moet ook in servermodus gebeuren, en elke verandering aan een switch die in server-modus staat, wordt doorgestuurd naar het hele VTP-domein. Client-modus In client-modus ontvangt een switch informatie van VTP-servers, en kunnen ze ook aanpassingen ontvangen en versturen. Maar ze kunnen geen veranderingen aanbrengen. Geen van de poorten op een client switch kan toegekend worden aan een nieuw VLAN voordat de VTP-server die client-switch op de hoogte stelt van dit nieuwe VLAN. Een tip: als u wilt dat een switch als een server wilt configureren, maak er dan eerst een client van. Door er een client van te maken, ontvangt de switch alle juiste VLAN-informatie. Is deze informatie eenmaal ontvangen, dan is de switch veel gemakkelijker in een server te veranderen! Transparante modus Switches in transparante modus doen niet mee in het VTP-domein, maar zij geven nog steeds VTP-bekendmakingen (VTP-advertisements) door via alle

Figuur 6.6

VTP-standen Server-configuratie: opgeslagen in NVRAM

Server

Client

Client-configuratie: niet opgeslagen in NVRAM

Transparant

Transparante configuratie: opgeslagen in NVRAM


296

geconfigureerde trunk links. Deze switches kunnen VLANs toevoegen en verwijderen omdat zij hun eigen database bijhouden – een database die zij niet delen met andere switches. Transparante modus is eigenlijk alleen lokaal van belang.

6.4.2

Pruning: snoeien in VTP Met VTP kunt u op bandbreedte besparen door een protocol te configureren dat het aantal broadcasts, multicasts, en andere unicast-pakketten vermindert. Dit heet snoeien (pruning). VTP-pruning zorgt ervoor dat broadcasts alleen worden gestuurd naar trunk links die de informatie ook echt moeten hebben. Een voorbeeld: als switch A geen poorten geconfigureerd heeft voor VLAN 5, en er wordt een broadcast over VLAN 5 uitgezonden, dan zal die broadcast niet de trunk link naar deze switch A oversteken. VTP-pruining is meestal op alle switches uitgeschakeld. Als u pruning inschakelt op een VTP-server, schakelt u het in voor het gehele domein. Normaal gesproken komen VLANs 2 tot en met 1005 in aanmerking voor pruning, maar VLAN 1 kan nooit pruning toepassen omdat het een administratieve VLAN is.

6.5 Routeren tussen VLANs Hosts in een VLAN bestaan in hun eigen broadcast-domein en kunnen vrij met elkaar communiceren. VLANs partitioneren het netwerk en scheiden het gegevensverkeer op laag 2 van het OSI-model. En als u wilt dat hosts en andere apparaten tussen VLANs kunnen communiceren, is een laag-3-apparaat absoluut onontbeerlijk. Maar dat wist u al: blader maar eens terug naar passage waarin is uitgelegd waarom er nog steeds routers nodig zijn. Om apparaten uit verschillende VLANs te laten communiceren kunt u een router gebruiken die een interface heeft voor elke VLAN of een router die ISL-routing ondersteunt. De goedkoopste router die ISL-routing ondersteunt, is de router uit de 2600-serie. De 1600-, 1700-, en 2500-series ondersteunen ISL-routing niet. Figuur 6.7 laat zien dat als het gaat om het koppelen van slechts een paar VLANs (twee of drie), een router met twee of drie 10BaseT- of FastEthernet-aansluitingen voldoende is. 10BaseT is niet slecht, maar ik raad FastEthernet aan – dat werkt uitstekend.


297

Router met afzonderlijke VLAN-koppelingen

Een router verbindt drie VLANs tot èeen netwerk waarover inter-VLANcommunicatie kan plaatsvinden. Elke VLAN heeft een eigen intenface.

Zoals figuur 6.7 laat zien, is elke router-interface op een access link aangesloten. Dit betekent dat het standaardgateway-adres voor elke host in een VLAN gelijk is aan het IP-adres van de interface van de router waarop dat VLAN is aangesloten. Als u meer VLANs dan router-interfaces hebt, kunt u of ISL-routing op één FastEthernet-interface draaien, of een ‘route switch module’ (RSM) kopen voor een switch uit de 5000-serie. De RSM kan tot 1.005 VLANs ondersteunen en draait op de backplane van de switch. In plaats van een router-interface te gebruiken voor elk VLAN, kunt u ook een FastEthernet-interface gebruiken en ISL-routing toepassen. Figuur 6.8 laat zien hoe een FastEthernet-interface op een router eruitziet als die met ISL-routing geconfigureerd wordt. Dit stelt alle VLANs in staat te communiceren via één interface. Cisco noemt dit ‘een router-op-een-stokje’. Figuur 6.8

Router-op-een-stokje

Een router verbindt alle VLANs tot eèen netwerk waarover inter-VLANcommunicatie kan plaatsvinden. Er wordt maar een router-interface gebruikt ("router-op-een-stokje": router on a stick.)


298

6.6 Samenvatting In dit hoofdstuk maakte u kennis met de wereld van virtuele LANs en leerde u hoe Cisco-switches die gebruiken. We hebben het al gehad over hoe VLANs broadcastdomeinen scheiden in een geswitch internetwerk. Dit is belangrijk omdat laag-2 switches alleen collision-domeinen scheiden. Normaal gesproken vormen alle switches samen één groot broadcast-domein. Ook de ‘trunked’ VLANs over een FastEthernetlink zijn behandeld. Trunking is een essentiële technologie die u goed moet begrijpen als u te maken hebt met een netwerk met meerdere switches die verschillende VLANs besturen. Ook het Virtual Trunk Protocol (VTP) is aan de orde geweest. Dit protocol heeft eigenlijk niets te maken met trunking. U hebt geleerd dat VTP de VLAN-informatie over een ‘trunked’ link stuurt, maar dat de trunkconfiguratie zelf geen onderdeel is van VTP.

6.7 Kernbegrippen Voordat u aan het examen deelneemt moet u de volgende begrippen kennen: access link collision-domein plat netwerk statische VLAN trunk link VLAN Trunk Protocol (VTP) broadcast-domein dynamische VLAN ISL-routing switch fabric virtuele LAN

Appendix

B

De Catalyst 1900switch configureren

D

e 1900-switch is een low-end model van de Cisco Catalyst-switch. Er zijn nog twee verwante modellen van de Catalyst 1900-switch: de 1912 en de 1924. De 1912-switches hebben 12 10BaseT-poorten en de 1924-switches hebben 24 10BaseTpoorten. Elk heeft twee 100mbps uplinks – twisted-pair of glasvezel. Omdat de 1900-switch nu een versie van het Cisco IOS kan aansturen, kunt u deze gebruiken om te leren hoe de switch-producten van Cisco werken. Nog niet alle Cisco-switches kunnen een versie van het IOS aansturen, maar in de toekomst zal dit wel mogelijk zijn. In deze appendix leert u hoe u een Cisco Catalyst 1900-switch start en configureert met behulp van de Command-Line Interface (CLI). Eerst wordt behandeld hoe u een console-kabel aansluit, daarna wat er gebeurt wanneer een 1900-switch gaat werken. Nadat u hebt geleerd een console-kabel aan de switch te koppelen en de switch in werking te stellen, maakt u kennis met de meest voorkomende configuratieopdrachten die gebruikt worden voor de 1900-switch. Na de basisopdrachten komt aan de orde hoe naast ISL-routeren en virtuele trunkprotocollen (VTP) virtuele LANs (VLANs) op de switch geconfigureerd kunnen worden. In deze appendix komt onder meer aan de orde: • Wachtwoorden instellen • De host-naam instellen • Het IP-adres en het subnetmasker configureren • De interfaces identificeren • Een beschrijving op de interfaces instellen • De poort-duplex van een poort definiëren • De configuratie controleren • De MAC-adrestabel beheren • Permanente en statische MAC-adressen instellen • Poortbeveiliging configureren • De opdracht show version beschrijven


521

• Het LAN-switch-type wijzigen • VLANs configureren • VLAN-memberships aan switch-poorten toevoegen • Een VTP-domein maken • Trunking configureren • Snoeien (pruning) configureren Achter in de appendix treft u praktijk- en theorielessen en toetsvragen aan, zodat u volop mogelijkheden hebt het geleerde over de 1900-switch-configuratie toe te passen.

Het configureren van de 1900-switch is geen onderdeel van het CCNA-examen. U zult echter merken dat u de stof die in deze appendix aan de orde komt wel tijdens uw werk nodig hebt. Bovendien zult u meer van de Cisco technologie begrijpen naarmate u meer kennis heeft van de 1900, wat uw examenresultaten zeker ten goede zal komen.

B.1 Kenmerken van de 1900-switch Met een CLI kan de Catalyst 1900-switch het Cisco Internetworking Operating System (IOS) op de switch configureren. Voor de CLI beschikbaar was kon de 1900switch alleen via een menusysteem worden geconfigureerd. Door de CLI lijkt het configureren van de switch veel op het configureren van een router. De Cisco Catalyst 5000-serie, één van de higher-end modellen, is set-based, wat betekent dat u de opdracht set gebruikt om de router te configureren. In dit boek worden alleen de configuratie-opdrachten voor de Catalyst 1900-switch behandeld. Er zijn twee types besturingssystemen die op Cisco-switches draaien: IOS-based In dit systeem configureert u de switch vanuit een CLI die lijkt op Cisco-routers. Catalyst 1900-, 2820- en 2900-switches kunnen met een IOS-based CLI worden gebruikt, maar ze kunnen ook door middel van een menusysteem worden ingesteld. Set-based Dit systeem gebruikt oudere set-based CLI configuratie-opdrachten. De Ciscoswitches die de set-based CLI gebruiken zijn de 2926-, 1948G-, 4000-, 5000- en 6000-serie.

Appendix B • De Catalyst 1900-switch configureren

522

De 1900-switch is belangrijk omdat u er een CLI met IOS-based opdrachten mee kunt laten draaien op een goedkopere switch dan de 5000-serie. De 1900-switches zijn uitermate geschikt voor iemand met een kantoor aan huis of voor andere kleine kantoren waar u kunt volstaan met 10mbps switched poorten en 100mbps uplinks.

B.1.1

De drie configuratiemogelijkheden De Catalyst-switch gebruikt een CLI die nog het meest lijkt op de router-configuratie die in hoofdstuk 4 is besproken. U kunt de switch echter ook configureren met een web-based methode door middel van de Visual Switch Manager (VSM). Om de switch met de VSM te configureren voert u het IP-adres van de switch op een Web-browser in. Verderop in deze appendix leert u hoe u een IP-adres aan de switch moet koppelen. De 1900-switches beschikken ook over het oorspronkelijke menusysteem waarmee u de switch door een serie menu-based opties kunt configureren. Om de switch met Telnet of VSM te configureren moet er een IP-adres op de switch zijn geconfigureerd.

B.1.2

Verbinding maken met de console-poort Achter op de 1900-switch zit een console-poort, net als bij de 2500-routers die in hoofdstuk 4 zijn behandeld. Het is een RJ-45 poort die met een kabel op een terminal kan worden aangesloten.

1924-switches worden met een nulmodem-kabeltje op de console-poort aangesloten.

Nu moet u een terminalemulatieprogramma, zoals HyperTerm in Windows starten. De instellingen voor dit programma zijn als volgt: • 9600 bps • Aantal databits: 8 • Pariteit (parity): geen • Aantal stop-bits: 1 • Flow control:

geen

Sluit geen Ethernet-, ISDN- of een onder spanning staande telefoonkabel aan op de console-poort, omdat hierdoor de elektronica van de switch beschadigd kan worden.


B.1.3

523

De 1900-switch starten Voor u de switch voor het eerst inschakelt, moet u nagaan of de volgende handelingen correct zijn uitgevoerd: • Alle netwerkkabels zijn goed aangesloten. • Er is een terminal op de console-poort aangesloten. • U hebt de software van de terminal juist geconfigureerd. Wanneer dit allemaal in orde is, sluit u de spanningskabel op de switch aan. Bekijk de reeks met kleine lichtjes. Controleer vervolgens de uitvoer op de console. In figuur B.1 staat een afbeelding van de 1900-switch en de plaats van de Light Emitting Diodes (LEDs).

Figuur B.1

Catalyst 1900-switch Catalyst 1900 10BaseT

100BaseTX


1x

2x

3x

4x

5x

6x

7x

8x

9x

10x

11x

12x

13x

14x

15x

16x

17x

18x

19x

20x

21x

22x

23x

24x

Ax

Bx

STAT UTL FDUP

MODE

Een groen systeem-LED verschijnt wanneer de switch werkt. Zodra er een systeemfout optreedt, wordt het licht oranje. De RPS is een redundante stroomvoorzieningsindicator die aangaat als er een RPS in de switch is ontstaan. De enige knop op de 1900-switch is de modusknop. Door op de modusknop te drukken verschijnen drie verschillende statusindicatoren op de switch: Stat Dit licht geeft de status van de poorten weer. Als het groen is, wil dat zeggen dat er een apparaat op de switch is aangesloten. Groen betekent actief en een groen knipperend licht wil zeggen dat er activiteit op de poort is. Als het licht van de poort oranje wordt, is er een verbindingsfout opgetreden. UTL Dit licht geeft de bandbreedte van de switch aan. Als u op de modusknop van een 1912-switch drukt en de LEDs voor de poorten 1 tot en met 4 aangaan, betekent dit dat de switch een bandbreedte van tussen de 0.1 and 1.5mbps gebruikt. Als de LEDs 5 tot en met 8 aangaan, wordt een bandbreedte tussen de 1.5 and 20mbps gebruikt. Lichtjes 9 tot en met 12 duiden op een bandbreedte tussen de 20 en 120mbps. FDUP Dit licht geeft aan welke poorten met full duplex geconfigureerd zijn.


524

Als de 1900-switch voor het eerst wordt ingeschakeld, doet deze eerst een poweron self test (POST). Aan het begin hiervan zijn alle poort-LEDs groen. Als de POST klaar is, gaan de LEDs weer uit. Wordt er een fout geconstateerd op een van de poorten door de POST, dan worden zowel de systeem-LED als de poort-LED oranje. Als er geen fout wordt gesignaleerd beginnen alle LEDs eerst te knipperen, waarna ze uitgaan. Nadat de POST is afgelopen en u een console-kabel op de switch hebt aangesloten, verschijnt het hieronder afgebeelde menu. Door op K te drukken kunt u de Command-Line Interface (CLI) gebruiken, en door op M te drukken kunt u de switch configureren via een menu-systeem. Drukt u op I dan kunt u de IP-configuratie van de switch configureren. Dit kunt u echter ook te allen tijde via het menu of de CLI doen. Als de IP-configuratie is ingesteld, verschijnt de I-selectie niet meer op het scherm. De hieronder afgebeelde uitvoer van de switch is de uitvoer die op het consolescherm komt nadat de switch is ingeschakeld. 1 user(s) now active on Management Console. User Interface Menu [M] Menus [K] Command Line [I] IP Configuration Enter Selection:

K

CLI session with the switch is open. To end the CLI session, enter [Exit]. >

B.1.4

Verbinding maken met een Ethernet-poort De Catalyst switches uit de1900-serie hebben standaard poorttypes. Deze zijn niet modulair, zoals die van de 5000-serie. De 1900-switches gebruiken alleen 10BaseTpoorten voor werkstations en 100BaseT of FX voor uplinks. Elke switch heeft ofwel twaalf (model 1912) of 24 (model 1924) 10BaseT switch-poorten, elk met één of twee FastEthernet-plinks. De 100BaseX-poorten worden poorten A en B genoemd. Om de poorten aan te sluiten op een uplink hebt u een crossover-kabel nodig. Helaas bestaat er geen knop voor deze functie.

Wanneer u apparaten zoals werkstations, servers, printers en routers aan de switch verbindt, hebt u een straight-through-kabel nodig. Voor de verbinding tussen switches gebruikt u een crossover-kabel.


525

Als een apparaat met een poort is verbonden, gaat de poort-status LED aan. Als het licht niet aangaat, kan de oorzaak zijn dat het andere apparaat is uitgeschakeld of dat er een probleem met de kabel is. Als het licht blijft knipperen kan er een autospeed en duplex-probleem zijn. In de volgende paragraaf wordt behandeld hoe u dit kunt controleren. Als u geen apparaat met de switch heeft verbonden zal het poortlicht aangaan wanneer u start, maar daarna weer uitgaan.

B.2 Configuratie-opdrachten voor de Cisco 1900 IOS In deze paragraaf komt aan de orde hoe u de basisinstellingen op de Catalyst 1900switch kunt configureren: • De wachtwoorden instellen • De host-naam instellen • Het IP-adres en het subnetmasker configureren • De interfaces herkennen • Een beschrijving op de interfaces zetten • De duplex van een poort definiëren • De configuratie controleren • De MAC-adrestabel beheren • Een permanent en een statisch MAC-adres instellen • Poortbeveiliging instellen • De opdracht show version gebruiken • Het LAN-switchtype wijzigen

B.2.1

De wachtwoorden instellen Het eerste dat u op een switch moet configureren zijn de wachtwoorden, want u wilt natuurlijk niet dat elke willekeurige gebruiker aan de switch kan komen. U kunt wachtwoorden instellen voor zowel de beheer- als de gebruikersmodus, net als bij een router. De opdrachten hiervoor zijn echter anders. Het login-wachtwoord (voor de gebruikersmodus) kan gebruikt worden om te controleren of iemand geautoriseerd is om verbinding te zoeken met de switch, met


526

een bepaalde verbinding of met de console. Het enable-wachtwoord wordt gebruikt om iemand toegang tot de switch te geven om de configuratie te bekijken of te veranderen. Dit werkt hetzelfde als bij een Cisco-router.

De wachtwoorden moeten minimaal uit vier en maximaal uit acht tekens bestaan. Het maakt niet uit of u hoofdletters of kleine letters gebruikt.

Hoewel de 1900-switch een CLI gebruikt om een IOS aan te sturen, zijn de opdrachten voor de gebruikers- en de enable-modus anders dan bij een router. U kunt de opdracht enable password gebruiken, omdat deze hetzelfde is, maar u kiest andere toegangsniveaus. Deze zijn op een Cisco-router optioneel, maar niet op de 1900-switch.

Wachtwoorden voor de gebruikersmodus en de enable-modus instellen Op de 1900-switch gebruikt u dezelfde opdracht om het wachtwoord voor de gebruikersmodus in te stellen als voor de enable-modus. Wel gebruikt u opdrachten op verschillende niveaus om het soort toegang te bepalen waar ieder wachtwoord recht op geeft. Om de wachtwoorden voor de gebruikersmodus en de enable-modus te configureren, drukt u op K als u de uitvoer van de switch-console op het scherm ziet. Ga naar de enable-modus met de opdracht enable en ga vervolgens naar de globalconfiguratiemodus met de opdracht config t. Het volgende voorbeeld laat zien hoe u naar de enable-modus en vervolgens naar de global-configuratiemodus gaat. 1 user(s) now active on Management Console. User Interface Menu [M] Menus [K] Command Line [I] IP Configuration Enter Selection:

K

CLI session with the switch is open. To end the CLI session, enter [Exit]. >enable #config t Enter configuration commands, one per line. (config)#

End with CNTL/Z


527

Zit u eenmaal in de global-configuratiemodus dan kunt u de wachtwoorden voor de gebruikersmodus en de enable-modus instellen met de opdracht enable password. De volgende uitvoer laat de configuratie zien van de wachtwoorden van de gebruikersmodus en van de enable-modus. (config)#enable password ? level Set exec level password (config)#enable password level ? <1-15> Level number

Om het wachtwoord van de gebruikersmodus in te voeren, gaat u naar niveau 1. Om het wachtwoord van de enable-modus in te voeren gaat u naar niveau 15. Denk eraan dat het wachtwoord ten minste uit vier tekens moet bestaan, maar dat het niet langer dan acht tekens mag zijn. In het volgende voorbeeld ziet u dat een wachtwoord voor de gebruikersmodus wordt ingevoerd en afgewezen omdat het uit meer dan acht tekens bestaat. (config)#enable password level 1 toddlammle Error: Invalid password length. Password must be between 4 and 8 characters

Het volgende voorbeeld laat zien hoe u de wachtwoorden van zowel de gebruikersmodus als van de enable-modus op de 1900-switch kunt instellen. (config)#enable password level 1 todd (config)#enable password level 15 todd1 (config)#exit #exit CLI session with the switch is now closed. Press any key to continue.

Nu kunt u op Enter drukken om uw wachtwoorden te testen. Als u op K drukt, wordt er naar het wachtwoord van de gebruikersmodus gevraagd. Als u enable typt wordt naar het wachtwoord van de enable-modus gevraagd. Nadat u de configuratiemodus én de beheermodus hebt verlaten, verschijnt het volgende scherm. U ziet dat wanneer u op K drukt, de switch om een wachtwoord voor de gebruikersmodus vraagt. Catalyst 1900 Management Console Copyright (c) Cisco Systems, Inc. 1993-1998 All rights reserved. Enterprise Edition Software Ethernet Address: 00-30-80-CC-7D-00 PCA Number: 73-3122-04 PCA Serial Number: FAB033725XG


528

Model Number: WS-C1912-A System Serial Number: FAB0339T01M Power Supply S/N: PHI031801CF PCB Serial Number: FAB033725XG,73-3122-04 --------------------------------------------1 user(s) now active on Management Console. User Interface Menu [M] Menus [K] Command Line Enter Selection: K Enter password: **** CLI session with the switch is open. To end the CLI session, enter [Exit]. >en Enter password: **** #

In het voorbeeld ziet u dat wanneer u en typt, (dit is de afkorting van de opdracht enable) het systeem om het wachtwoord voor de enable-modus vraagt.

Het is essentieel dat u de wachtwoorden die u gebruikt, goed onthoudt, want de 1900switch heeft geen wachtwoordrecovery. Als u het wachtwoord onverhoopt toch vergeet, moet u Cisco bellen. Zij kunnen het probleem voor u oplossen.

U hebt de wachtwoorden voor de gebruikersmodus en de enable-modus nu ingesteld. Dan is er nog een wachtwoord: dat van de enable-beheermodus.

Het wachtwoord voor de enable-beheermodus instellen Het wachtwoord voor de enable-beheermodus is heel belangrijk omdat het voorrang krijgt boven de wachtwoorden voor de enable-modus. Dit wachtwoord wordt op dezelfde manier ingesteld als dat van van de beheermodus op de router. Als u het wachtwoord voor de beheermodus heeft ingesteld, hebt u eigenlijk geen wachtwoord voor de enable-modus nodig. (config)#enable secret todd2

Op de 1900-switch mag u dezelfde opdrachten voor enable password en enable secret gebruiken, maar op de router mag dat niet. Met de opdracht show running-config (verkort show run) kunt u de huidige configuratie van de switch bekijken.


529

#sh run Building configuration... Current configuration: enable secret 5 $1$FMFQ$wFVYVLYn2aXscfB3J95.w. enable password level 1 “TODD” enable password level 15 “TODD1”

U ziet dat de wachtwoorden van de enable-modus niet standaard zijn versleuteld, die van de enable-beheermodus wel. Dit is dezelfde wachtwoord-configuratietechniek als die van de router. Belangrijk om te weten is dat hoewel de wachtwoorden nu met kleine letters werden ingetikt, ze door running-config in hoofdletters worden weergegeven. Het maakt dus niet uit of u hoofdletters of kleine letters gebruikt. Dit heeft geen invloed op de wachtwoorden.

B.2.2

De host-naam instellen De host-naam op de switch heeft – net als die op de router – alleen plaatselijke betekenis. Dit houdt in dat het wachtwoord geen functie op het netwerk en geen invloed op de naamresolutie heeft. Het is echter wel handig om een host-naam op de switch te zetten, zodat u deze kunt herkennen wanneer u er verbinding mee hebt. Daarom is het een goed idee de switch een naam te geven die verband houdt met de locatie ervan. De opdracht waarmee u de host-naam van de 1900-switch instelt is dezelfde als die van de router: hostname (Denk eraan dat dit maar één woord is). Onderstaand ziet u de uitvoer van de switch op het console-scherm. Doe als volgt: • Druk op K om naar de gebruikersmodus te gaan,. • Typ het wachtwoord. • Typ de opdracht enable. • Typ het wachtwoord van de enable-beheermodus. In de globalconfiguratiemodus typt u dan de opdracht hostname hostname. 1 user(s) now active on Management Console. User Interface Menu [M] Menus [K] Command Line [I] IP Configuration Enter Selection: K


530

Enter password: **** CLI session with the switch is open. To end the CLI session, enter [Exit]. >en Enter password: **** #config t Enter configuration commands, one per line. (config)#hostname Todd1900EN Todd1900EN(config)#

End with CNTL/Z

U merkt dat de host-naam van de switch verschijnt zodra u op Enter hebt gedrukt. Denk eraan dat de running-config vanuit de global-configuratiemodus is veranderd. (Weet u nog dat u met de opdracht config t naar de global-configuratiemodus kunt gaan?) Alle veranderingen die u in deze modus aanbrengt, worden direct doorgevoerd.

B.2.3

IP-informatie instellen U hoeft geen IP-configuratie op de switch in te stellen om de switch operationeel te maken. Zodra de apparaten aangesloten zijn, werken ze, net als bij een hub. Toch zijn er twee redenen om IP-adresinformatie op de switch in te stellen. Ten eerste omdat u de switch dan met Telnet of met andere beheersoftware kunt beheren. Ten tweede om ervoor te zorgen dat u de switch met verschillende VLANs and andere netwerkfuncties kunt configureren. VLANs komen in hoofdstuk 6 aan de orde. Op de Catalyst 1900-switch staan bij aankoop al een aantal instellingen standaard geprogrammeerd. Het gaat om de volgende instellingen: IP adres and standaard gateway: 0.0.0.0 CDP: Enabled Switch modus: FragmentFree 100BaseT-poorten: Auto-negotiate duplex modus 10BaseT-poorten: Half duplex Spanning Tree: Enabled Console-wachtwoord: Niet ingesteld Standaard is er geen IP-adres of standaard gateway ingesteld. Normaal gesproken stelt u zowel het IP-adres als de standaard gateway op een laag-2 switch in (net als op elke andere host). Met de opdracht show ip (of sh ip), kunt u de standaard IPconfiguratie op de switch bekijken.


531

Todd1900EN#sh ip IP Address: 0.0.0.0 Subnet Mask: 0.0.0.0 Default Gateway: 0.0.0.0 Management VLAN: 1 Domain name: Name server 1: 0.0.0.0 Name server 2: 0.0.0.0 HTTP server : Enabled HTTP port : 80 RIP : Enabled

In de uitvoer hierboven zijn geen IP-adres, standaard gateway, of andere IPparameters geconfigureerd. Om de IP-configuratie op een 1900-switch in te stellen gebruikt u de opdracht ip address. De standaard gateway moet ook worden ingesteld met de opdracht ip default-gateway. Het voorbeeld laat zien hoe het IP-adres en de standaard gateway op een 1900switch worden ingesteld. Todd1900EN#config t Enter configuration commands, one per line. End with CNTL/Z Todd1900EN(config)#ip address 172.16.10.16 255.255.255.0 Todd1900EN(config)#ip default-gateway 172.16.10.1 Todd1900EN(config)#

Als u de IP-informatie hebt ingesteld, kunt u met de opdracht show ip uw wijzigingen controleren. Todd1900EN#sh ip IP Address: 172.16.10.16 Subnet Mask: 255.255.255.0 Default Gateway: 172.16.10.1 Management VLAN: 1 Domain name: Name server 1: 0.0.0.0 Name server 2: 0.0.0.0 HTTP server : Enabled HTTP port : 80 RIP : Enabled Todd1900EN#

Om het IP-adres en de standaard gateway op de switch te veranderen kunt u nieuwe adressen invoeren, maar u kunt ook de IP-informatie verwijderen met de opdrachten no ip address en no ip default-gateway.


532

B.2.4

Switch-interfaces configureren Het is belangrijk dat u begrijpt hoe u toegang krijgt tot de switch-poorten. Bij de 1900-switch gebruikt u de opdracht type slot/port. Ethernet 0/3 is bijvoorbeeld 10BaseT poort 3. Nog een voorbeeld is FastEthernet 0/26. Dit is de eerste van de twee FastEthernet-poorten die op de 1900-switch beschikbaar zijn. De opdracht type slot/port voor de 1900-switch kan zowel met de opdracht interface of met de opdracht show worden gebruikt. Met de opdracht interface kunt u specifieke interface-configuraties instellen. De 1900-switch heeft maar één slot: zero (0). De helpschermen die bij de configuratie van de interfaces horen, zijn niet volledig. De helpschermen laten wel zien dat de poorten 1 tot en met 25 voor Ethernet bestemd zijn. De poorten 26 en 27 zijn alleen voor FastEthernet. Een 1912 beschikt echter slechts over de poorten 1 tot en met 12, en aan de achterkant poort 25. Dit is een Attachment Unit Interface (AUI), een adapter om switches met elkaar te verbinden of om de 1900-switch op een coax Ethernet-netwerk aan te sluiten.

De 10BaseT-interfaces configureren Om een interface op een 1900-switch te configureren, gaat u naar de globalconfiguratiemodus. U geeft de opdracht interface. De helpschermen die u dan te zien krijgt beschrijven de type slot/port configuratiemethode. In de globalconfiguratiemodus gebruikt u de opdracht interface plus het type: Ethernet of FastEthernet-interface. Hierna ziet u een demonstratie van de Ethernet-interfaceconfiguratie. Todd1900EN#config t Enter configuration commands, one per line. Todd1900EN(config)#int ethernet ? <0-0> IEEE 802.3

End with CNTL/Z

U ziet dat om ‘het slot’ wordt gevraagd. Omdat de 1900-switch niet modulair is, is er maar één slot. Onderstaand zorgt een slash (/) ervoor dat de slot van de poortconfiguratie wordt gescheiden. Todd1900EN(config)#int ethernet 0? / Todd1900EN(config)#int ethernet 0/? <1-25> IEEE 802.3

In dit voorbeeld wordt na de configuratieopdracht 0/ het aantal te configureren poorten getoond. Als u echter alleen een 1912-switch hebt, beschikt u slechts over de


533

poorten 1 tot en met 12, over poort 25 op de achterzijde van de switch en over de poorten 26 en 27 als de 100mbps-uplinks. De FastEthernet-poorten komen niet in het voorbeeld voor, omdat het Ethernet-interface-type is gekozen. Todd1900EN(config)#int ethernet 0/1

Als u toegang hebt tot de interface-configuratie, verandert de prompt in (config-if). Vanaf de interface-prompt kunt u de help-opdrachten gebruiken om de beschikbare opdrachten te zien. Todd1900EN(config-if)#? Interface configuration commands: cdp Cdp interface subcommands description Interface specific description duplex Configure duplex operation exit Exit from interface configuration mode help Description of the interactive help system no Negate a command or set its defaults port Perform switch port configuration shutdown Shutdown the selected interface spantree Spanning tree subsystem vlan-membership VLAN membership configuration

In de global-configuratiemodus kunt u te allen tijde heen een weer schakelen van en naar de interface-configuratie. U doet dit met de opdracht int e 0/#.

FastEthernet-interfaces configureren Om de twee FastEthernet-poorten te configureren gebruikt u ook opdracht type slot/port. Hier is het type niet Ethernet maar FastEthernet. Bijvoorbeeld: interface fastethernet 0\#. Het onderstaande voorbeeld toont de configuratie van een FastEthernet-poort op de 1900-switch. U ziet dat de opdracht interface fastethernet is, maar het slot is nog steeds 0. De enige beschikbare poorten zijn 26 en 27. Todd1900EN(config)#int fastEthernet ? <0-0> FastEthernet IEEE 802.3 Todd1900EN(config)#int fastEthernet 0/? <26-27> FastEthernet IEEE 802.3 Todd1900EN(config)#int fastEthernet 0/26 Todd1900EN(config-if)#int fast 0/27 Todd1900EN(config-if)# [control+Z]


534

Nadat u de gewenste wijzigingen op de interfaces hebt aangebracht, kunt u de interfaces nog eens bekijken met de opdracht show interface. In het volgende voorbeeld wordt de opdracht gedemonstreerd die wordt gebruikt om een 10BaseT interface te bekijken. Ook ziet u in het onderstaande voorbeeld hoe u met de opdracht een FastEthernet-interface bekijkt. Todd1900EN#sh int e0/1 Ethernet 0/1 is Suspended-no-linkbeat Hardware is Built-in 10Base-T Address is 0030.80CC.7D01 MTU 1500 bytes, BW 10000 Kbits 802.1d STP State: Forwarding Forward Transitions: 1 [uitvoer verwijderd] Todd1900EN#sh int f0/26 FastEthernet 0/26 is Suspended-no-linkbeat Hardware is Built-in 100Base-TX Address is 0030.80CC.7D1A MTU 1500 bytes, BW 100000 Kbits 802.1d STP State: Blocking Forward Transitions: 0 [uitvoer verwijderd]

B.2.5

Interfacebeschrijvingen configureren U kunt op elke interface op de 1900-switch administratief een naam instellen. Net als de host-naam heeft die beschrijving slechts lokaal betekenis. Bij de switch uit de 1900-serie gebruikt u de opdracht description. In de opdracht description mogen geen spaties voorkomen, maar u mag wel een teken onderstrepingstekens voorkomen.

Beschrijvingen instellen Om de beschrijvingen in te stellen gaat u naar de interface-configuratiemodus. In de interface-configuratiemodus gebruikt u de opdracht description om elke interface te beschrijven. De beschrijvingen mogen uit meer dan één woord bestaan, maar er mogen geen spaties in staan. In dat geval moet u een onderstrepingstekens gebruiken. Todd1900EN#config t Enter configuration commands, one per line. End with CNTL/Z Todd1900EN(config)#int e0/1 Todd1900EN(config-if)#description Finance_VLAN Todd1900EN(config-if)#int f0/26 Todd1900EN(config-if)#description trunk_to_Building_4 Todd1900EN(config-if)#


535

In dit voorbeeld is de beschrijving op zowel een 10mbps-poort als op een 100mbps-poort ingesteld.

Beschrijvingen bekijken Als u de interfaces een beschrijving hebt gegeven, kunt u die beschrijvingen bekijken met de opdracht show interface of met de opdracht show running-config. Todd1900EN#sh int e0/1 Ethernet 0/1 is Suspended-no-linkbeat Hardware is Built-in 10Base-T Address is 0030.80CC.7D01 MTU 1500 bytes, BW 10000 Kbits 802.1d STP State: Forwarding Forward Transitions: Port monitoring: Disabled Unknown unicast flooding: Enabled Unregistered multicast flooding: Enabled Description: Finance_VLAN Duplex setting: Half duplex Back pressure: Disabled

1

Todd1900EN#sh run Building configuration... Current configuration: hostname “Todd1900EN” ! ip address 172.16.10.16 255.255.255.0 ip default-gateway 172.16.10.1 ! interface Ethernet 0/1 description “Finance_VLAN” ! [uitvoer verwijderd]

Als u de uitvoer van de switch bekijkt, ziet u dat de opdracht sh int e0/1 en de opdracht show run beide de op een interface is ingesteld opdracht description laten zien.

B.2.6

De poort-duplex configureren De 1900-switch beschikt slechts over 12 of 24 10BaseT-poorten en één of twee FastEthernet-poorten. Duplex kan alleen maar op de 1900-switch worden ingesteld


536

omdat alle poorten over een standaard snelheid beschikken. In een interfaceconfiguratie gebruikt u de opdracht duplex. Een volgende voorbeeld dat de op de Fast-Ethernet-poorten beschikbare opties laat zien: Todd1900EN(config)#int f0/26 Todd1900EN(config-if)#duplex ? auto Enable auto duplex configuration full Force full duplex operation full-flow-control Force full duplex with flow control half Force half duplex operation Todd1900EN(config-if)#duplex full

Tabel B.1 toont de verschillende duplex-opties die de 1900-switches bieden. De 1900 FastEthernet-poorten bieden standaard auto duplex. Dit betekent dat zij automatisch proberen op te sporen welke duplex aan de andere kant actief is. Dit lukt niet altijd, en daarom is het verstandig om een FastEthernet-poort op half-duplex in te stellen. Tabel B.1

Duplex-opties PARAMETER

OMSCHRIJVING

Auto

Stelt de poort in op auto-negotiation modus. Standaard voor alle 100BaseTX-poorten. Forceert de 10 of 100mbps-poorten in de full-duplexmodus. Werkt alleen met 100BaseTX-poorten, gebruikt flow control zodat de buffers niet overlopen. Standaard voor 10BaseT-poorten, forceert de poorten alleen in de half-duplex modus te werken.

Full Full-flow-control Half

Als de duplex-configuratie is ingesteld, kunt u deze met de opdracht show interface bekijken. Todd1900EN#sh int f0/26 FastEthernet 0/26 is Suspended-no-linkbeat Hardware is Built-in 100Base-TX Address is 0030.80CC.7D1A MTU 1500 bytes, BW 100000 Kbits 802.1d STP State: Blocking Forward Transitions: Port monitoring: Disabled Unknown unicast flooding: Enabled Unregistered multicast flooding: Enabled Description: trunk_to_Building_4

0


537

Duplex setting: Full duplex Back pressure: Disabled

In dit voorbeeld is full duplex geconfigureerd.

B.2.7

De IP-verbindingen controleren Het is belangrijk om de IP-configuratie van de switch te testen. Voor de 1900-switch kan dat met het programma Ping of met Telnet. Het is echter niet mogelijk om vanaf de 1900-switch Telnet of Traceroute te gebruiken. In het volgende voorbeeld wordt een host op het netwerk vanaf de 1900 CLI gepingd. Een uitroepteken (!) wijst erop dat de ping succesvol verliep. Ziet u echter alleen punten (.) en geen uitroeptekens, dan is er iets misgegaan. Todd1900EN#ping 172.16.10.10 Sending 5, 100-byte ICMP Echos to 172.16.10.10, time out is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max 0/2/10/ ms Todd1900EN#telnet 172.16.10.10 ^ % Invalid input detected at ‘^’ marker.

In dit Telnet-voorbeeld ziet u een foutmelding. Die verschijnt omdat er een poging werd gedaan Telnet te gebruiken vanaf de 1900-switch. Zoals reeds opgemerkt is dit niet mogelijk. Het is wel mogelijk Telnet naar de switch toe te gebruiken, mits IP goed is geconfigureerd.

B.2.8

De configuratie van de switch wissen De configuratie van de switch is in het NVRAM opgeslagen, net als die van alle routers. Het is niet mogelijk de startup-config of de inhoud van het NVRAM te bekijken. U kunt alleen de running-config bekijken. Wanneer u iets wijzigt in de running-config van de switches, kopiëren de switches de nieuwe configuratie automatisch naar het NVRAM. Dit is anders dan bij een router, waar u zelf copy running-config startup-config moet intikken. De 1900-switch heeft die optie niet. U kunt de configuratie in het NVRAM op de 1900-switch wissen als u de configuratie van de switch ingrijpend wilt veranderen. Met de opdracht delete nvram wist u de hele inhoud van het NVRAM op de 1900-switch.


538

Als u het volgende voorbeeld bekijkt, ziet u twee opties: nvram and vtp. Het voorbeeld toont hoe u de inhoud van het NVRAM kunt wissen. De instellingen die bij aankoop standaard in het NVRAM stonden, blijven over. Todd1900EN#delete ? nvram NVRAM configuration vtp Reset VTP configuration to defaults Todd1900EN#delete nvram This command resets the switch with factory defaults. All system parameters will revert to their default factory settings. All static and dynamic addresses will be removed. Reset system with factory defaults, [Y]es or [N]o? Yes

Let op het bericht dat u van de switch krijgt als u de opdracht delete nvram typt. Zodra u [Y]es typt is de configuratie gewist.

B.2.9

De MAC-adressentabel beheren Weet u nog hoe bridges en switches een netwerk filteren? Door middel van de MAC(hardware-)adressen die in de netwerk interface kaart (NIC) van de host zijn gebrand beslissen ze wat moet worden doorgezonden en wat niet. De switches maken een MAC-tabel waarin dynamische, permanente en statische adressen zijn opgenomen. Deze filtertabel wordt gemaakt doordat hosts een frame sturen, waarop de switch de bron opslaat van het MAC-adres, uit welk segment het afkomstig is en door welke poort het werd ontvangen. De switch blijft nieuwe MAC-adressen toevoegen die via het netwerk in de MACfiltertabel terecht komen. Telkens als er hosts worden toegevoegd of gewist, werkt de switch actief de MAC-filtertabel bij. Als er een apparaat wordt weggehaald, of als het een tijdje niet met de switch is verbonden, zal de switch de gegevens na een bepaalde tijd wissen. De filtertabel van de switch kunt u bekijken met de opdracht show macaddress-table. Een voorbeeld: Todd1900EN#sh mac-address-table Number of permanent addresses : 0 Number of restricted static addresses : 0 Number of dynamic addresses : 4 Address 00A0.246E.0FA8 0000.8147.4E11 0000.8610.C16F 00A0.2448.60A5

Dest Interface Ethernet 0/2 Ethernet 0/5 Ethernet 0/1 Ethernet 0/4

Type Dynamic Dynamic Dynamic Dynamic

Source Interface List All All All All


539

De adressen in de tabel zijn van alle vier hosts die met de 1900-switch zijn verbonden. Het zijn alle dynamic entries. Dit betekent dat de switch naar het bronadres van het frame heeft gekeken toen het de interface binnenkwam en vervolgens het adres in de filtertabel heeft opgenomen. U ziet dat er hosts op de interfaces 1, 2, 4 en 5 zijn. De Catalyst 1900-switch kan maximaal 1.024 MAC-adressen in de filtertabel opslaan. Als de MAC-filter vol raakt, zal de switch geen nieuwe adressen meer opnemen totdat één van de oude adressen wordt verwijderd. U kunt ook zelf de MAC-filtertabel fatsoeneren met de opdracht clear macaddress-table. U kunt dynamische, permanente en een aantal statische adressen wissen. Het volgende voorbeeld toont de diverse opties die u hebt als wanneer u de opdracht clear mac-address-table geeft. #clear mac-address-table ? dynamic Clear 802.1d dynamic address permanent Clear 802.1d permanent addresses restricted Clear 802.1d restricted static address

B.2.10

Permanente en statische MAC-adressen instellen Beheerders kunnen permanente adressen specifiek toewijzen aan een switch-poort. Deze adressen worden nooit na een bepaalde tijd gewist. Dit kunt u dus doen om een poort te beveiligen. Dat betekent dat de switch-poort het niet doet, tenzij u er speciaal een hardware-adres op de switch-poort voor configureert. Beheerders kunnen ook statische gegevens op de switch invoeren. Deze gegevens maken een pad voor een bron-hardware-adres. Dit kan heel beperkend werken, dus moet u voorzichtig zijn wanneer u statische gegevens invoert. Immers u sluit op deze manier de switch min of meer af als u de configuratie niet heel zorgvuldig opstelt.

Permanente MAC-adresgegevens instellen Met de global-configuratie-opdracht mac-address-table permanent [macaddress] [interface] kunt u u een permanent MAC-adres op een switch-poort configureren. In het gegeven voorbeeld staan de volgende opties: Aging-time Dit kan worden gebruikt om de periode dat een MAC-adres in de filtertabel mag blijven staan te veranderen.


540

Permanent Dit stelt een permanent adres op een interface in. Als de gebruiker de host NICkaart vervangt, doet de host het niet tot u de permanente adresgegevens verandert. Beperkt (Restricted) Dit wordt gebruikt met de statische opdracht om een pad voor de bron-hardware adressen in te stellen. Dit stelt zeer strikte beperkingen aan de plaatsen waarnaartoe een host een frame kan sturen. Om een permanent hardware-adres op een interface te configureren gebruikt u de opdracht mac-address-table permanent in de global-configuratiemodus, zoals in: Todd1900EN#config t Enter configuration commands, one per line. End with CNTL/Z Todd1900EN(config)#mac-address-table ? aging-time Aging time of dynamic addresses permanent Configure a permanent address restricted Configure a restricted static address

Nadat u de opdracht mac-address-table permanent hebt gegeven, voert u het hardware-adres in en de interface waarbij dit hoort. Hiermee zorgt u ervoor dat de interface alleen frames accepteert vanuit dit bron-hardware-adres. Todd1900EN(config)#mac-address-table permanent ? H.H.H 48 bit hardware address Todd1900EN(config)#mac-address-table permanent 00A0.2448.60A5 e0/4

Als u de gegevens hebt geconfigureerd kunt u ze controleren met de opdracht show mac-address-table. Todd1900EN#sh mac-address-table Number of permanent addresses : 1 Number of restricted static addresses : 0 Number of dynamic addresses : 3 Address 00A0.2448.60A5 00A0.246E.0FA8 0000.8147.4E11 0000.8610.C16F Todd1900EN#

Dest Interface Ethernet 0/4 Ethernet 0/2 Ethernet 0/5 Ethernet 0/1

Type Permanent Dynamic Dynamic Dynamic

Source Interface List All All All All

In het voorgaande voorbeeld ziet u dat interface 4 nu een permanente aanduiding heeft gekregen: hardware-adres 00A0.2448.60A5. Er kan nu geen ander apparaat


541

meer verbonden worden met interface 4 zonder dat eerst de permanente gegevens in de MAC-filter tabel worden veranderd.

Statische MAC-adresgegevens instellen U kunt de beveiliging nog verder aanscherpen. U kunt een bron-interface vertellen dat deze alleen maar frames via een bepaalde interface mag verzenden. Dit doet u met de opdracht restricted static. Deze opdracht zult u in de praktijk niet snel gebruiken. De opdracht mac-address-table restricted static zoekt twee dingen: ten eerste het hardware-adres van de bestemmingsinterface. Ten tweede de broninterface die met de betreffende bestemming mag communiceren. Nadat u de opdracht mac-address-table restricted static in de globalconfiguratiemodus heeft ingevoerd, typt u het hardware-adres van het apparaat van bestemming: Todd1900EN(config)#mac-address-table restricted static ? H.H.H 48 bit hardware address Todd1900EN(config)#mac-address-table restricted static 00A0.246E.0FA8 ? Ethernet IEEE 802.3 FastEthernet FastEthernet IEEE 802.3

Na het opgeven van het hardware-adres van de bestemming, geeft u het interfaceadres op dat is gekoppeld aan het hardware-adres van de bestemming. Todd1900EN(config)#mac-address-table restricted static 00A0.246E.0FA8 e0/2 ? Ethernet IEEE 802.3 FastEthernet FastEthernet IEEE 802.3

Na de informatie over de bestemming voert u de bron-interface in die met het bestemmingsadres mag communiceren. Todd1900EN(config)#$-table restricted static 00A0.246E.0FA8 e0/2 e0/5

Als deze opdracht klaar is, ziet u dat er drie soorten gegevens in de MACfiltertabel staan. Typ de opdracht show mac-address-table (verkort: sh mac):

542

Appendix B • De Catalyst 1900-switch configureren Todd1900EN#sh mac Number of permanent addresses : 1 Number of restricted static addresses : 1 Number of dynamic addresses : 2 Address Dest Interface Type Source Interface List -------------------------------------------------------------00A0.2448.60A5 Ethernet 0/4 Permanent All 00A0.246E.0FA8 Ethernet 0/2 Static Et0/5 0000.8147.4E11 Ethernet 0/5 Dynamic All 0000.8610.C16F Ethernet 0/1 Dynamic All Todd1900EN#

De opdracht die in het voorbeeld is gegeven heeft interface 0/5 beperkt: er worden alleen frames naar interface 0/2 gestuurd met het hardware-bestemmingsadres 00A0.246E.0FA8. Onthoudt dat u de gegevens weer kunt wissen met de opdracht clear macaddress-table [dynamic/permanent/restricted] [int dest] [int source].

B.2.11

Poortbeveiliging configureren Port security (poortbeveiliging) is een methode waarmee u ervoor kunt zorgen dat gebruikers niet zomaar een hub op hun werkplek aansluiten en zonder uw toestemming een stel hosts toevoegen. Standaard kunnen er 132 hardware-adressen op één switch-interface worden aangesloten. Om dit te veranderen gebruikt u de interface-opdracht port secure max-mac-count. Het volgende voorbeeld laat zien hoe de opdracht port secure max-mac-count op interface 0/2 wordt ingesteld zodat er slechts één gegeven kan worden ingevoerd. Todd1900EN#config t Enter configuration commands, one per line. End with CNTL/Z Todd1900EN(config)#int e0/2 Todd1900EN(config-if)#port secure ? max-mac-count Maximum number of addresses allowed on the port Todd1900EN(config-if)#port secure max-mac-count ? <1-132> Maximum mac address count for this secure port Todd1900EN(config-if)#port secure max-mac-count 1


543

De poort(en) die u beveiligt kunnen zowel statische als sticky-learned hardwareadressen gebruiken. Als de hardware-adressen op een beveiligde poort niet statisch zijn toegekend, ‘sticky-learns’ de poort het bronadres van de binnenkomende frames en wijst deze ze automatisch als permanente adressen toe. Sticky-learns is een term die Cisco gebruikt om te beschrijven hoe een poort dynamisch een hardware bronadres vindt en vervolgens een permanent record toevoegt aan de MAC-filtertabel.

B.2.12

De opdracht show version gebruiken Met de opdracht show version kunt u basisinformatie over de switch bekijken, zoals: hoe lang de switch al actief is, de IOS-versie en het basis-MAC-adres van de switch. Dit MAC-adres is belangrijk, want als u uw wachtwoord vergeet, is er op de 1900switch geen mogelijkheid het wachtwoord te achterhalen. U zult Cisco dit MAC-adres moeten sturen, zodat zij u een nieuw wachtwoord kunnen toekennen. Met dit nieuwe wachtwoord krijgt u toegang tot uw switch. Het voorbeeld toont de configuratie van de systeem-hardware, de software-versie en de namen en broncode (sources) van de configuratie en van de boot-bestanden. Todd1900EN#sh ver Cisco Catalyst 1900/2820 Enterprise Edition Software Version V9.00.00 Copyright (c) Cisco Systems, Inc. 1993-1999 Todd1900EN uptime is 0day(s) 03hour(s) 37minute(s) 15second(s) cisco Catalyst 1900 (486sxl) processor with 2048K/1024K bytes of memory Hardware board revision is 5 Upgrade Status: No upgrade currently in progress. Config File Status: No configuration upload/download is in progress 15 Fixed Ethernet/IEEE 802.3 interface(s) Base Ethernet Address: 00-B0-64-75-6A-C0 Todd1900EN#

Merk op dat in het voorbeeld 15 vaste interfaces van het type Ethernet 802.3 te zien zijn. Hieraan kunt u zien dat dit een 1912-switch is. De 1912 heeft twaalf 10BaseT-poorten, één AUI poort en twee FastEthernet-poorten: in totaal 15 poorten. De 1924 heeft 24 10BaseT-, een AUI- en twee FastEthernet-poorten: in totaal 27 poorten.


544

B.2.13

Het LAN-switchtype veranderen Met de opdracht show port system ziet u welke LAN-switchversie op een 1900switch actief is. In de global-configuratiemodus kunt u de versie veranderen met de opdracht switching-mode. U kunt alleen store-and-forward of FragmentFree gebruiken. De opdracht show port system toont het standaard LAN-switchtype in geval van FragmentFree.. In de global-configuratiemodus kunt u het type LAN-switch met de opdracht switching-mode veranderen in store-and-forward. 1900EN#sh port system Switching mode: FragmentFree Use of store and forward for multicast: Disabled Network port: None Half duplex backpressure (10 mbps ports): Disabled Enhanced Congestion Control (10 mbps ports): Disabled Default port LED display mode: Port Status 1900EN(config)#switching-mode ? fragment-free Fragment Free mode store-and-forward Store-and-Forward mode

Als u het type LAN-switch verandert, doet u dat voor alle poorten op de switch.

B.3 VLANs configureren Het is niet zo moeilijk om VLANs te configureren. Moeilijker is om te bepalen welke gebruikers u in elke VLAN wilt plaatsen. Als u eenmaal hebt bepaald hoeveel VLANs u wilt maken en welke gebruikers aan welke VLAN gekoppeld moeten worden, kunt u uw VLANs maken. U maakt maximaal 64 VLANs op een 1900-switch. Per LAN kan een aparte spanning-tree instance geconfigureerd worden. Om VLANs op de 1900-serie-switch te configureren, kiest u K uit het menu Initial User Interface. Hiermee komt u in de IOS-configuratie. Hoewel u ook VLANs kunt maken met het menusysteem dat op de 1900-switch beschikbaar is, wordt hier alleen gedemonstreerd hoe u VLANs met de 1900-switch CLI configureert. In het volgende voorbeeld ziet u wat er op de console verschijnt wanneer u verbonden bent met een 1900-switch. Druk op K om naar de CLI-modus te gaan en ga met de opdracht enable en daarna config t naar de global-configuratiemodus.


545

1 user(s) now active on Management Console. User Interface Menu [M] Menus [K] Command Line [I] IP Configuration Enter Selection:

K

CLI session with the switch is open. To end the CLI session, enter [Exit].

Om VLANs op een IOS gebaseerde switch te configureren gebruikt u de opdracht vlan [vlan#] name [vlan name]. In het voorbeeld ziet u hoe u VLANs op de switch configureert. Als voorbeeld worden drie VLANs gemaakt, voor drie verschillende afdelingen. >en #config t Enter configuration commands, one per line. (config)#hostname 1900EN 1900EN(config)#vlan 2 name sales 1900EN(config)#vlan 3 name marketing 1900EN(config)#vlan 4 name mis 1900EN(config)#exit

End with CNTL/Z

Nadat u de gewenste VLANs hebt gemaakt, kunt u met de opdracht show vlan de betreffende VLANs bekijken. Merk echter op dat alle poorten op de switch standaard in VLAN1 zitten. Om de VLAN die aan een poort is verbonden te veranderen moet u naar elke interface gaan en deze vertellen bij welke VLAN deze hoort.

Denk eraan dat een nieuwe VLAN niet wordt gebruikt voordat deze aan een map op (een) switch-poort(en) is toegewezen. Bedenk en dat alle poorten altijd in VLAN1 zitten, tenzij u ze zelf anders hebt ingesteld.

Als de VLANs zijn gemaakt, controleert u de configuratie met de opdracht show vlan (kortweg: sh vlan).


546 1900EN#sh vlan

VLAN Name Status Ports -----------------------------------------------1 default Enabled 1-12, AUI, A, B 2 sales Enabled 3 marketing Enabled 4 mis Enabled 1002 fddi-default Suspended 1003 token-ring-defau Suspended 1004 fddinet-default Suspended 1005 trnet-default Suspended -----------------------------------------------[uitvoer verwijderd]

Nu u de drie nieuwe VLANs ziet, kunt u aan elke VLAN switch-poorten toewijzen. Een poort kan maar bij één VLAN tegelijk horen. Door middel van trunking, een techniek die straks aan de orde komt, kan een poort voor meer dan één VLAN tegelijkertijd beschikbaar gemaakt worden.

B.3.1

Poort-switches aan VLANs toewijzen U kunt elke poort zo configureren dat deze bij een VLAN hoort. Dit doet u met de opdracht vlan-membership. U kunt VLANs slechts poort voor poort configureren. Er bestaat op de 1900-switch geen opdracht om meer dan één poort tegelijkertijd aan een VLAN toe te wijzen. Denk eraan dat u een statisch of dynamisch lidmaatschap (membership) op een poort kunt configureren. In dit boek worden alleen de statische VLAN-lidmaatschappen behandeld. In het volgende voorbeeld ziet u dat interface 2 aan VLAN 2 wordt gekoppeld, interface 4 aan VLAN 3 en interface 5 aan VLAN 4. 1900EN#config t Enter configuration commands, one per line. End with CNTL/Z 1900EN(config)#int e0/2 1900EN(config-if)#vlan-membership ? dynamic Set VLAN membership type as dynamic static Set VLAN membership type as static 1900EN(config-if)#vlan-membership static ? <1-1005> ISL VLAN index 1900EN(config-if)#vlan-membership static 2 1900EN(config-if)#int e0/4 1900EN(config-if)#vlan-membership static 3 1900EN(config-if)#int e0/5


547

1900EN(config-if)#vlan-membership static 4 1900EN(config-if)#exit 1900EN(config)#exit

Geef nu opnieuw show vlan om de poorten te zien die aan elke VLAN zijn toegewezen. 1900EN#sh vlan VLAN Name Status Ports -----------------------------------------------------1 default Enabled 1, 3, 6-12, AUI, A, B 2 sales Enabled 2 3 marketing Enabled 4 4 mis Enabled 5 1002 fddi-default Suspended 1003 token-ring-defau Suspended 1004 fddinet-default Suspended 1005 trnet-default Suspended -----------------------------------------------------[uitvoer verwijderd]

Als u show vlan # typt, krijgt u informatie gedoseerd te zien: één VLAN tegelijk. 1900EN#sh vlan 2 VLAN Name Status Ports -------------------------------2 sales Enabled 2 -------------------------------VLAN Type SAID MTU Parent RingNo BridgeNo Stp Trans1 Trans2 -------------------------------------------------------------2 Ethernet 100002 1500 0 1 1 Unkn 0 0 1900EN#

Er is nog een opdracht om de poorten die aan een VLAN zijn toegewezen te bekijken: show vlan-membership. Merk op dat deze opdracht alle poorten op de switch toont. De opdracht laat zien bij welke VLAN de poort hoort en toont ook het type lidmaatschak (membership): statisch of dynamisch.


548

1900A#sh vlan-membership Port VLAN Membership 1 1 Static 2 2 Static 3 1 Static 4 3 Static 5 4 Static 6 1 Static 7 1 Static 8 1 Static 9 1 Static 10 1 Static 11 1 Static 12 1 Static AUI A B

1 1 1

Static Static Static

1900A#

B.3.2

Trunk-poorten configureren De 1900-switch ondersteunt alleen de Dynamic Inter-Switch Link (DISL) methode van inkapseling (encapsulation). Om trunking op een FastEthernet-poort te configureren gebruikt u de interface-opdracht trunk [parameter]. In het volgende voorbeeld ziet u hoe de trunk op interface 26 wordt geconfigureerd als ‘trunk on’. 1900EN#config t Enter configuration commands, 1900EN(config)#int f0/26 1900EN(config-if)#trunk ? auto Set DISL state desirable Set DISL state nonegotiate Set DISL state off Set DISL state on Set DISL state 1900EN(config-if)#trunk on

one per line.

to to to to to

End with CNTL/Z

AUTO DESIRABLE NONEGOTIATE OFF ON

De volgende lijst toont de beschikbare opties bij het instellen van een trunkinterface.


549

Auto De interface wordt alleen maar trunked als het apparaat dat er op is aangesloten op On of Desirable staat. Desirable Als een aangesloten apparaat, On (Aan), Desirable (gewenst) of Auto (automatisch) staat, zal het proberen een trunk-poort te worden. Nonegotiate (Geen onderhandelingen voeren.) De interface wordt een permanente ISL-trunk-poort en zal niet ingaan op een onderhandelingsverzoek van een ander aangesloten apparaat. Off De interface is uitgeschakeld voor het ondersteunen van trunking. On De interface wordt een permanente ISL-trunk-poort. Ze kan onderhandelen met een aangesloten apparaat om de verbinding om te zetten naar trunk-modus. Welke VLANs zijn nu op de trunked poort aangesloten? Standaard allemaal. U kunt de trunked poort niet zo configureren dat er alleen bepaalde VLANs aangesloten mogen worden. In de volgende paragraaf wordt behandeld hoe VLANs weer van de trunked poort afgehaald kunnen worden.

B.3.3

VLANs van trunk-verbindingen verwijderen Zoals al is besproken worden alle VLANS op een trunk-verbinding geconfigureerd, tenzij een beheerder ze daarvan verwijdert. Er zijn twee redenen om de opdracht clear trunk te gebruiken: 1. Als u niet wilt dat een trunk-verbinding VLAN-informatie draagt: omdat u wilt dat broadcasts die op een bepaalde VLAN worden uitgezonden de trunkverbinding niet oversteken. 2. Omdat u niet wilt dat informatie over de veranderingen in topologie over een verbinding wordt verzonden waar een VLAN niet wordt ondersteund. Om VLANs van een trunk-poort op een 1900 te wissen gebruikt u de interfaceopdracht no trunk-vlan. In het volgende voorbeeld ziet u dat wordt voorkomen dat VLAN 5 over de trunked-verbinding kan communiceren. 1900EN(config-if)#no trunk-vlan ? <1-1005> ISL VLAN index 1900EN(config-if)#no trunk-vlan 5 1900EN(config-if)#


550

Helaas is er geen opdracht die meer dan één VLAN tegelijkertijd van de 1900 kan verwijderen. Normaal gesproken wilt u dat ook niet doen, omdat het functioneel geen verschil maakt als ze aan staan. Alleen met beveiligings-, broadcast- of routeerproblemen kunt u overwegen een VLAN van de switch te verwijderen.

B.3.4

Trunk-verbindingen controleren Om uw trunk-poorten te controleren gebruikt u de opdracht show trunk. Als u trunking op meer dan een poort heeft, maar u de statistische gegevens slechts op een poort wilt zien, kunt u de opdracht show trunk [port_number] gebruiken. Voor de 1900-switch wordt de FastEthernet-poort 0/26 geïdentificeerd door trunk A, poort 0/27 wordt geïdentificeerd door trunk B. Onderstaand ziet u hoe de trunkpoort op interface 26 kan worden getoond: 1900EN#sh trunk ? A Trunk A B Trunk B 1900EN#sh trunk a DISL state: Auto, Trunking: On, Encapsulation type: ISL

Merk op dat in dit voorbeeld DISL is ingesteld op auto, trunking aanstaat en ISL het VLAN-inkapselingstype is op trunk-verbindingen. Om te zien welke VLANs op een trunk-verbinding mogen worden aangesloten gebruikt u de opdracht show trunk [ A or B/ allowed-vlans. Het volgende voorbeeld toont de VLANs die op de trunk-interface 26 aangesloten mogen worden. 1900EN#sh trunk ? A Trunk A B Trunk B 1900EN#sh trunk a allowed-vlans joined-vlans joining-vlans prune-eligible 1900EN#sh trunk a 1-4, 6-1004 1900EN#

? Display Display Display Display

allowed vlans joined vlans joining vlans pruning eligible vlans

allowed-vlans

In de vorige paragraaf verwijderde u VLAN 5. In het voorbeeld ziet u dat VLAN 5 inderdaad niet op de trunk-verbinding voorkomt.


B.3.5

551

ISL-routering configureren Om ISL-routering op een FastEthernet-interface te ondersteunen is de interface van de router onderverdeeld in logische interfaces, één voor elke VLAN. Dit zijn de subinterfaces. Omdat we vier VLANs hebben, zijn er ook vier subinterfaces nodig. Elk van de VLANs is een apart subnet, dus zouden de volgende adressen gebruikt kunnen worden: VLAN VLAN VLAN VLAN

1: 2: 3: 4:

standaard verkoop marketing mis

172.16.10.0/24 172.16.20.0/24 172.16.30.0/24 172.16.40.0/24

Elke host moet in een eigen VLAN hetzelfde subnet-adres gebruiken. De routeron-a-stick configureert u met de volgende drie stappen voor inter-VLAN-routeren: 1. Schakel ISL-trunking in op de switch-poort waarmee de router is verbonden. 2. Schakel ISL-inkapseling (ISL encapsulation) in op de subinterface van de router. 3. Wijs een IP-adres toe aan de subinterface en andere logische adressen indien van toepassing (IPX, bijvoorbeeld). Om een subinterface te maken in de global-configuratiemodus, kiest u de FastEthernet-interface en typt u een punt en daarna een cijfer. Dit brengt u naar de prompt config-subif van de interface. Om ISL-routeren op een subinterface te configureren, gebruikt u de opdracht encapsulation isl[ vlan-number]. Nu kunt u een IP-adres, IPX-adres, AppleTalk-adres enzovoort aan de subinterface toewijzen. Dit is een uniek subnet en alle hosts op deze VLAN zouden in ditzelfde subnet moeten staan. Weliswaar is dit niet absoluut noodzakelijk, maar wel aan te raden. Nu een voorbeeld waarin u de 2621-router moet configureren om ISL-routeren met de vier VLANs te ondersteunen. Eerst wordt een subinterface met hetzelfde nummer geconfigureerd als de VLAN die gaat routeren. Dit heeft slechts lokaal invloed, dus het maakt niet uit wat de nummers van de subinterface op het netwerk zijn. Merk op dat u vervolgens ook de inkapseling (encapsulation) moet instellen, anders krijgt u een foutmelding wanneer u het IP-adres van de subinterface instelt. VLAN 1 is in het netwerk 172.16.10.0. Vanuit dit subnet moet u aan de subinterface een geldig host-adres toewijzen. 2621#config t 2621(config) int f0/0.1 2621(config-subif)# encapsulation isl 1 2621(config-subif)# ip address 172.16.10.1 255.255.255.0 2621(config-subif)# int f0/0.2 2621(config-subif)# encapsulation isl 2


552

2621(config-subif)# ip address 172.16.20.1 255.255.255.0 2621(config-subif)# int f0/0.3 2621(config-subif)# encapsulation isl 3 2621(config-subif)# ip address 172.16.30.1 255.255.255.0 2621(config-subif)# int f0/0.4 2621(config-subif)# encapsulation isl 4 2621(config-subif)# ip address 172.16.40.1 255.255.255.0 2621(config-subif)# exit 2621(config)#int f0/0 2621(config-if) no shutdown

Nadat u de inkapseling en het IP-adres voor VLAN 1 hebt ingesteld, kunt dezelfde configuraties voor VLANs 2, 3 en 4 invoeren. Vergeet echter niet dat elke subinterface in een apart subnet staat.

B.4 VTP configureren Een Catalyst 1900-switch wordt standaard geconfigureerd als een VTP-server, net als alle switches. Om VTP te configureren, configureert u eerst de domeinnaam die u wilt gebruiken, zoals in de volgende paragraaf wordt behandeld. Als u de VTP-informatie op een switch hebt geconfigureerd, moet u daarna de configuratie controleren.

B.4.1

Het domein configureren Wanneer u het VTP-domein maakt, hebt u de mogelijkheid de domeinnaam, het wachtwoord, de operating-modus en de pruning-mogelijkheden (de snoeicapaciteiten) van de switch in te stellen. (Snoeien (pruning) komt in een andere paragraaf aan de orde). Gebruik de opdracht vtp in de global-configuratiemodus om deze gegevens in te stellen. In het volgende voorbeeld wordt de switch ingesteld op vtp server, het VTP-domein op Lammle en het VTP-wachtwoord op todd. Todd1900EN(config)#vtp ? client VTP client domain Set VTP domain name password Set VTP password pruning VTP pruning server VTP server transparent VTP transparent trap VTP trap Todd1900EN(config)#vtp server Todd1900EN(config)#vtp domain lammle Todd1900EN(config)#vtp password todd


553

Nadat u de VTP-gegevens hebt geconfigureerd, kunt u ze controleren met de opdracht show vtp. Todd1900EN#sh vtp VTP version: 1 Configuration revision: 0 Maximum VLANs supported locally: 1005 Number of existing VLANs: 5 VTP domain name : lammle VTP password : todd VTP operating mode : Server VTP pruning mode : Disabled VTP traps generation : Enabled Configuration last modified by: 0.0.0.0 at 00-00-0000 00:00:00 Todd1900EN#

In het voorbeeld ziet u het VTP-domein, het VTP-wachtwoord en de modus van de switch.

B.4.2

Iets toevoegen aan een VTP-domein U moet altijd voorzichtig zijn wanneer u een nieuwe switch aan een bestaand domein toevoegt. Als een switch met de verkeerde VLAN-gegevens aan het domein wordt gekoppeld, kan het resultaat zijn dat een VTP-gegevensbestand met verkeerde gegevens door het hele internetwerk wordt doorgegeven. Cisco beveelt daarom aan dat u het VTP-gegevensbestand wist voor u de switch aan het VTP-domein toevoegt. In deze appendix hebt u gezien hoe u het NVRAM op de 1900-switch moet wissen. Hiermee wist u echter de VTP-configuratie op de switch niet, want de VTPinformatie heeft een eigen NVRAM. Om de op een 1900-switch geconfigureerde VTP-informatie te wissen gebruikt u de opdracht delete vtp. In het voorbeeld ziet u hoe u het VTP NVRAM gegevensbestand wist. Todd1900EN#delete ? nvram NVRAM configuration vtp Reset VTP configuration to defaults Todd1900EN#delete vtp This command resets the switch with VTP parameters set to factory defaults. All other parameters will be unchanged. Reset system with VTP parameters set to factory defaults, [Y]es or [N]o? Yes


554

Als u de opdracht hebt ingevoerd, vraagt het systeem u de fabrieksinstellingen van de VTP-informatie in te stellen.

B.4.3

VTP snoeien (pruning) In deze paragraaf leert u hoe u de snoeischaar hanteert: u leert het ‘pruning’mechanisme (snoeien) op een 1900-switch aan te zetten. Het is redelijk eenvoudig. Vergeet niet dat wanneer u VTP-snoeien aanzet op een VTP-server, u dit voor het hele domein doet. Todd1900EN(config)#vtp ? client VTP client domain Set VTP domain name password Set VTP password pruning VTP pruning server VTP server transparent VTP transparent trap VTP trap Todd1900EN(config)#vtp pruning ? disable Disable VTP pruning enable Enable VTP pruning Todd1900EN(config)#vtp pruning enable Todd1900EN(config)#

VTP-snoeien is nu op de hele switch actief. Als er op deze switch geen VLANs zijn geconfigureerd, worden er geen VTP-broadcasts via een trunk-verbinding verzonden.

B.5 De Catalist 1900: het IOS herstellen of opwaarderen U kunt het IOS op Cisco Catalyst 1900-switches herstellen (vanaf een back-up een ‘restore’ draaien) of opwaarderen (upgrade). Er is echter geen opdracht is om een back-up te maken van het IOS van de Catalyst 1900-switch naar een TFTP-host. De opdracht om het IOS van een 1900-switch op te waarderen of te herstellen is: copy tftp:/ftp_host_address/IOS_filename opcode

Ter verduidelijking:


555

• copy tftp instrueert de switch een IOS van een TFTP-host te kopiëren. • tftp_host_address is het adres van de TFTP-host.

• IOS_filename is het IOS-bestand dat in de TFTP standaarddirectory van de TFTP-server is opgeslagen (bijvoorbeeld cat1900EN_9_00.bin is de enterprise editie). • opcode is de opdracht die de router vertelt het bestand naar het flash-geheugen

te downloaden. U gebruikt de opdracht als volgt: 1900B#copy tftp://192.168.0.120/cat1900EN_9_00.bin opcode TFTP operation succeeded 1900B#

B.5.1

De Catalyst-1900-configuratie veiligstellen en terugzetten Het configuratiebestand van een Cisco Catalyst 1900-switch heet gewoon het nvram op de 1900-switch. De opdracht om het bestand naar een TFTP-host te kopiëren is: copy nvram tftp:/ftp_host_address/config_name

Voor u een back up maakt is het verstandig om de TFTP-host vanaf de console van het apparaat met ping te testen om te controleren of u een goede LAN-verbinding hebt: 1900B#ping 192.168.0.120 Sending 5, 100-byte ICMP Echos to 192.168.0.120, time out is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max 0/2/10/ ms

Nadat u de verbinding hebt gecontroleerd kunt de opdracht copy nvram tftp: geven om een back up-kopie van de configuratie te maken. Zie ook het volgende voorbeeld: 1900B#copy nvram tftp://192.168.0.120/1900en Configuration upload is successfully completed

Hier volgt een voorbeeld van de uitvoer van de console van een TFTP-host:

556

Appendix B • De Catalyst 1900-switch configureren Wed June 01 14:16:10 2000: Receiving ‘1900en’ file from 192.168.0.120 in ASCII mode ## Wed Mar 01 14:16:11 2000: Successful.

U ziet dat de TFTP-host twee UDP-pakketten heeft gekopieerd. Elk pakket wordt weergegeven door het ‘hekje’ (#). Met de volgende opdracht zet u een configuratie vanaf een TFTP-host terug op een Catalyst 1900-switch : copy tftp:/ftp_host_address/config_name nvram

Hiervoor hebt u zowel de bestandsnaam als het IP-adres van de TFTP-host nodig: 1900B#copy tftp://192.168.0.120/1900en nvram TFTP successfully downloaded configuration file

Het laatste deel van deze opdracht vertelt de TFTP-host waarheen het bestand moet worden gekopieerd – in dit geval naar het nvram. Om het bestand startup-config (dus: om het nvram van de 1900-switch) te wissen gebruikt u de opdracht delete nvram: 1900B#delete nvram This command resets the switch with factory defaults. All system parameters will revert to their default factory settings. All static and dynamic addresses will be removed. Reset system with factory defaults, [Y]es or [N]o? Yes

De getoonde opdracht heeft nagenoeg geen invloed op de switch tenzij u de VLANs heeft ingesteld. De switch werkt ook als deze niet is geconfigureerd. Het is echter wel aan te raden een IP-adres toe te kennen om het beheer te vergemakkelij-ken.

B.6 CDP met de 1900-switch CDP werkt met alle Cisco-apparaten, waaronder de Catalyst 1900-switch. De uitvoer op de 1900-switch: switch#sh cdp Global CDP information : CDP version: 2 Sending CDP packets every 60 seconds Sending a holdtime value of 180 seconds #


557

Merk op dat zowel de router als de switch een CDP-timer van 60 seconden hebben en een holdtime van 180 seconden. (Zie hoofdstuk 7 voor meer informatie over CDP met Cisco-routers.) Dit betekent dat CDP-informatie die van routers in de omgeving wordt ontvangen 180 seconden wordt vastgehouden. Als de router of de switch niets meer van de betreffende router hoort voordat de 180 seconden zijn verstreken, wordt de informatie weggedaan.

De 1900-switch heeft een optie om CDP versie 2 bekend te maken (advertising). Dit is een nieuwere versie van CDP dat reeds op een aantal nieuwe Cisco-apparaten actief is. De 1900-switch kan zowel versies CDP 1 als 2 zenden en versie 1 ontvangen. In deze appendix wordt CDP versie 2 niet behandeld.

U kunt de timers op beide apparaten in de global-configuratiemodus aanpassen met de opdrachten cdp timer en cdp holdtime: switch#config t Enter configuration commands, one per line. End with CNTL/Z switch(config)#cdp ? advertise-v2 CDP sends version-2 advertisements holdtime Specify the holdtime (in sec) to be sent in packets timer Specify the rate at which CDP packets are sent (in sec)

Nu kunt u zowel de timer als de holdtime op de 1900-switch aanpassen. Dit wordt gedemonstreerd in het volgende voorbeeld: switch(config)#cdp timer 90 switch(config)#cdp holdtime 240

B.7 Samenvatting Deze appendix is een introductie van de Catalyst 1900-switch. U hebt kennisgemaakt met de volgende handelingen: • Wachtwoorden instellen. Drie wachtwoorden kwamen aan de orde: twee enablewachtwoorden en het wachtwoord voor de enable-beheermodus. • De host-naam instellen en een naam voor de switch configureren. • Het IP-adres en een subnetmasker configureren. • De interfaces identificeren met de opdracht show interface of een configuratie-opdracht.


558

• Een beschrijving van de interfaces instellen met de opdracht description. • De poort duplex van een poort definiëren met full of half duplex. • De configuratie controleren met de opdracht show running-config. • De MAC-adressentabel beheren met de opdracht show mac-address-table. • Permanente en statische MAC-adressen instellen met de opdracht /macaddress-table. • Poortbeveiliging configureren met de opdracht port secure.

B.8 Kernbegrippen De volgende begrippen in deze appendix zijn belangrijk: auto duplex dynamic entries port security set-based

Hoofdstuk

7

Een Cisco-internetwerk beheren DE VOLGENDE ONDERWERPEN UIT HET CCNA-EXAMEN WORDEN IN DIT HOOFDSTUK BEHANDELD: ✓ De Cisco-basisbegrippen, het IOS & basisbegrippen op het terrein van netwerken. •

De routerelementen bestuderen.

•

De configuratiebestanden vanuit de beheerders-EXECmodus beheren.

•

De opdrachten om Cisco-IOS-software te laden vanuit het flash-geheugen, een TFTP-server of het ROM.

•

Een veiligheidskopie maken, opwaarderen en laden.

Hoofdstuk 7 • Een Cisco-internetwerk beheren

308

I

n dit hoofdstuk leert u Cisco-routers op een internetwerk beheren. Het Internetwork Operating System (IOS) en de configuratiebestanden staan op verschillende locaties in een Cisco-apparaat. Het is belangrijk dat u begrijpt waar die bestanden staan en hoe ze werken. U leert meer over de hoofdcomponenten van een router, de startvolgorde van de router, en het configuratieregister. U leert ook hoe u het configuratieregister kunt gebruiken om wachtwoorden terug te halen. Daarna leert u routers beheren door de volgende taken uit te voeren: • Het Cisco-IOS veiligstellen en terugzetten. • De Cisco-configuratie veiligstellen en terugzetten. • Gegevens over naburige apparaten vergaren via CDP en Telnet. • Host-namen vertalen. • De verbindingen van het netwerk testen met de opdrachten ping en Trace.

7.1 De interne componenten van een Cisco-router Om een Cisco-netwerk te kunnen configureren en om problemen te kunnen oplossen, moet u weten wat de belangrijkste componenten van Cisco-routers zijn en begrijpen wat deze componenten doen. Tabel 7.1 beschrijft de belangrijkste Cisco-routercompo-nenten.

Studiegids Cisco CCNA Tabel 7.1

309

Cisco-routercomponenten Component

Beschrijving

Bootstrap

Deze component is opgeslagen in de microcode van het ROM. De bootstrap wordt gebruikt om een router te starten tijdens het initialiseren. De bootstrap start de router en laadt dan het IOS. Deze component is opgeslagen in de microcode van het ROM. De POST wordt gebruikt om de basisfunctionaliteit van de hardware van de router te controleren. Het stelt ook vast welke interfaces aanwezig zijn. Deze component is opgeslagen in de microcode van het ROM. De ROM-monitor wordt door de fabrikant gebruikt tijdens het testen van de router. Het is een hulpmiddel om problemen mee op te lossen. Wordt door Cisco de RXBOOT of bootloader genoemd. Dit mini-IOS is een klein IOS in het ROM. Het wordt gebruikt om een interface te activeren en om een CiscoIOS in het flash-geheugen te laden. Het mini-IOS kan ook een paar andere onderhoudstaken uitvoeren. Dit werkgeheugen is de opslagplaats voor pakketbuffers, de ARP-cache, en routetabellen. Het bevat ook de software en de gegevensstructuren die de router in staat stellen te functioneren. Verder bevat het RAM ook het bestand Running-config. In sommige routers kan het IOS ook vanuit RAM worden gedraaid. Wordt gebruikt bij de start en onderhoud van de router. Plaats op de router waar het Cisco-IOS is opgeslagen. Het flash-geheugen wordt niet gewist als de router herladen wordt. Het is een EEPROM (Electronically Erasable Read-Only Memory) dat is geproduceerd door Intel. Opslagplaats voor de router- of switch-configuratie. NVRAM wordt niet gewist als de router of switch herladen wordt. Hiermee vertelt u een router waar vandaan deze het IOS moet laden. Deze waarde kunt u zien met de opdracht show version. Meestal is deze waarde 0x2102. Dit vertelt de router dat hij het IOS vanuit het flash-geheugen moet laden.

POST (power-on self test)

ROM-monitor

Mini-IOS

RAM (random access memory)

ROM (read-only memory) Flash memory

NVRAM (non-volatile RAM)

Configuration register


310

7.2 De startvolgorde van de router Als een router start, voert deze een serie stappen uit, de zogeheten startvolgorde (boot sequence), om de hardware te testen en de benodigde software te laden. De startvolgorde bestaat uit de volgende stappen: 1. De router voert een POST uit. De POST gaat de hardware na om te zien of alle componenten van het apparaat aanwezig en operationeel zijn. De POST gaat bijvoorbeeld na welke interfaces de router heeft. De POST wordt in het ROM opgeslagen en van daaruit gedraaid. 2. De bootstrap zoekt en laadt de Cisco-IOS-software. De bootstrap is een programma in het ROM dat alle programma’s uitvoert. Het bootstrap-programma heeft als taak alle IOS-programma’s te vinden en deze bestanden vervolgens de router te laden. De IOS-software wordt geladen vanuit het flash-geheugen. 3. De IOS-software zoekt een geldig configuratiebestand dat is opgeslagen in NVRAM. Dit bestand heet de startup-config en staat alleen in het NVRAM als de beheerder het running-config bestand naar NVRAM heeft gekopieerd. 4. Als een bestand met de naam startup-config in NVRAM staat, laadt en draait de router het bestand nu. Daarmee wordt de router operationeel. Als er geen bestand met de naam startup-config in NVRAM staat, komt de router na de start in de setup-modus.

7.3 De configuratieregisters beheren Alle Cisco-routers hebben een 16-bit softwareregister, dat in het NVRAM opgeslagen is. Het configuratieregister is standaard ingesteld zodat het Cisco-IOS vanuit het flashgeheugen wordt geladen. Het register is standaard ook zo ingesteld dat de startupconfig wordt gezocht in en wordt geladen vanuit het NVRAM.

7.3.1

De configuratieregister-bits begrijpen De zestien bits van het configuratieregister worden gelezen als 15–0, van links naar rechts. De standaard configuratie-instelling op Cisco-routers is 0x2102. Dit betekent dat bits 13, 8 en 1 aan staan, zoals u ziet in tabel 7.2. Elke set van vier bits wordt binair gelezen met een waarde van 1, 2, 4 en 8, van rechts naar links.

Studiegids Cisco CCNA Tabel 7.2

311

De configuratieregister bitnummers Configuratieregister

2

1

0

2

Bitnummer

15 14 13 12

11 10 9 8

7654

3210

Binair

0

0

0000

0010

0 1 0

0 01

Voeg het voorvoegsel 0x toe aan het configuratieregisteradres. Het betekent dat de getallen die nu komen in hexadecimaal (zestientallig) staan.

Tabel 7.3 is een lijst van de betekenissen van de softwareconfiguratie-bits. Met bit 6 negeert u de NVRAM-inhoud. Dit bitje wordt gebruikt om wachtwoorden mee terug te halen, zoals verderop beschreven in paragraaf 7.3.4, ‘Wachtwoorden terughalen’. Tabel 7.3

Betekenis van de software-configuratiebits Bit

Hex

Beschrijving

0–3 6 7 8 10 11-12 13

0x0000–0x000F 0x0040 0x0080 0x0100 0x0400 0x0800–0x1000 0x2000

14 15

0x4000 0x8000

Startveld (zie tabel 7.4). Negeert de inhoud van het NVRAM. OEM-bit ingeschakeld. Onderbreken uitgeschakeld. IP-broadcast met allemaal nullen. Console-line snelheid. Start standaard ROM-software als de netwerkstart faalt. IP-broadcasts hebben geen netnummers. Schakelt diagnostische berichten in en negeert NVM-inhoud.

Het startveld bestaat uit bits 0 tot en met 3 in het configuratieregister. Dit veld bepaalt de startvolgorde van de router. Tabel 7.4 beschrijft de startveld-bits.


312 Tabel 7.4

Het startveld (configuratieregister, bits 00–03) Startveld

Betekenis

Gebruik

00

ROM-monitor-modus

01

Startversie van ROM

02–F

Specificeert de naam van het een standaard startbestand.

U start de ROM-monitormodus bij de start van de router door het configuratieregister in te stellen op 2100. U moet de router met de hand starten door b in te tikken. De router toont de prompt rommon>. U start een IOS in ROM door het configuratieregister in te stellen op 2101. De router toont de prompt router(boot)>. Elke waarde tussen 2102 en 210F vertelt de router dat deze de startopdrachten moet gebruiken die in NVRAM zijn gespecificeerd.

Het hexadecimale stelsel bestaat uit de cijfers 0–9 en A–F (A=10, B=11, C=12, D=13, E=14, en F=15). Dit houdt in dat de instelling 210F voor het configuratieregister eigenlijk 210(15) is. Dit is gelijk aan 1111 in het tweetallig stelsel (binair).

7.3.2

De waarden van het huidige configuratieregister controleren Met de opdracht show version (kortweg: sh version of show ver) krijgt de huidige waarde van het configuratieregister te zien. Een voorbeeld: Router#sh version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-I-M), Version 12.0(3)T3, RELEASE SOFTWARE (fc1) [uitvoer verwijderd] Configuration register is 0x2102

De laatste regel van deze uitvoer is de waarde van het configuratieregister. In dit voorbeeld is de waarde 0x2102. Dit is de standaardinstelling. De opdracht show version laat ook de IOS-versie zien. In dit voorbeeld is de IOS-versie dus 12.0(3)T3.


313

De opdracht show version geeft gegevens over de configuratie van de hardware van het systeem, en de software-versie. Verder ziet u de namen en broncode (sources) van configuratiebestanden en software-versies op een router.

7.3.3

Het configuratieregister wijzigen U kunt de waarden in het configuratieregister wijzigen om de manier waarop de router start en werkt te veranderen. U kunt daarmee de volgende doelen bereiken: • Het systeem in de ROM-monitormodus dwingen • Een startbron en standaard startbestandsnaam kiezen • De Break functie in- of uitschakelen • De broadcast-adressen instellen • De console-terminal baud rate instellen • Het besturingssysteem vanuit het ROM laden • De router zodanig instellen dat hij het IOS van een TFTP-(Trivial File Transfer Protocol-)server ophaalt.

Zorg dat u weet wat de huidige waarde in het configuratieregister is voordat u het configuratieregister wijzigt. Gebruik hiervoor de opdracht show version.

U kunt het configuratieregister wijzigen met de opdracht config-register. De onderstaande opdrachten vertellen de router dat deze in ROM-monitormodus moet starten en dan de huidige configuratieregister waarde moet laten zien: Router(config)#config-register 0x0101 Router(config)#^Z Router#sh ver [uitvoer verwijderd] Configuration register is 0x2102 (will be 0x0101 at next reload)

De opdracht show version geeft de huidige waarde van het configuratieregister. Tussen de haakjes staat wat de configuratie zal zijn als de router herstart. Een wijziging in het configuratieregister wordt pas geactiveerd als de route herstart wordt.


314

De configuratiewaarde 0x0101 zorgt ervoor dat de router bij de volgende herstart (reboot) het IOS vanuit ROM laadt. Deze waarde kan ook getoond worden als 0x101: de registerwaarde kan op beide manieren genoteerd worden.

7.3.4

Wachtwoorden terughalen Als u bent buitengesloten op een router omdat u het wachtwoord bent vergeten, kunt u het configuratieregister wijzigen om het wachtwoord terug te halen. Zoals u al weet, vertelt bit 6 van het configuratieregister de router dat deze de inhoud van NVRAM in een routerconfiguratie moet laden. De standaardwaarde in het configuratieregister voor bit 6 is 0x2102. Dit betekent dat bit 6 uitgeschakeld staat. Met de standaardinstelling gaat de router een routerconfiguratie zoeken en laden die opgeslagen is in NVRAM (startup-config). Om het wachtwoord terug te halen moet u bit 6 inschakelen. Hierdoor weet de router dat deze de inhoud van het NVRAM moet negeren. De waarde van het configuratieregister om bit 6 in te schakelen is 0x2142. De belangrijkste stappen om wachtwoorden terug te halen: 1. Start de router en onderbreek de startvolgorde met een break. 2. Wijzig het configuratieregister en schakel bit 6 in (met de waarde 0x2142). 3. Herstart de router. 4. Ga naar beheerdersmodus (privileged mode). 5. Kopieer het bestand startup-config naar running-config. 6. Wijzig het wachtwoord. 7. Stel het configuratieregister weer in op de standaardwaarde. Opmerking: Hier moet ook de running-config naar de startup-config worden gekopieerd, anders gebeurt er niets! 8. Herstart de router. Deze stappen worden verderop in het hoofdstuk nader besproken. Daar staan ook de opdrachten waarmee de toegang tot de routers uit de productlijnen 2600 en 2500 teruggehaald worden.

De startvolgorde van de router afbreken De eerste stap is de router te starten en een break uit te voeren. Als u HyperTerminal gebruikt, voert u een break uit door Ctrl+Break in te drukken.


315

De standaard HyperTerminal-programma’s van Windows NT, Windows 2000 of Windows XP voeren geen break uit. U moet een upgrade uitvoeren voor het HyperTerminalprogramma of Windows 95/98 gebruiken.

U ziet nu iets als: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) Copyright (c) 1999 by cisco Systems, Inc. TAC:Home:SW:IOS:Specials for info PC = 0xfff0a530, Vector = 0x500, SP = 0x680127b0 C2600 platform with 32768 Kbytes of main memory PC = 0xfff0a530, Vector = 0x500, SP = 0x80004374 monitor: command ‘boot’ aborted due to user interrupt rommon 1 >

Bekijk de regel ‘boot’ aborted due to user interrupt. Op sommige routers staat hier de prompt rommon 1>.

Het configuratieregister wijzigen Zoals u al weet, kunt u het configuratieregister wijzigen met de opdracht configregister. Om bit 6 in te schakelen gebruikt u de configuratieregisterwaarde 0x2142. Opdrachten voor de Cisco-2600-serie Voer deze opdracht in achter de prompt rommon 1>/. Met de volgende opdracht wijzigt u de waarde van een bit op een router uit de 2600-serie: rommon 1 > confreg 0x2142 You must reset or power cycle for new config to take effect

Opdrachten voor de Cisco-2500-serie U wijzigt een configuratieregister op een router uit de 2500-serie door tijdens het starten een break uit te voeren en dan o te typen. U ziet nu een menu met de optieinstellingen van het configuratieregister. Wijzig het configuratieregister met o/r , gevolgd door de nieuwe registerwaarde. Zo schakelt u bit 6 in op router 2501: System Bootstrap, Version 11.0(10c), SOFTWARE Copyright (c) 1986-1996 by cisco Systems 2500 processor with 14336 Kbytes of main memory Abort at 0x1098FEC (PC) >o


316

Configuration register = 0x2102 at last boot Bit# Configuration register option settings: 15 Diagnostic mode disabled 14 IP broadcasts do not have network numbers 13 Boot default ROM software if network boot fails 12-11 Console speed is 9600 baud 10 IP broadcasts with ones 08 Break disabled 07 OEM disabled 06 Ignore configuration disabled 03-00 Boot file is cisco2-2500 (or ‘boot system’ command) >o/r 0x2142

De laatste regel in deze uitvoer is 03-00. De router kent de naam van het IOS-startbestand. De router gebruikt het eerste bestand dat deze tegenkomt in het flash-geheugen. Als u een andere bestandsnaam wilt starten, kunt u het configuratieregister wijzigen of de opdracht boot system ios_name geven. U kunt ook een IOS-versie van een TFTP-host laden met de opdracht boot system tftp ios_name ip_address.

De router herladen en naar de beheerdersmodus gaan Nu stelt u de router opnieuw in: • Typ reset vanaf router 2600. • Typ I (voor initialiseren) vanaf router 2500. De router begint nu met herladen en vraagt of u de setup-modus wilt gebruiken (omdat er geen startup-config gebruikt wordt). Kies ‘No’ om naar de setupmodus te gaat. Druk dan op Enter zodat u in de gebruikersmodus komt. Typ enable zodat u in de beheerdersmodus komt.

De configuratie bekijken en wijzigen Nu hoeft u geen wachtwoorden meer in te voeren op de router. Kopieer het bestand startup-config naar het bestand running-config: copy startup-config running-config

of de verkorte versie hiervan: copy start run


317

De configuratie draait nu in RAM, en u bevindt zich in beheerdersmodus. U kunt nu de configuratie bekijken en wijzigen. Hoewel u de instelling enable secret voor het wachtwoord niet ziet, kunt u het wachtwoord op deze manier wijzigen: config t enable secret todd

Het configuratieregister opnieuw instellen en de router herladen Als u de wachtwoorden hebt gewijzigd, stelt u het configuratieregister weer terug op de standaardwaarde met de opdracht config-register: config t config-register 0x2102

Bewaar de nieuwe configuratie met copy running-config startup-config en herstart de router.

7.4 Een veiligheidskopie maken en het Cisco-IOS herstellen Voordat u een Cisco-IOS opwaardeert (upgrade) of wijzigt (restore), maakt u een kopie van het bestaande bestand naar een TFTP-host voor het geval de nieuwe versie niet werkt. U kunt elke TFTP-host hiervoor gebruiken. Het Cisco-IOS wordt opgeslagen in het flash-geheugen van een router. De volgende paragrafen beschrijven de stappen die u moet nemen om een kopie te maken. 1. De beschikbare hoeveelheid flash-geheugen controleren. 2. Het Cisco-IOS van het flash-geheugen naar een TFTP-host kopiëren. 3. Het IOS van een TFTP-host naar het flash-geheugen kopiëren.

7.4.1

Het flash-geheugen controleren Voordat u het Cisco-IOS op uw router vervangt door een nieuw IOS-bestand, gaat u na of het flash-geheugen genoeg ruimte heeft om de nieuwe versie te bevatten. U bekijkt de beschikbare hoeveelheid flash-geheugen en de bestanden die zijn opgeslagen in het flash-geheugen met show flash (kortweg: sh flash):


318

Router#sh flash System flash directory: File Length Name/status 1 8121000 c2500-js-l.112-18.bin [8121064 bytes used, 8656152 available, 16777216 total] 16384K bytes of processor board System flash (Read ONLY) Router#

De bestandsnaam in dit voorbeeld is c2500-js-l.112-18.bin. De naam van het bestand is platform-specifiek en als volgt opgebouwd: is het platform. geeft aan dat het bestand een bedrijfsversie (enterprise image)is. geeft aan dat het bestand extra mogelijkheden (extended capabilities) biedt. l geeft aan dat het bestand zonodig verplaatst kan worden vanuit het flash-geheugen en dat het niet gecomprimeerd is. 11.2-18 is het revisienummer. .bin geeft aan dat het Cisco-IOS een binair en uitvoerbaar bestand is. c2500 /j s

De laatste regel in de routeruitvoer geeft aan dat het flash-geheugen 16.384 Kb (of␣ 16 Mb) groot is. Stel dat het nieuwe bestand dat u wilt gebruiken 10 Mb groot is. U weet nu dus dat daar ruimte genoeg voor is. Als u eenmaal zeker weet dat het IOS dat u wilt kopiëren in het flash-geheugen past, kunt u de huidige versie veiligstellen.

7.4.2

Veiligstellen van het Cisco-IOS Om het Cisco-IOS op een TFTP-host veilig te stellen, gebruikt u copy flash tftp . Dit is een eenvoudige opdracht waarvoor alleen de bronbestandsnaam en het IP-adres van de TFTP-host nodig zijn. De sleutel tot succes is een goede verbinding met de TFTP-host. Controleer de verbinding door de host te pingen een opdracht die u intikt achter de console-prompt van de router: Router#ping 192.168.0.120 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.120, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms


319

De Ping- (Packet Internet Groper-)utility wordt gebruikt om de netwerkverbinding te testen. U ziet het in sommige voorbeelden in dit hoofdstuk. Later in dit hoofdstuk wordt het behandeld in paragraaf 7.9 ‘Netwerkverbindingen controleren’.

Ping de TFTP-host om er zeker van te zijn dat IP werkt. Geef dan de opdracht copy flash tftp zodat het IOS naar de TFTP-host wordt gekopieerd. Nu ziet u de

naam van het bestand in het flash-geheugen. Dat maakt het makkelijk voor u. Kopieer de bestandsnaam en plak die op de juiste plek als het systeem u om de naam van het bronbestand vraagt. Router#copy flash tftp System flash directory: File Length Name/status 1 8121000 c2500-js-l.112-18.bin [8121064 bytes used, 8656152 available, 16777216 total] Address or name of remote host [255.255.255.255]? 192.168.0.120 Source file name? c2500-js-l.112-18.bin Destination file name [c2500-js-l.112-18.bin]? (press enter) Verifying checksum for ‘c2500-js-l.112-18.bin’)file #1)...OK Copy ‘/c2500-js-l.112-18’ from Flash to server as ‘/c2500-js-l.112-18’? [yes/no]y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [uitvoer verwijderd] Upload to server done Flash copy took 00:02:30 [hh:mm:ss] Router#

In dit voorbeeld is de inhoud van het flash-geheugen met succes naar de TFTP-host gekopieerd. Het adres van de remote host is het IP-adres van de TFTP-host. De naam van het bronbestand is het bestand in het flash-geheugen.

Bij de opdracht copy flash tftp wordt u niet om de locatie van een bestand gevraagd of waar het bestand neergezet moet worden. TFTP is het ‘lees het en schrijf het’-programma. Op de TFTP-host moet een standaard-directory zijn gespecificeerd, anders werkt het niet.


320

7.4.3

Het terugzetten of opwaarderen van het Ciscorouter-IOS Soms is het nodig het Cisco-IOS terug te zetten naar het flash-geheugen, bijvoorbeeld om een beschadigd bestand te vervangen of om het IOS op te waarderen (upgraden). U kunt het bestand van een TFTP-host naar het flash-geheugen overzetten (downloaden) met copy tftp flash. Voor deze opdracht hebt u het IP-adres van de TFTP-host nodig en de naam van het bestand dat u naar het flash-geheugen wilt overzetten. Kijk voordat u begint of het bestand dat u in het flash-geheugen wilt zetten, in de standaard TFTP-directory op de host staat. Als u de opdracht tot overzetten geeft, vraagt TFTP u niet waar het bestand is. Als het bestand dat u wilt terughalen niet in de standaard-directory van de TFTP-host staat, werkt deze procedure niet.

Om het IOS van een TFTP-host naar het flash-geheugen te kopiëren moet de router herstart worden. Het is dus verstandig dit niet op maandagochtend om 9 uur te doen.

Nadat u de opdracht copy tftp flash hebt ingevoerd, ziet u twee mededelingen: 1. De router moet herstarten. 2. Er moet een ‘ROM-based IOS-image’ draaien om deze taak te kunnen uitvoeren: Router#copy tftp flash **** NOTICE **** Flash load helper v1.0 This process will accept the copy options and then terminate The current system image to use the ROM based image for the copy. Routing functionality will not be available during that time. If you are logged in via telnet, this connection will terminate. Users with console access can see the results of the copy operation. ---- ******** ---Proceed? [confirm](press enter)

Druk op Enter om te bevestigen dat u de router wilt herstarten. De volgende routeruitvoer verschijnt. Als de router de TFTP-host eenmaal heeft gebruikt, zal hij dat adres onthouden en u alleen nog vragen op Enter te drukken.


321

System flash directory: File Length Name/status 1 8121000 /c2500-js-l.112-18 [8121064 bytes used, 8656152 available, 16777216 total] Address or name of remote host [192.168.0.120]? (press enter)

Achter de volgende prompt voert u de naam van het bestand in dat u naar het flash-geheugen wilt kopiëren. Zoals u weet, moet dit bestand in de standaarddirectory van de TFTP-host staan. Source file name? c2500-js56i-l.120-9.bin Destination file name [c2500-js56i-l.120-9.bin]? (press enter) Accessing file ‘c2500-js56i-l.120-9.bin’ on 192.168.0.120... Loading c2500-js56i-l.120-9.bin from 192.168.0.120 (via Ethernet0): ! [OK]

Geef de router de bestandsnaam en vertel deze waar het bestand staat. Dan vraagt hij u om te bevestigen dat u de inhoud van het flash-geheugen wilt wissen.

De router vraagt u in twee gevallen de inhoud van het flash-geheugen te wissen voordat deze het nieuwe bestand in het flash-geheugen zet. 1. Als er onvoldoende ruimte is in het flash-geheugen om beide kopieën te bevatten. 2. Als het flash-geheugen nieuw is (er is nog niet eerder een bestand naar toe is geschreven).

U krijgt drie maal een vraag, gewoon om er zeker van te zijn dat u echt wilt doorgaan met het wissen van het flash-geheugen. Als u nog niet de opdracht copy run start hebt gegeven moet u dat alsnog doen, want de router moet herstarten. Erase flash device before writing? [confirm] (press enter) Flash contains files. Are you sure you want to erase? [confirm] (press enter) System configuration has been modified. Save? [yes/no]: y Building configuration... [OK] Copy ‘c2500-js56i-l.120-9.bin’ from server as ‘c2500-js56i-l.120-9.bin’ into Flash WITH erase? [yes/no] y

Vul ‘yes’ in bij het wissen van het flash-geheugen. Nu moet de router herstarten en een klein IOS laden vanuit het ROM-geheugen. U kunt het flashbestand niet wissen als het gebruikt wordt.

322


Nu is de inhoud van het flash-geheugen gewist. Het bestand van de TFTP-host wordt gelezen en naar het flash-geheugen gekopieerd. %SYS-5-RELOAD: Reload requested %FLH: c2500-js56i-l.120-9.bin from 192.168.0.120 to flash ... System flash directory: File Length Name/status 1 8121000 /c2500-js-l.112-18 [8121064 bytes used, 8656152 available, 16777216 total] Accessing file ‘c2500-js56i-l.120-9.bin’ on 192.168.0.120... Loading c2500-js56i-l.120-9.bin .from 192.168.0.120 (via Ethernet0): ! [OK] Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee Loading c2500-js56i-l.120-9.bin from 192.168.0.120 (via Ethernet0): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! [uitvoer verwijderd]

De e-tekens geven de voortgang aan: ze laten zien hoever het wissen van de inhoud van het flash-geheugen is gevorderd . Elk uitroepteken (!) betekent dat een UDP-segment succesvol overgezet is. Als de kopie gemaakt is verschijnt dit bericht: [OK - 10935532/16777216 bytes] Verifying checksum... OK (0x2E3A) Flash copy took 0:06:14 [hh:mm:ss] %FLH: Re-booting system after download

Nadat het bestand in het flash-geheugen is geladen, wordt er een checksum (foutcontrole aan de hand van een controlegetal) uitgevoerd. De router herstart en draait het nieuwe IOS-bestand.

Cisco-routers kunnen zelf een TFTP-server-host worden voor een routerconfiguratie of IOS-versie die in het flash-geheugen staat. De algemene configuratie-opdracht is tftp-server tftp:.


323

7.5 De Cisco-configuratie veiligstellen en terugzetten Alle wijzigingen die u doorvoert op de routerconfiguratie worden opgeslagen in het bestand running-config. Als u de opdracht copy run start niet geeft na een verandering in running-config, zal die wijziging verdwijnen als de router herstart of uitvalt. Het is verstandig de configuratiegegevens ook buiten de router veilig te stellen voor het geval de router of switch de geest geeft. Een kopie van de configuratiegegevens kan ook dienst doen als documentatie van uw configuratie. De volgende paragrafen beschrijven hoe u de configuratie van een router en switch naar een TFTP-host kopieert. U leert ook hoe u die configuratie herstelt.

7.5.1

De Cisco-routerconfiguratie veiligstellen Om de routerconfiguratie te kopiëren van een router naar een TFTP-host gebruikt u de opdracht copy running-config tftp ofwel copy startup-config tftp. Beide opdrachten stellen de routerconfiguratie veilig die op dat moment in DRAM draait of in NVRAM is opgeslagen.

De huidige configuratie controleren Controleer de configuratie in het DRAM met show running-config (kortweg: sh run): Router#sh run Building configuration... Current configuration: ! version 12.0

Deze configuratiegegevens vertellen u dat de router nu versie 12.0 van het IOS draait.

De opgeslagen configuratie verifiëren Nu moet u de configuratie die in het NVRAM is opgeslagen controleren. Om die configuratie op te vragen, geeft u de opdracht show startup-config (kortweg: sh start).

324

Hoofdstuk 7 • Een Cisco-internetwerk beheren Router#sh start Using 366 out of 32762 bytes ! version 11.2

De tweede regel toont hoeveel ruimte de veiligheidskopie van uw configuratie in beslag neemt. In dit voorbeeld is het NVRAM 32 Kb en slechts 366 bytes ervan worden gebruikt. De configuratie-versie in het NVRAM is 11.2 (omdat de runningconfig niet naar startup-config is gekopieerd nadat de router werd opgewaardeerd). Als u niet zeker weet of alle bestanden hetzelfde zijn, en u weet zeker dat u het bestand running-config wilt gebruiken, geef dan de opdracht copy runningconfig startup-config om er zeker van te zijn dat beide bestanden hetzelfde zijn. Deze procedure wordt in het volgende gedeelte beschreven.

De huidige configuratie kopiëren naar het NVRAM Door running-config als veiligheidskopie naar het NVRAM te kopiëren (zie schermafdruk), weet u zeker dat uw running-config altijd herladen wordt als de router herstart. In de nieuwe IOS-versie 12.0, wordt gevraagd welke bestandsnaam u wilt gebruiken. Omdat in dit voorbeeld IOS-versie 11.2 draaide toen de laatste keer een copy run start werd uitgevoerd, zegt de router nu dat deze dit bestand vervangt door de nieuwe versie 12.0. Router#copy run start Destination filename [startup-config]? (press enter) Warning: Attempting to overwrite an NVRAM configuration previously written by a different version of the system image. Overwrite the previous NVRAM configuration?[confirm](press enter) Building configuration... [OK] Typ nu show startup-config. U ziet versie 12.0: Router#sh start Using 487 out of 32762 bytes ! version 12.0

De configuratie naar een TFTP-host kopiëren Als het bestand eenmaal naar het NVRAM is gekopieerd, kunt een tweede veiligheidskopie maken naar een TFTP-host met copy running-config tftp (kortweg: copy run tftp):


325

Router#copy run tftp Address or name of remote host []? 192.168.0.120 Destination filename [router-confg]? todd1-confg !! 487 bytes copied in 12.236 secs (40 bytes/sec) Router#

Dit kost slechts twee uitroeptekens (!!) (UDP-bevestigingen). In dit voorbeeld is het bestand todd1-confg genoemd omdat er geen host-naam voor de router is ingesteld. Als u een host-naam hebt geconfigureerd, wordt de bestandsnaam automatisch de host-naam plus de extensie -confg.

7.5.2

De Cisco-routerconfiguratie herstellen Als u de running-config van de router hebt gewijzigd en terug wilt zetten naar de versie in de startup-config, kunt u dat het beste doen met copy startupconfig running-config (kortweg: copy start run). U kunt ook de oudere Cisco-opdracht config mem intikken om een configuratie te herstellen. Dit werkt natuurlijk alleen als u eerst running-config naar het NVRAM hebt gekopieerd voordat u wijzigingen aanbracht. Als u de routerconfiguratie naar een TFTP-host hebt gekopieerd als een tweede veiligheidskopie, herstelt u de configuratie met copy tftp running-config, (kortweg: copy tftp run) of copy tftp startup-config, (kortweg: copy tftp start), zoals hieronder. Onthoud dat de oude opdracht hiervoor config net is. Router#copy tftp run Address or name of remote host []? 192.168.0.120 Source filename []? todd1-confg Destination filename [running-config]? (press enter) Accessing tftp://192.168.0.120odd1-confg... Loading todd1-confg from 192.168.0.120 (via Ethernet0): !! [OK - 487/4096 bytes] 487 bytes copied in 5.400 secs (97 bytes/sec) Router# 00:38:31: %SYS-5-CONFIG: Configured from tftp:// 192.168.0.120odd1-confg Router#

Het configuratiebestand is een ASCII-tekstbestand. U kunt het bestand dus wijzigingen met een willekeurige tekstverwerker voordat u de configuratie vanaf een TFTP-host op een router terugzet.


326

7.5.3

De configuratie wissen Het bestand startup-config op een Cisco-router kunt u wissen met erase startup-config. Router#erase startup-config Erasing the nvram filesystem will remove all files! Continue? [confirm](press enter) [OK] Erase of nvram: complete Router#

Deze opdrachten wissen de inhoud van het NVRAM op de router. De volgende keer dat de router start, activeert deze de setup-modus.

7.6 Cisco Discovery Protocol Het Cisco Discovery Protocol (CDP) is een producentspecifiek (proprietary) protocol dat is ontworpen door Cisco. Het helpt beheerders gegevens te verzamelen over lokale en niet-lokale apparaten. Met CDP kunt u hardware- en protocolgegevens verzamelen over naburige apparaten. Deze gegevens zijn nuttig om problemen mee op te lossen en om netwerkdocumentatie mee op te stellen.

7.6.1

Gegevens verzamelen over CDP-timers en holdtime De opdracht show cdp (kortweg: sh cdp) levert gegevens op over twee algemene CDP-parameters die op Cisco-apparaten geconfigureerd kunnen worden: • CDP-timer geeft aan hoe vaak CDP zijn pakketten uitstuurt via alle actieve interfaces. • CDP-holdtime is het aantal seconden dat een apparaat een pakket bewaart dat het van naburige apparaten ontvangt. De Cisco-routers en de Cisco-switches gebruiken dezelfde parameters. De uitvoer op een router ziet er zo uit: Router#sh cdp Global CDP information: Sending CDP packets every 60 seconds Sending a holdtime value of 180 seconds Router#


327

De algemene opdrachten cdp holdtime en cdp timer configureren de CDPholdtime en timer op een router. Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#cdp ? holdtime Specify the holdtime (in sec) to be sent in packets timer Specify the rate at which CDP packets are sent(in sec) run Router(config)#cdp timer 90 Router(config)#cdp holdtime 240 Router(config)#^Z

U kunt CDP volledig uitschakelen door vanuit de algemene configuratiemodus van een router de opdracht no cdp run in te tikken. Het CDP kan in- of uitgeschakeld worden op een routerinterface met no cdp enable en cdp enable. Deze worden later in dit hoofdstuk besproken inde paragraaf 7.6.4, ‘Poort- en interfacegegevens verzamelen’.

7.6.2

Gegevens verzamelen over de buren Met de opdracht show cdp neighbor, (kortweg: sh cdp nei) ziet u gegevens over direct-verbonden apparaten. Het is belangrijk om te onthouden dat CDP-pakketten niet een Cisco-switch passeren. U ziet alleen de switch die direct met de router verbonden is. Op een router die verbonden is met een switch ziet u geen andere apparaten die verbonden zijn aan de switch. Deze uitvoer ziet u op 2509 router na de opdracht show cdp neighbor

Todd2509#sh cdp nei Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID 1900Switch Eth 0 238 T S 1900 2 2500B Ser 0 138 R 2500 Ser 0 Todd2509#

Direct-verbonden aan de 2509-router zijn een switch met de host-naam 1900Switch en een router uit serie 2500 met host-naam 2500B. In de CDP-tabel op de 2509-router ziet u geen apparaten die verbonden zijn met de 1900Switch en de router 2500B. U ziet alleen alle apparaten die direct met de router 2509 verbonden zijn.


328

Tabel 7.5 vat de gegevens samen die u ziet met de opdracht show cdp neighbor. Deze opdracht toont voor elk apparaat dat direct-verbonden is met het apparaat waarop u deze opdracht geeft. Tabel 7.5

Uitvoer van de opdracht show cdp neighbor Veld

Beschrijving

Device ID

De host-naam van het apparaat dat direct-verbonden is met de router of switch. De poort of interface waarop u het CDP-pakket ontvangt. De tijd dat de router de gegevens bewaart voordat die weggegooid worden als er geen CDP-pakketten meer binnenkomen. De mogelijkheden van de buurman, zoals router, switch, of repeater. De capability-codes staan boven in de uitvoer van deze opdracht. Het type Cisco-apparaat. In de bovenstaande uitvoer zijn de routers Cisco-2509, Cisco-2511 en Catalyst-5000 verbonden met de 1900switch. Router 2509 ziet alleen de 1900-switch en router 2501 omdat die twee die via zijn interface serial 0 met deze router verbonden zijn. De poort of interface van het buurapparaat waarop de CDPpakketten worden gebroadcast.

Local Interface Holdtime Capability

Platform

Port ID

Een andere opdracht die gegevens over de buren oplevert is show cdp neighbor detail, (kortweg: show cdp nei de). Deze opdracht kan ook gegeven worden op de router of de switch. Hiermee ziet u gedetailleerde gegevens over elk apparaat dat verbonden is aan het apparaat waarop de opdracht wordt gegeven, zoals de onderstaande routeruitvoer laat zien. Todd2509#sh cdp neighbor detail -------------------------------------------------------Device ID: 1900Switch Entry address(es): IP address: 0.0.0.0 Platform: cisco 1900, Capabilities: Trans-Bridge Switch Interface: Ethernet0, Port ID (outgoing port): 2 Holdtime : 166 sec Version : V9.00 -------------------------------------------------------Device ID: 2501B Entry address(es): IP address: 172.16.10.2


329

Platform: cisco 2500, Capabilities: Router Interface: Serial0, Port ID (outgoing port): Serial0 Holdtime : 154 sec Version : Cisco Internetwork Operating System Software IOS (tm) 3000 Software (IGS-J-L), Version 11.1(5), RELEASE SOFTWARE (fc1)Copyright (c) 1986-1996 by cisco Systems, Inc.Compiled Mon 05-Aug-96 11:48 by mkamson Todd2509#

Deze uitvoer onthult de host-naam en het IP-adres van de direct-verbonden apparaten. De opdracht show cdp neighbor (zie tabel 7.5) en show cdp neighbor detail tonen dezelfde gegevens, maar met één verschil: de laatste optie vertelt ook welke IOS-versie op het buurapparaat draait. De opdracht show cdp entry * geeft dezelfde gegevens als show cdp neighbor details. Een voorbeeld van de routeruitvoer van de opdracht show cdp entry *: Todd2509#sh cdp entry * ---------------------------------------------------------Device ID: 1900Switch Entry address(es): IP address: 0.0.0.0 Platform: cisco 1900, Capabilities: Trans-Bridge Switch Interface: Ethernet0, Port ID (outgoing port): 2 Holdtime : 223 sec Version : V9.00 ---------------------------------------------------------Device ID: 2501B Entry address(es): IP address: 172.16.10.2 Platform: cisco 2500, Capabilities: Router Interface: Serial0, Port ID (outgoing port): Serial0 Holdtime : 151 sec Version : Cisco Internetwork Operating System Software IOS (tm) 3000 Software (IGS-J-L), Version 11.1(5), RELEASE SOFTWARE (fc1)Copyright (c) 1986-1996 by cisco Systems, Inc.Compiled Mon 05-Aug-96 11:48 by mkamson Todd2509#

7.6.3

Verkeersgegevens over een interface verzamelen Met de opdracht show cdp traffic ziet u gegevens over verkeer op een interface, zoals het aantal CDP-pakketten dat is verzonden/ontvangen en de aantallen fouten met CDP.


330

Deze uitvoer toont de uitvoer op een router na de opdracht show cdp traffic. Router#sh cdp traffic CDP counters : Packets output: 13, Input: 8 Hdr syntax: 0, Chksum error: 0, Encaps failed: 0 No memory: 0, Invalid packet: 0, Fragmented: 0 Router#

Dit zijn niet de meest belangrijke gegevens die u van een router kunt krijgen, maar deze uitvoer laat wel zien hoeveel CDP-pakketten er op een apparaat worden verzonden dan wel ontvangen.

7.6.4

Poort- en interfacegegevens verzamelen De opdracht show cdp interface (kortweg: sh cdp inter) toont de CDP-status op router-interfaces of switch-poorten. Zoals u weet kunt u CDP op een router volledig uitschakelen met de opdracht no cdp run. Het CDP kan echter ook per afzonderlijke interface uitgeschakeld worden met no cdp enable. U schakelt een poort in met cdp enable. Alle poorten en interfaces komen nu standaard op cdp enable staan. Op een router toont de opdracht show cdp interface gegevens over elke interface die CDP gebruikt, inclusief de encapsulation op de verbinding, de timer en de holdtime voor elke interface. Een voorbeeld van de routeruitvoer na die opdracht: Router#sh cdp interface Ethernet0 is up, line protocol is up Encapsulation ARPA Sending CDP packets every 60 seconds Holdtime is 180 seconds Serial0 is administratively down, line protocol is down Encapsulation HDLC Sending CDP packets every 60 seconds Holdtime is 180 seconds Serial1 is administratively down, line protocol is down Encapsulation HDLC Sending CDP packets every 60 seconds Holdtime is 180 seconds

Om CDP op één interface of router uit te schakelen, typt u no cdp enable in de configuratiemodus van die interface:

Studiegids Cisco CCNA Router#config t Enter configuration commands, one per line. Router(config)#int s0 Router(config-if)#no cdp enable Router(config-if)#^Z

331

End with CNTL/Z.

Controleer de wijziging met show cdp interface: Router#sh cdp int Ethernet0 is up, line protocol is up Encapsulation ARPA Sending CDP packets every 60 seconds Holdtime is 180 seconds Serial1 is administratively down, line protocol is down Encapsulation HDLC Sending CDP packets every 60 seconds Holdtime is 180 seconds Router#

De uitvoer hierboven laat zien dat serial 0 niet in de routeruitvoer staat. Als u een cdp enable uitvoert op serial 0, komt deze wel tevoorschijn.

7.7 Telnet Telnet is een virtueel terminal protocol dat deel uitmaakt van de TCP/IP protocollen. Met Telnet kunt u verbindingen leggen naar niet-lokale apparaten, gegevens verkrijgen, en programma’s draaien. Als u de routers en switches hebt geconfigureerd, kunt u het Telnet-programma toepassen. Hiermee kunt u routers en switches configureren en controleren zonder een console-kabel. U start het Telnet-programma door telnet te tikken achter een willekeurige opdracht prompt (DOS of Cisco). Er moeten wel VTY-wachtwoorden ingesteld zijn op de routers, anders werkt het niet. U kunt CDP niet gebruiken om gegevens te krijgen over routers en switches die niet direct-verbonden zijn met het apparaat waarop u werkt. Maar u kunt de Telnetapplicatie wel gebruiken om verbinding te leggen met de buurapparaten. Vervolgens kunt u CDP draaien op die buurapparaten zodat u CDP-gegevens krijgt over apparaten die aan de buurapparaten zijn verbonden. U kunt de opdracht Telnet tikken achter elke routerprompt, zoals u hieronder ziet: Todd2509#telnet 172.16.10.2 Trying 172.16.10.2 ... Open Password required, but none set


332

[Connection to 172.16.10.2 closed by foreign host] Todd2509#

U ziet het, wachtwoorden zijn niet ingesteld – wat een blunder! Onthoud dat de VTY-poorten op een router zijn geconfigureerd als login. Dit betekent dat u de VTYwachtwoorden moet instellen of no login moet gebruiken. (Zie hoofdstuk 4 voor de details bij het instellen van wachtwoorden.) Op een Cisco-router hoeft u de opdracht Telnet niet te gebruiken. Als u gewoon een IP-adres tikt achter een opdrachtprompt, neemt de router aan dat u naar het apparaat wilt telnetten, zoals u hier ziet: Todd2509#172.16.10.2 Trying 172.16.10.2 ... Open Password required, but none set [Connection to 172.16.10.2 closed by foreign host] Todd2509#

Het is tijd de VTY-wachtwoorden in te stellen op de router waarnaar de telnetsessie moet plaatsvindenten. Dit is wat er is gedaan: 2501B#config t Enter configuration commands, one per line. End with CNTL/Z. 2501B(config)#line vty 0 4 2501B(config-line)#login 2501B(config-line)#password todd 2501B(config-line)#^Z 2501B# %SYS-5-CONFIG_I: Configured from console by console

Probeer nu nog eens de router verbinding te laten leggen (vanaf de console van router 2509). Todd2509#172.16.10.2 Trying 172.16.10.2 ... Open User Access Verification Password: 2501B>

Onthoud dat het VTY-wachtwoord het gebruikersmodus-wachtwoord is, niet het enable-wachtwoord. Dit gebeurt er u probeert naar beheerdersmodus te gaan nadat u een telnet-sessie hebt gehad naar router 2501B:


333

2501B>en % No password set 2501B>

Dit is een goede beveiliging. U wilt immers niet dat iemand in uw apparaat kan telnetten en dan in staat is enable in te tikken. Daarmee zou hij/zij immers in beheerdersmodus komen. U moet uw ‘enable modus’-wachtwoord of ‘enable secret’wachtwoord instellen als u Telnet gebruikt om niet-lokale apparaten mee te configureren.

7.7.1

Telnetten naar meer apparaten tegelijk Als u naar een router of switch telnet, kunt u de verbinding verbreken door op een willekeurig moment exit te typen. Maar wat doet u als u de verbinding naar een niet-lokaal apparaat open wilt houden en toch terug wilt gaan naar uw oorspronkelijke router-console? Dan drukt u op Ctrl+Shift+6, laat los en drukt dan op X. Hier is een voorbeeld van een verbinding naar meer apparaten vanaf de console van de router Todd2509: Todd2509#telnet 172.16.10.2 Trying 172.16.10.2 ... Open User Access Verification Password: 2501B> [Ctrl-Shift-6 en vervolgens X] Todd2509#

In dit voorbeeld was er een telnet-sessie naar router 2501B en het wachtwoord is ingevoerd om in gebruikersmodus te komen. Vervolgens is op Ctrl+Shift+6 en daarna op X gedrukt (dit is niet op de schermuitvoer te zien). De opdrachtprompt is nu terug op router Todd2509. U kunt ook naar een 1900-switch telnetten. Dan moet u het enable moduswachtwoord van niveau 15 instellen op de switch voordat u toegang krijgt via de Telnet-applicatie. (Zie appendix B voor gegevens over het instellen van de 1900switch wachtwoorden.) In dit voorbeeld was er een telnet-sessie naar een 1900switch, die de console-uitvoer van de switch laat zien. Todd2509#telnet 192.168.0.148 Trying 192.168.0.148 ... Open Catalyst 1900 Management Console Copyright (c) Cisco Systems, Inc. All rights reserved.

1993-1999


334

Enterprise Edition Software Ethernet Address: 00-B0-64-75-6B-C0 PCA Number: 73-3122-04 PCA Serial Number: FAB040131E2 Model Number: WS-C1912-A System Serial Number: FAB0401U0JQ Power Supply S/N: PHI033108SD PCB Serial Number: FAB040131E2,73-3122-04 --------------------------------------------1 user(s) now active on Management Console. User Interface Menu [M] Menus [K] Command Line Enter Selection:

Hier is op Ctrl+Shift+6 en daarna op X gedrukt. Op die manier keert u terug naar de router-console van Todd2509. Todd2509#

7.7.2

Telnet-verbindingen controleren Controleer de verbindingen die u van de router naar een niet-lokaal apparaat gemaakt hebt met how sessions. Todd2509#sh sessions Conn Host Address 1 172.16.10.2 172.16.10.2 * 2 192.168.0.148 192.168.0.148 Todd2509#

Byte 0 0

Idle Conn Name 0 172.16.10.2 0 192.168.0.148

Ziet u het sterretje (*) naast verbinding 2? Dit betekent dat u de laatste keer dat u telnette, sessie 2 hebt gebruikt. U kunt naar die laatste sessie terugkeren door tweemaal op Enter te drukken. U kunt ook naar een sessie terugkeren door het nummer van de verbinding in te tikken en dan tweemaal op Enter te drukken.

7.7.3

Telnet-gebruikers controleren U krijgt een overzicht van alle consoles en VTY-poorten die actief zijn op uw router met show users:

Studiegids Cisco CCNA Todd2509#sh users Line User * 0 con 0

335

Host(s) 172.16.10.2 192.168.0.148

Idle Location 00:07:52 00:07:18

In de uitvoer van de tweede opdracht staat con voor de lokale console. In dit voorbeeld is de console verbonden met twee niet-lokale IP-adressen of apparaten. In het volgende voorbeeld is een telnet-sessie tot stand gebracht vanaf router Todd2509 naar router 2501B. Daar is de opdracht show users gegeven. 2501B>sh users Line User 0 con 0 * 2 vty 0

Host(s) idle

Idle Location 9

Deze uitvoer betekent dat de console actief is en dat VTY-poort 2 is in gebruik is. Het sterretje staat voor de terminal-poort die vóór het geven van de opdracht sh users werd gebruikt.

7.7.4

Telnet-sessies afsluiten Telnet-sessies zijn op een paar manieren af te sluiten. Typ exit of disconnect. Dit zijn waarschijnlijk de makkelijkste en snelste manieren. Om een sessie van een ander apparaat te stoppen, typt u exit. Todd2509# (Druk hier twee keer op Enter.) [Resuming connection 2 to 192.168.0.148 ... ] 1900Switch>exit [Connection to 192.168.0.148 closed by foreign host] Todd2509#

Omdat de 1900-switch de laatste sessie was, moet u twee keer op Enter drukken en deze sessie stoppen. U stopt een sessie met een lokaal apparaat met disconnect. Todd2509#disconnect ? <1-2> The number of an active network connection WORD The name of an active network connection Todd2509#disconnect 1 Closing connection to 172.16.10.2 [confirm] Todd2509#


336

In dit voorbeeld is het sessienummer 1 gebruikt omdat de verbinding naar router 2501B moet worden afgebroken. Zoals u weet, kunt u met show sessions het verbindingsnummer te weten komen. Als u een sessie wilt afbreken van een apparaat dat via Telnet aan uw router hangt, moet u eerst controleren of er apparaten met uw router zijn verbonden. Doe dit met show users. 2501B#sh Line * 0 con 1 aux 2 vty

users User 0 0 0

Host(s) idle idle idle

Idle Location 0 0 0 172.16.10.1

Deze uitvoer toont dat VTY-0 (verbindingsnummer 2) met IP-adres 172.16.10.1 verbinding heeft gelegd. Dat is router Todd2509. Verbreek de verbinding met clear line # . 2501B#clear line 2 [confirm] [OK]

Controleer of de verbinding is verbroken met show users. 2501B#sh users Line User * 0 con 0 1 aux 0

Host(s) idle idle

Idle Location 0 1

2501B#

Deze uitvoer laat zien dat de verbinding is verbroken.

7.8 Host-namen vertalen Als u verbinding wilt leggen met een ander apparaat door een host-naam in plaats van met een IP-adres, moet het apparaat waarmee u verbinding legt in staat zijn de hostnaam naar een IP-adres te vertalen. Er zijn twee manieren om host-namen naar IP-adressen te vertalen: een host-tabel bouwen op elke router, of een Domain Name System (DNS)-server bouwen. Zo’n DNS heeft veel weg van een dynamische host-tabel.


7.8.1

337

Een host-tabel maken Een host-tabel kan (alleen op de router waarop deze staat) gebruikt worden om hostnamen naar IP-adressen te vertalen. U bouwt een host-tabel op een router met de opdracht ip host name tcp_port_number ip_address Het standaard TCP-poortnummer van Telnet is 23. U kunt echter ook een Telnetsessie op de router beginnen op een ander TCP-poortnummer, dat u zelf kunt toewijzen. U kunt maximaal acht IP-adressen toewijzen aan een host-naam. Hier is een voorbeeld van het configureren van een host-tabel. In dit voorbeeld heeft de tabel twee records die de namen van de 2501B-router en de 1900-switch naar IP-adressen vertalen. Todd2509#config t Enter configuration commands, one per line. Todd2509(config)#ip host ? WORD Name of host

End with CNTL/Z.

Todd2509(config)#ip host 2501B ? <0-65535> Default telnet port number A.B.C.D Host IP address (maximum of 8) Todd2509(config)#ip host 2501B 172.16.10.2 ? A.B.C.D Host IP address (maximum of 8) Todd2509(config)#ip host 2501B 172.16.10.2 Todd2509(config)#ip host 1900Switch 192.168.0.148 Todd2509(config)#^Z

U bekijkt de host-tabel met show hosts. Todd2509#sh hosts Default domain is not set Name/address lookup uses domain service Name servers are 255.255.255.255 Host 2501B 1900Switch Todd2509#

Flags Age Type (perm, OK) 0 IP (perm, OK) 0 IP

Address(es) 172.16.10.2 192.168.0.148

In de voorgaande routeruitvoer ziet u de twee host-namen en de daaraan gekoppelde IP-adressen. De perm in de kolom Flags betekent dat de rij met de hand is geconfigureerd. Als er Temp staat, is het een rij die door DNS is vertaald.


338

Om na te gaan of de host-tabel namen vertaalt, tikt u de host-namen achter een router-prompt in. Onthoud dat, als u de opdracht niet specificeert, de router aanneemt dat u wilt telnetten. In het volgende voorbeeld zijn de host-namen gebruikt om naar de niet-lokale apparaten te telnetten. Daarna is op Ctrl+Shift+6 gedrukt. En tot slot is X getypt om terug te keren naar de hoofdconsole van router Todd2509. Todd2509#2501b Trying 2501B (172.16.10.2)... Open User Access Verification Password: 2501B> Todd2509#(control+shift+6,en dan x) Todd2509#1900switch Trying 1900switch (192.168.0.148)... Open Catalyst 1900 Management Console Copyright (c) Cisco Systems, Inc. 1993-1999 All rights reserved. Enterprise Edition Software Ethernet Address: 00-B0-64-75-6B-C0 PCA Number: 73-3122-04 PCA Serial Number: FAB040131E2 Model Number: WS-C1912-A System Serial Number: FAB0401U0JQ Power Supply S/N: PHI033108SD PCB Serial Number: FAB040131E2,73-3122-04 --------------------------------------------1 user(s) now active on Management Console. User Interface Menu [M] Menus [K] Command Line Enter Selection: (control+shift+6,en dan x) Todd2509#

De poging met de host-tabel een sessie naar twee apparaten op te zetten, is geslaagd. Daarna zijn de host-namen gebruikt om naar beide apparaten te telnetten. Onderstaand ziet u de uitvoer van de opdracht show sessions. Nu verschijnt de host-naam in plaats van het IP-adres.

Studiegids Cisco CCNA Todd2509#sh sess Conn Host 1 1900switch * 2 2501b Todd2509#

339

Address 192.168.0.148 172.16.10.2

Byte 0 0

Idle Conn Name 0 switch 0 2501b

U kunt een host-naam uit de tabel verwijderen met no ip host zoals in onderstaand voorbeeld: RouterA(config)#no ip host routerb

Het probleem met de host-tabel-methode is dat u op elke router een host-tabel moet maken om namen te vertalen. Als u veel routers hebt en namen wilt vertalen, kunt u beter voor DNS kiezen.

7.8.2

Namen vertalen met DNS Als u veel apparaten hebt en geen host-tabel wilt maken op elk apparaat, is een DNSserver om host-namen te vertalen naar IP-adressen een goede oplossing. Telkens als een Cisco-apparaat een opdracht krijgt die het niet begrijpt, probeert het die te vertalen met DNS. Kijk eens wat er gebeurt er als u de speciale opdracht todd intikt achter een prompt op een Cisco-router. Todd2509#todd Translating ‘todd’...domain server (255.255.255.255) % Unknown command or computer name, or unable to find computer address Todd2509#

De router kent de opgegeven naam niet en weet ook niet welke opdracht u probeert te geven. Dus volgt er een poging de opgegeven naam via DNS te vertalen. Dit is om twee redenen irritant: de router kent de ingevoerde naam niet, en u moet wachten totdat de router klaar is met het zoeken naar en vertalen van de naam. U kunt de DNS-lookup op uw router voorkomen door vanuit de algemene configuratiemodus no ip domain-lookup in te tikken. Als u een DNS-server op uw netwerk hebt, moet u een paar opdrachten toevoegen om ervoor te zorgen dat DNS-naamvertaling werkt: • De eerste opdracht is ip domain-lookup. Die staat standaard aan. Deze opdracht moet alleen gegeven worden als u de DNS-naamvertaling voorheen had uitgeschakeld met de opdracht no ip domain-lookup). • De tweede opdracht is ip name-server. Dit stelt het IP-adres van de DNSserver in. U kunt de IP-adressen van maximaal zes servers invoeren.


340

• De laatste opdracht is ip domain-name. Hoewel deze opdracht facultatief is, is het aan te bevelen deze opdracht wel altijd te geven. Deze voegt de domeinnaam toe aan de host-naam die u intikt. Omdat DNS een Fully Qualified Domain Name (FQDN)-systeem gebruikt, moet u een volledige DNS-naam hebben in de vorm van domain.com. Deze drie opdrachten geeft u als volgt in: Todd2509#config t Enter configuration commands, one per line. End with CNTL/Z. Todd2509(config)#ip domain-lookup Todd2509(config)#ip name-server ? A.B.C.D Domain server IP address (maximum of 6) Todd2509(config)#ip name-server 192.168.0.70 Todd2509(config)#ip domain-name lammle.com Todd2509(config)#^Z Todd2509#

Nadat de DNS-configuraties ingesteld zijn, kunt u de DNS-server testen door met een host-naam naar een andere host-naam te pingen of te telnetten. Todd2509#ping 2501b Translating ‘2501b’...domain server (192.168.0.70) [OK] Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.10.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/31/32 ms

De router gebruikt de DNS-server om de naam te vertalen. Als DNS de naam vertaald hebt, tikt u show hosts om te controleren of de router deze gegevens in de host-tabel heeft opgeslagen. Todd2509#sh hosts Default domain is lammle.com Name/address lookup uses domain service Name servers are 192.168.0.70 Host 2501b.lammle.com 1900switch Todd2509#

Flags Age Type (temp, OK) 0 IP (perm, OK) 0 IP

Address(es) 172.16.10.2 192.168.0.148

De regel die werd gemaakt bij de DNS-vertaling wordt getoond als Temp, maar het 1900-switchapparaat is nog steeds perm. Dit betekent dat het een statische regel is.


341

De host-naam is een volledige domeinnaam. Als u de opdracht ip domain-name lammle.com niet gebruikt had, had u ping 2501b.lammle.com moeten tikken. Dit is vervelend.

7.9 Netwerkverbindingen controleren U kunt de opdrachten ping en Traceroute gebruiken om verbindingen naar nietlokale apparaten te testen. Beide opdrachten kunnen met veel protocollen gebruikt worden, niet alleen met IP.

7.9.1

De opdracht ping In dit hoofdstuk zag u hoe u apparaten moet pingen om IP-verbindingen te testen. Ook leerde u naamvertalingen met de DNS-server uit te voeren. Om alle verschillende protocollen te zien die u met ping kunt gebruiken, geeft u de opdracht ping ?. Todd2509#ping ? WORD Ping destination address or hostname apollo Apollo echo appletalk Appletalk echo clns CLNS echo decnet DECnet echo ip IP echo ipx Novell/IPX echo srb srb echo tag Tag encapsulated IP echo vines Vines echo xns XNS echo

De uitvoer van ping toont de minimale, gemiddelde en maximale tijd die een Ping-pakket nodig heeft om een opgegeven systeem te vinden en weer terug te keren. Hier is nog een voorbeeld: Todd2509#ping todd2509 Translating ‘todd2509’...domain server (192.168.0.70) [OK] Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.0.121, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms Todd2509#


342

U ziet dat de DNS-server gebruikt werd om de naam te vertalen en dat het apparaat in 32 ms (milliseconden) werd gepingt.

De opdracht ping kan gegeven worden in gebruikersmodus en beheerdersmodus maar niet in configuratiemodus.

7.9.2

De opdracht traceroute De opdracht trace toont het pad dat een pakket aflegt om naar een ander apparaat te gaan. Om de protocollen te zien die u kunt gebruiken met traceroute, typt u traceroute ?: Todd2509#traceroute ? WORD Trace route to destination address or hostname appletalk AppleTalk Trace clns ISO CLNS Trace ip IP Trace ipx IPX Trace oldvines Vines Trace (Cisco) vines Vines Trace (Banyan)

Als u probeert trace te gebruiken met IPX of AppleTalk, krijgt u een foutmelding. De opdracht wordt niet ondersteund. Deze protocollen zullen in de nabije toekomst wel worden ondersteund.

De opdracht trace toont de hops (tussenstations) die een pakket aandoet op weg naar een ander apparaat. Deze opdracht gebruikt u als volgt: Todd2509#trace 2501b Type escape sequence to abort. Tracing the route to 2501b.lammle.com (172.16.10.2) 1 2501b.lammle.com (172.16.10.2) 16 msec * Todd2509#

16 msec

U ziet dat het pakket slechts één hop nodig had om zijn bestemming te vinden.


343

7.10 Samenvatting In dit hoofdstuk hebt u geleerd hoe Cisco-routers geconfigureerd worden en hoe u deze configuratie moet beheren. De volgende interne gegevens van een router werden behandeld in dit hoofdstuk: • De interne componenten van een Cisco-router. • De startvolgorde van de router. • Het configuratieregister en hoe dit wordt gewijzigd. • Het wachtwoord herstellen. Daarna leerde u hoe u het Cisco-IOS en de configuratie van een Cisco-router moet veiligstellen en terugzetten. Vervolgens leerde u om CDP en Telnet te gebruiken om gegevens te verzamelen over naburige apparaten. Als laatste leerde u hoe host-namen worden vertaald en hoe u de opdrachten ping en trace gebruikt om netwerkverbindingen te testen.

7.11 Kernbegrippen Voordat u aan het examen deelneemt moet u de volgende termen goed kennen: boot-ROM configuratieregister flash ping RAM ROM Telnet TFTP-host trace


344

7.12 Opdrachten in dit hoofdstuk Onderstaande lijst geeft een overzicht van alle in dit hoofdstuk besproken opdrachten: Opdracht

Beschrijving

cdp enable cdp holdtime cdp run cdp timer clear line

Schakelt in CDP op één interface. Wijzigt de holdtime van CDP-pakketten. Schakelt CDP op een router in. Wijzigt de CDP-update-timer. Sluit een Telnet-verbinding naar uw router af.

config-register

Vertelt de router hoe deze de instellingen van het configuratieregister wijzigt. Deze instellingen bepalen hoe de router moet starten. Kopieert een bestand vanuit het flash-geheugen naar een TFTP-host. Kopieert het bestand running-config bestand naar het startup-config. Kopieert het bestand running-config naar een TFTPhost. Kopieert een bestand van een TFTP-host naar het flashgeheugen. Kopieert een configuratie van een TFTP-host naar het bestand running-config. Brengt u terug naar de oorspronkelijke router als u naar meer routers aan het telnetten bent. Wist de inhoud van het NVRAM op een 1900-switch. Verbreekt de verbinding naar een niet-lokale (remote) router vanuit de oorspronkelijke router. Wist de inhoud van het NVRAM op een router. Verbreekt de Telnet-verbinding naar een andere router. Schakelt DNS-lookup opnieuw in. Voegt een domeinnaam toe aan een DNS-lookup. Maakt een host-tabel op een router. Stelt het IP-adres in van maximaal zes DNS-servers. Schakelt CDP helemaal uit op één interface. Schakelt CDP helemaal uit op een router. Schakelt DNS-lookup uit. Verwijdert een host-naam uit een host-tabel.

copy flash tftp copy run start copy run tftp copy tftp flash copy tftp run Ctrl+Shift+6, dan X (toetsencombinatie) delete nvram disconnect erase startup-config exit ip domain-lookup ip domain-name ip host ip name-server no cdp enable no cdp run no ip domain-lookup no ip host


345

Opdracht

Beschrijving

r 0x2142

Wijzigt een 2501-router. Deze start nu zonder de inhoud van het NVRAM te gebruiken.

ping show cdp show cdp entry *

Test IP-verbindingen naar een niet-lokaal apparaat. Toont de CDP-timer and holdtime-frequenties. Hetzelfde als show cdp neighbor detail, maar werkt niet op een 1900-switch. Toont alle interfaces waarop CDP is ingeschakeld. Toont de direct-verbonden buren en hun basisgegevens. Toont de IP-adressen, de IOS-versie en het IOStype. Toont ook alle gegevens van de show cdp neighbor opdracht. Toont de CDP-pakketten die zijn verstuurd en ontvangen op een apparaat en het aantal fouten (indien van toepassing). Toont de bestanden in het flash-geheugen. Toont de inhoud van de host-tabel. Toont het bestand running-config. Toont de Telnet-verbindingen naar andere apparaten. Toont het bestand startup-config. Toont het IOS-type, de IOS-versie en het configuratieregister. Maakt verbinding met en niet-lokaal apparaat. Bekijkt daar gegevens en draait er programma’s op.

show cdp interface show cdp neighbor show cdp neighbor detail

show cdp traffic

show show show show

flash hosts run sessions

show start show version telnet

tftp-server system ios-name trace

Identificeert een router als een TFTP-server voor de IOS-versie in het flash-geheugen. Test een verbinding naar een ander apparaat en toont het pad door het internetwerk naar dat niet-

Hoofdstuk

9

Verkeer met toegangslijsten beheren DE VOLGENDE ONDERWERPEN UIT HET CCNA-EXAMEN WORDEN IN DIT HOOFDSTUK BEHANDELD: ✓ Netwerkmanagement •

Configureren van standaardtoegangslijsten om IP-verkeer in beeld te brengen.

•

Configureren van uitgebreide toegangslijsten om IPverkeer te filteren.

•

Beheren en verifiëren van geselecteerde toegangslijsten op de router.

H

et juiste gebruik en de configuratie van toegangslijsten (access lists) is een wezenlijk onderdeel van routerconfiguratie, omdat toegangslijsten behoren tot de essentiële netwerkonderdelen. Netwerkmanagers hebben met het gebruik van deze toegangslijsten een enorme controle over de verkeersstroom in het internetwerk. Het toepassen van toegangslijsten draagt bij aan de realisatie van een effectief en optimaal netwerk. Met de toegangslijsten verzamelen managers basisinformatie en gegevens over de pakkettenstroom voor implementatie van een veiligheidsbeleid. Gevoelige apparaten zijn aldus beschermd tegen ongeautoriseerde toegang. Toegangslijsten worden gebruikt om pakketten toe te laten of te weigeren wanneer deze door een router gestuurd worden. Daarnaast worden ze toegepast om Telnet (VTY) naar en van een router te weigeren of toe te laten. Tevens worden deze lijsten gebruikt om inbelverzoeken van verderop gelegen locaties (Dial-on-Demand) in te willigen. In dit hoofdstuk worden toegangslijsten voor zowel TCP/IP als IPX behandeld. Daarnaast komen enkele beschikbare opdrachten aan de orde voor het testen en controleren van de toegepaste toegangslijsten.

9.1 Toegangslijsten Toegangslijsten (access lists) zijn essentiële lijsten met voorwaarden die zowel de toegang naar de netwerksegmenten als het verkeer er vandaan controleren. Toegangslijsten filteren ongewenste pakketten en worden gebruikt om een veiligheidsbeleid te implementeren. Met de juiste combinatie van toegangslijsten kunnen netwerkmanagers vrijwel elk toegangsbeleid effectueren. IP- en IPX-toegangslijsten werken op een vergelijkbare manier – het zijn pakketfilters waarmee pakketten worden vergeleken, gecategoriseerd en vervolgens behandeld. Zodra de lijsten zijn opgebouwd, kunnen deze toegepast worden op het inkomende en uitgaande verkeer van iedere interface. Aan de hand van een toegangslijst analyseert de router elk pakket dat door die interface in een specifieke richting gestuurd wordt en onderneemt de juiste actie.


407

Er is een aantal belangrijke regels als een pakket vergeleken wordt met een toegangslijst: • De vergelijking met elke regel in de toegangslijst vindt altijd van boven naar beneden plaats, dus begint met regel 1, dan regel 2, regel 3, regel 4, enzovoort. • De vergelijking met de regels van een toegangslijst wordt gemaakt totdat er een gelijkenis is gevonden. Als het pakket overeenkomsten vertoont met een van de regels in de toegangslijst, wordt er actie ondernomen en worden geen verdere vergelijkingen meer gemaakt. • Het kan zijn dat er een ‘deny’ aan het einde van de lijst staat. Dit betekent dat het pakket verwijderd wordt, omdat geen gelijkenis te vinden is in alle regels van de lijst. De bovenstaande regels zijn van cruciaal belang, wanneer u IP- en IPX-pakketten filtert met toegangslijsten. Er zijn twee soorten toegangslijsten die worden gebruikt met IP en IPX: Standaardtoegangslijsten (Standard access lists) Deze lijsten gebruiken alleen de IP-bronadressen in een IP-pakket om het netwerk te filteren. Het komt er dus op neer dat een complete verzameling protocollen geweigerd of toegang krijgt. IPX-standaardlijsten kunnen zowel op bron- als bestemmingsadres filteren. Uitgebreide toegangslijsten (Extended access lists) Deze controleren zowel de IP-bron- en bestemmingsadressen, als de protocolvelden in de netwerklaagheader en ook wel poortgetal in de transportlaagheader. Uitgebreide IPX-toegangslijsten gebruiken IPX-bron- en bestemmingsadressen, netwerklaagprotocolvelden en socketgetallen in de transportlaagheader. Zodra u een toegangslijst hebt gemaakt, past u deze toe op een interface met een inkomende of uitgaande lijst: Inkomende toegangslijsten Pakketten worden getest tegen de toegangslijst voordat deze gerouteerd wordt naar de uitgaande interface. Uitgaande toegangslijsten Pakketten worden naar de uitgaande interface gerouteerd en hierna getest tegen de toegangslijst. Als u toegangslijsten op een router wilt gebruiken en implementeren gelden de volgende richtlijnen:

Hoofdstuk 9 • Verkeer met toegangslijsten beheren

408

• Er kan slechts een toegangslijst per interface, per protocol en per richting gemaakt worden. Wanneer u bijvoorbeeld IP-toegangslijsten maakt, betekent dit dat u per interface maar een inkomende en een uitgaande toegangslijst kunt maken. • Probeer uw toegangslijsten zo te organiseren dat specifieke testen boven aan de toegangslijst staan. • Elke nieuwe invoer wordt automatisch onder aan de toegangslijst geplaatst. • Het is niet mogelijk om een regel van een lijst te verwijderen. Probeert u dit toch, dan verwijdert u de hele lijst. Wilt u de lijst bewerken, kopieer deze naar een tekstverwerker. De enige uitzondering geldt benoemde toegangslijsten. • Tenzij uw toegangslijst eindigt met de opdracht permit any, worden alle pakketten verworpen als deze niet voldoen aan de eisen. Uiteraard moet elke lijst op zijn minst ergens de opdracht permit bevatten, anders kunt u de interface net zo goed afsluiten. • Maak eerst de toegangslijst en pas deze daarna toe op een interface. Elke gemaakte toegangslijst filtert het verkeer alleen als deze als actieve toegangslijst op een interface geïmplementeerd is. • Toegangslijsten zijn ontworpen om verkeer te filteren dat door een router gestuurd wordt. Het zal niet verkeer filteren dat van de router afkomstig is. • Plaats standaard IP-toegangslijsten zo dicht mogelijk bij de bestemming. • Plaats uitgebreide IP-toegangslijsten zo het dichtst mogelijk bij het bronadres.

9.1.1

Standaard IP-toegangslijsten Standaard IP-toegangslijsten filteren het netwerk op basis van het IP-bronadres in een IP-pakket. U maakt een standaard IP-toegangslijst dooreen lijst een nummer tussen 1 en 99 tot te kennen. Hieronder volgt een voorbeeld van getallen die u kunt gebruiken om uw netwerk te filteren. Welke protocollen u in combinatie met toegangslijsten kunt gebruiken hangt af van het IOS-systeem dat u gebruikt. RouterA(config)#access-list? <1-99> IP standard access list <100-199> IP extended access list <1000-1099> IPX SAP access list <1100-1199> Extended 48-bit MAC address access list <1200-1299> IPX summary address access list <200-299> Protocol type-code access list <300-399> DECnet access list

Studiegids Cisco CCNA <400-499> <500-599> <600-699> <700-799> <800-899> <900-999>

409 XNS standard access list XNS extended access list Appletalk access list 48-bit MAC address access list IPX standard access list IPX extended access list

Door de toegangslijst te nummeren met een getal tussen 1 en 99, weet de router dat u een standaard IP-toegangslijst wilt maken. RouterA(config)#access-list 10? deny Specify packets to reject permit Specify packets to forward

Nadat u het nummer voor de toegangslijst hebt gekozen, beslist u of u in de lijst met de opdracht permit of met deny gaat werken. In onderstaand voorbeeld ziet u de manier waarop de opdracht deny gebruikt wordt: RouterA(config)#access-list 10 deny? Hostname or A.B.C.D Address to match any Any source host host A single host address

De volgende stap vraagt om enige uitleg. Er zijn drie mogelijkheden. U kunt de opdracht any gebruiken om iedere host of netwerk toe te laten of te weigeren. U kunt een IP-adres gebruiken om een match te vinden met een bepaald netwerk of met een bepaalde IP-host. Of u kunt de opdracht host gebruiken om alleen een bepaalde host aan te duiden. Hier is een voorbeeld van het gebruik van de opdracht host: RouterA(config)#access-list 10 deny host 172.16.30.2

Deze opdracht zorgt ervoor dat de lijst alle pakketten van host 172.16.30.2 weigert. De standaardopdracht is host. Anders gezegd, wanneer u access-list 10 deny 172.16.30.2 invoert, veronderstelt de router dat u host 172.16.30.2 bedoelt. Er bestaat echter ook een andere manier om een bepaalde host te specificeren: door gebruik te maken van wildcards. Eigenlijk hebt u geen andere keus wanneer u een netwerk of een subnetwerk wilt specificeren.

Wildcards Wildcards worden met toegangslijsten gebruikt om een host, een netwerk of een deel van en netwerk te specificeren. Om het principe van wildcards te begrijpen, moet u


410

blokgrootte begrijpen. Blokgrootte worden gebruikt om het bereik van adressen te specificeren. De volgende lijst laat enkele verschillende waarden van de blokgrootte zien. Blokgrootte 64 32 16 8 4 Wanneer u het adresbereik wilt specificeren, kiest u de dichtstbijzijnde blokgrootte. Als u bijvoorbeeld 34 netwerken wilt specificeren, kiest u een blokgrootte van 64. Wilt u 18 hosts specificeren, gebruik dan een blokgrootte van 32. Voor 2 netwerken kiest u het beste een blokgrootte van 4. Wildcards worden met de host- of netwerkadressen gebruikt om de router te vertellen met welk bereik de beschikbare adressen gefilterd gaan worden. Wilt u een host specificeren, dan ziet het adres er als volgt uit: 172.16.30.5 0.0.0.0

De vier nullen staan voor de octetten van het adres. Een nul in het adres betekent dat het octet in het adres moet overeenstemmen. Wilt u dat het octet in het adres elke willekeurige waarde kan aannemen, gebruik dan de waarde 255. Hieronder volgt een voorbeeld van een wildcard die een compleet subnet specificeert: 172.16.30.0 0.0.0.255

Deze opdracht instrueert de router de eerste drie octetten exact over te nemen, terwijl het vierde octet elke waarde kan aannemen. Dit was het eenvoudige deel. Wat doet u als u slechts een klein bereik aan subnetten wilt specificeren? Dan gaat de blokgrootte een rol spelen. U moet een waardebereik met behulp van een blokgrootte opgeven. Met andere woorden, u hebt niet de keuze om 20 netwerken te specificeren: 20 is geen blokgrootte. Het bereik kan de waarde 16 of 32 krijgen, maar nooit 20. Stel, u wilt een deel van het netwerk blokkeren dat ligt in het bereik van 172.16.8.0 tot en met 172.16.15.0. Dit bereik heeft een blokgrootte van 8. Het netwerknummer is 172.16.8.0 en de wildcard wordt 0.0.7.255. Nu vraagt u zich waarschijnlijk af wat hier aan de hand is. Het deel 7.255 zijn de getallen die de router gebruikt om de blokgrootte te bepalen. Het netwerk en de wildcard vertellen de router om te starten met 172.16.8.0 en hierna omhoog te gaan in een blokgrootte van acht adressen tot en met netwerk 172.16.15.0.


411

Het is dus eigenlijk niet zo moeilijk. Het zou een idee zijn om nu het binaire rekenen erbij te halen, maar eigenlijk is het eenvoudiger te onthouden dat de wildcard altijd één lager ligt dan de blokgrootte. Neem nu het gegeven voorbeeld. U ziet dat de wildcard 7 moet zijn omdat de blokgrootte 8 is. Gebruikt u een blokgrootte van 16, dan wordt de wildcard 15. Dit is dus niet zo ingewikkeld. Oefen nu aan de hand van een aantal voorbeelden. Het eerste voorbeeld instrueert de router om de eerste drie octetten exact over te nemen maar zorgt ervoor dat het vierde octet elke waarde kan vertegenwoordigen. RouterA(config)#access-list 10 deny 172.16.10.0 0.0.0.255

Het tweede voorbeeld instrueert de router om de eerste twee octetten over te nemen en zorgt ervoor dat de laatste twee octetten elke waarde kunnen vertegenwoordigen. RouterA(config)#access-list 10 deny 172.16.0.0 0.0.255.255

Probeer de volgende opdracht uit te werken: RouterA(config)#access-list 10 deny 172.16.16.0 0.0.3.255

De bovenstaande configuratie vertelt de router te beginnen bij netwerk 172.16.16.0 en een blokgrootte te gebruiken van 4. Het bereik is dan 172.16.16.0 tot en met 172.16.19.0. Het volgende voorbeeld toont een toegangslijst die begint bij 172.16.16.0 en met een blokgrootte van 8 naar 172.16.23.0 gaat. RouterA(config)#access-list 10 deny 172.16.16.0 0.0.7.255

Dit voorbeeld begint bij netwerk 172.16.32.0 en gaat met een blokgrootte van 32 naar adres 172.16.63.0. RouterA(config)#access-list 10 deny 172.16.32.0 0.0.31.255

Het laatste voorbeeld begint bij 172.16.64.0 en gaat met een blokgrootte van 64 naar 172.16.127.0. RouterA(config)#access-list 10 deny 172.16.64.0 0.0.63.255

Wat u ook doet, onthoud bij het werken met wildcards of blokgrootte altijd de volgende twee dingen: • Elke blokgrootte moet beginnen met 0. U kunt dus geen opdracht geven met een blokgrootte van 8 en met in die opdracht beginnen met 12. U gebruikt 0–7,


412

8–15, 16–23, enzovoort. Voor een blokgrootte van 32 is het bereik 0–31, 32–63, 64–95, enzovoort. • De opdracht any is hetzelfde als de wildcard 0.0.0.0.255.255.255.255.

Voorbeeld van een standaard IP-toegangslijst In dit deel past u een standaard IP-toegangslijst toe om bepaalde gebruikers toegang te weigeren tot een LAN van de Financiële afdeling. In figuur 9.1 ziet een router met drie LAN-verbindingen en een WAN-verbinding op het internet. Gebruikers op het Verkoop-LAN horen geen toegang te hebben tot het LAN Financiën. Deze gebruikers moeten wel verbinding kunnen krijgen met het internet en de marketingafdeling. Het Marketing-LAN moet voor application services (toepassingsdiensten).gebruik kunnen maken van het LAN Financiën Figuur 9.1

Voorbeeld van IP-toegangslijst met drie LAN’s en een WAN-verbinding Financiëele administratie 172.16.10.0

Server 172.16.10.5 E0 Marketing 172.16.30.0

E1

S0

Internet

E2

Verkoop 172.16.40.0

Op de Acme-router zijn de volgende IP-toegangslijsten actief: Acme#config t Acme(config)#access-list 10 deny 172.16.40.0 0.0.0.255 Acme(config)#access-list 10 permit any

Weet u nog dat de opdracht any hetzelfde is als: Acme(config)#access-list 10 permit 0.0.0.0 255.255.255.255


413

De toegangslijst weigert nu alles wat afkomstig is van het Verkoop-LAN, maar laat verder iedereen toe. Waar kan deze toegangslijst nu geplaatst worden? Wordt de lijst geplaatst als een inkomende toegangslijst op E2, dan kunt u net zo goed de Ethernetinterface afsluiten. Alle apparaten van het Verkoop-LAN wordt de toegang tot alle netwerken van de router geweigerd. De beste plaats is als uitgaande lijst op de E0interface. Acme(config)#int e0 Acme(config-if)#ip access-group 10 out

Deze actie verhindert netwerk 172.16.40.0 het gebruik van uitgang Ethernet 0, maar vanaf dit netwerk kan men nog wel toegang krijgen tot het verkoop-LAN en tot internet.

9.1.2

Toegang van VTY (Telnet) controleren Het wordt allemaal een stuk moeilijker als u probeert gebruikers ervan te weerhouden om te telnetten naar een router. Immers, elke actieve poort op de router is vogelvrij als het om VTY-toegang gaat. Maar u kunt een standaard IP-toegangslijst gebruiken om de toegang te controleren. Plaats deze toegangslijst dan op de VTY-lijnen. Dit doet u als volgt: 1. Stel een toegangslijst samen voor de host (of: voor alle hosts) die volgens uw opgave wel op de routers mogen telnetten. 2. Implementeer de toegangslijst op de VTY-lijn met de opdracht access-class. In het volgende voorbeeld heeft host 172.16.10.3 toestemming gekregen naar een router te telnetten: RouterA(config)#access-list 50 permit 172.16.10.3 RouterA(config)#line vty 0 4 RouterA(config-line)#access-class 50 in

De impliciete opdracht deny any aan het einde verhindert elke host (behalve host 172.16.10.3) naar de router te telnetten.

9.1.3

Uitgebreide IP-toegangslijsten In het voorbeeld van de IP-standaardlijsten hebt u zelf kunnen zien hoe het hele subnet geblokkeerd moest worden om communicatie met de Financiële afdeling te verhinderen. Wat zou er gedaan moeten worden om hen alleen met een bepaalde

414


server op de financiële afdeling te laten communiceren, maar niet met andere diensten? Met een IP-standaardtoegangslijst kunt u immers niet ervoor zorgen dat gebruikers wel de ene service kunnen bereiken maar niet de andere. Met uitgebreide IP-toegangslijsten (extended IP access lists) is dit wel mogelijk. Met deze lijsten kunt u niet alleen het IP-bron- en het IP-bestemmingsadres kiezen, maar ook het protocol- en poortgetal, die het protocol of de toepassing op de bovenste laag identificeren. Met uitgebreide IP-toegangslijsten kunt u gebruikers toestaan te communiceren met een fysiek LAN en tegelijkertijd verhinderen dat zij bepaalde services gebruiken. Een voorbeeld van een uitgebreide IP-toegangslijst. De eerste opdracht toont de beschikbare getallen waarmee u de toegangslijst kunt nummeren. Het getalbereik van uitgebreide toegangslijsten loopt van 100 tot en met 199. RouterA(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list <1000-1099> IPX SAP access list <1100-1199> Extended 48-bit MAC address access list <1200-1299> IPX summary address access list <200-299> Protocol type-code access list <300-399> DECnet access list <400-499> XNS standard access list <500-599> XNS extended access list <600-699> Appletalk access list <700-799> 48-bit MAC address access list <800-899> IPX standard access list <900-999> IPX extended access list

Nu moet u beslissen wat voor soort regel u in de lijst gaat zetten. In dit voorbeeld voert u een deny-regel in. RouterA(config)#access-list 110 ? deny Specify packet dynamic Specify a DYNAMIC list of PERMITs or DENYs permit Specify packets to forward

Hebt u het toegangslijsttype gekozen, dan moet u nu de invoer voor het protocolveld in de netwerklaag vaststellen. Het is belangrijk te begrijpen dat er altijd een regel moet in om hogerop het OSI-model te komen als u het netwerk op de toepassingslaag wilt filteren. Filtert u bijvoorbeeld met Telnet of TCP, kies dan TCP. Kiest u IP, dan komt u nooit verder dan de netwerklaag en kunt u niet filteren op toepassingen in de bovenste laag. RouterA(config)#access-list 110 deny ? <0-255> An IP protocol number eigrp Cisco’s EIGRP routing protocol

Studiegids Cisco CCNA gre icmp igmp igrp ip ipinip nos ospf tcp udp

415 Cisco’s GRE tunneling Internet Control Message Protocol Internet Gateway Message Protocol Cisco’s IGRP routing protocol Any Internet Protocol IP in IP tunneling KA9Q NOS compatible IP over IP tunneling OSPF routing protocol Transmission Control Protocol User Datagram Protocol

Zodra u besloten hebt om via TCP tot aan de toepassingslaag te gaan, verschijnt de vraag om het IP-bronadres van de host of het netwerk. U kunt de opdracht any gebruiken om elk bronadres toe te staan. RouterA(config)#access-list 110 deny tcp ? A.B.C.D Source address any Any source host host A single source host

Nadat u het bronadres geselecteerd hebt, kiest u het bestemmingsadres. RouterA(config)#access-list 110 deny tcp any ? A.B.C.D Destination address any Any destination host eq Match only packets on a given port number gt Match only packets with a greater port number host A single destination host lt Match only packets with a lower port number neq Match only packets not on a given port number range Match only packets in the range of port numbers

In het onderstaande voorbeeld wordt elk IP-bronadres met 172.16.30.2 als IPbestemmingsadres geweigerd. RouterA(config)#access-list 110 deny tcp any host 172.16.30.2 ? eq Match only packets on a given port number established Match established connections fragments Check fragments gt Match only packets with a greater port number log Log matches against this entry log-input Log matches against this entry, including inputinterface lt Match only packets with a lower port number neq Match only packets not on a given port number precedence Match packets with given precedence value


416 range tos

Match only packets in the range of port numbers Match packets with given TOS value

Druk op Enter en laat de toegangslijst ongewijzigd. Maar u kunt nog specifieker te werk gaan: zijn de host-adressen opgegeven, dan kunt u opgeven welk servicetype u wilt weigeren. Het volgende hulpscherm laat de mogelijkheden zien. U kunt kiezen uit een poortgetal, een toepassing of zelfs de naam van het programma. RouterA(config)#access-list 110 deny tcp any host 172.16.30.2 eq ? <0-65535> Port number bgp Border Gateway Protocol (179) chargen Character generator (19) cmd Remote commands (rcmd, 514) daytime Daytime (13) discard Discard (9) domain Domain Name Service (53) echo Echo (7) exec Exec (rsh, 512) finger Finger (79) ftp File Transfer Protocol (21) ftp-data FTP data connections (20, 21) gopher Gopher (70) hostname NIC hostname server (101) ident Ident Protocol (113) irc Internet Relay Chat (194) klogin Kerberos login (543) kshell Kerberos shell (544) login Login (rlogin, 513) lpd Printer service (515) nntp Network News Transport Protocol (119) pop2 Post Office Protocol v2 (109) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) sunrpc Sun Remote Procedure Call (111) syslog Syslog (514) tacacs TAC Access Control System (49) talk Talk (517) telnet Telnet (23) time Time (37) uucp Unix-to-Unix Copy Program (540) whois Nicname (43) www World Wide Web (HTTP, 80)


417

Blokkeer nu alleen Telnet (poort 23) naar host 172.16.30.2. Willen de gebruikers FTPgebruiken, dan kan dat. De opdracht log wordt gebruikt om bij elke interactie met de toegangslijst een melding naar het console te sturen. Het is niet verstandig dit in een druk bezette omgeving te doen, maar als voorbeeld voor de klas of experiment in een thuisnetwerk is het ideaal. RouterA(config)#access-list 110 deny tcp any host 172.16.30.2 eq 23 log

Vergeet niet dat de volgende regel impliciet gelijkstaat met de standaardopdracht deny any. Als u deze toegangslijst op een interface toepast, kunt u de interface net zo goed afsluiten. De standaardopdracht deny all staat namelijk impliciet aan het einde

van elke toegangslijst. Om deze reden moet u de volgende vervolgopdracht gebruiken: RouterA(config)#access-list 110 permit ip any any

Omdat 0.0.0.0 255.255.255.255 gelijkstaat met any, ziet de opdracht er als volgt uit: RouterA(config)#access-list 110 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255

Als de toegangslijst gemaakt is, wordt deze toegepast op een interface. Dit doet u met dezelfde opdracht die u ook voor de IP-standaardlijst gebruikt: RouterA(config-if)#ip access-group 110 in

of RouterA(config-if)#ip access-group 110 out

Voorbeeld van een uitgebreide IP-toegangslijst Figuur 9.1 wordt voor dit voorbeeld nog een keer gebruikt.U werkt opnieuw met hetzelfde netwerk en wilt een server op het LAN van de financiële afdeling de toegang weigeren tot zowel Telnet als tot FTP-diensten op server 172.16.10.5. Alle andere diensten op het LAN moeten voor de afdelingen Verkoop en Marketing gewoon toegankelijk zijn. Om dit te bereiken, maakt u de volgende toegangslijst: Acme#config t Acme(config)#access-list 110 deny tcp any host 172.16.10.5 eq 21 Acme(config)#access-list 110 deny tcp any host 172.16.10.5 eq 23 Acme(config)#access-list 110 permit ip any any


418

De opdracht access-list 110 vertelt de router dat u een uitgebreide IPtoegangslijst gaat maken. Het gedeelte tcp is het protocolveld in de header van de netwerklaag. Staat er in uw lijst geen tcp, dan kunt u poortnummers 21 en 23 niet filteren zoals in het voorbeeld is aangegeven (21 en 23 zijn FTP en Telnet, die beide TCP gebruiken voor verbindingsgeoriënteerde diensten). De opdracht any staat voor het bronadres en betekent ‘elk IP-adres’. De opdracht host staat voor het IPbestemmingsadres. Het is essentieel dat de deny aan het begin van de lijst is geplaatst. Zou u de permit eerst configureren en hierna de deny, dan zou het LAN Financiën geen enkel ander LAN en evenmin het internet kunnen bereiken. De reden is de deny aan het einde van de lijst. Het wordt moeilijk om de toegangslijst op een andere manier te configureren dan in het voorgaande voorbeeld. Zijn de toegangslijsten gemaakt, dan moeten ze worden toegepast op de poort Ethernet0. De andere drie interfaces op de router hebben toegang nodig tot het LAN. Is deze lijst echter gemaakt om alleen de afdeling Verkoop te blokkeren, dan plaatst u deze lijst zo dicht mogelijk bij de bron , dus op de interface Ethernet2. Acme(config-if)#ip access-group 110 out

9.1.4

IP-toegangslijsten beheren Het is belangrijk om een routerconfiguratie te kunnen verifiëren. Bij verificatie worden volgende opdrachten gebruikt: show access-list

Toont alle toegangslijsten en parameters van de routerconfiguratie. Deze opdracht laat niet zien op welke interface de lijst betrekking heeft .

show access-list 110 Toont alleen de parameters voor toegangslijst 110. Deze

opdracht laat niet zien op welke interface de lijst betrekking heeft . show ip access-list

Toont alleen de toegangslijst die op deze router geconfigureerd is.

show ip interface

Toont op welke interfaces toegangslijsten actief zijn.

show running-config Toont de toegangslijsten en de interfaces waarvoor deze

gelden.


419

9.2 IPX-toegangslijsten IPX-toegangslijsten zijn op dezelfde manier geconfigureerd als andere lijsten. Gebruik de opdracht access-list om toegangslijsten samen te stellen en pas de lijst dan met de opdracht access-group op een interface toe. De volgende IPX-toegangslijsten worden nu behandeld: IPX-standaardlijsten (IPX standard) Deze toegangslijsten filteren IPX-bronhost en IPX-bestemming of de netwerknummers. De toegangslijsten zijn genummerd van 800 tot en met 899. IPX-standaardtoegangslijsten zijn vrijwel gelijk aan IP-standaardtoegangslijsten met dien verstande dat IP-standaardlijsten alleen IP-bronadressen filteren. IPXstandaardlijsten filteren zowel op bron- als op bestemmingsadressen. Uitgebreide IPX-lijsten (IPX extended) Deze toegangslijsten filteren op IPX-bronhost en -bestemmingshost of op netwerknummers, op het IPX-protocolveld in de netwerklaagheader en op het socketnummer in de transportlaagheader. De toegangslijsten zijn genummerd van 900 tot en met 999. IPX-filter voor SAP Deze filters worden gebruikt om SAP-verkeer op LANs en WANs te controleren. Togangslijsten voor IPX-filters voor SAP worden genummerd met getallen tussen 1000 en 1099. Netwerkbeheerders stellen IPX-toegangslijsten samen om de hoeveelheid IPX-verkeer te controleren, inclusief SAPs op langzame WAN-links.

IPX-standaardtoegangslijsten IPX-standaardtoegangslijsten gebruiken de IPX-bron- en bestemmingsadressen van de host of het netwerkadres om het netwerk te filteren. De configuratie lijkt sterk op die van IP-standaardtoegangslijsten. De manier om IPX-standaardtoegangslijsten te configureren is: access-list 800-899 deny or permit source_Address destination_address

Wildcards mogen gebruikt worden voor de IPX-bron- en bestemmingsadressen. Als wildcard wordt het getal –1 gebruikt. Dit staat voor ‘elke host of elk netwerk’. Figuur 9.2 toont een voorbeeld van een IPX-netwerk en laat de configuratie van een IPX-standaardtoegangslijst zien.


420 Figuur 9.2

Voorbeeld IPX-toegangslijst

Netwerk 10

E1 Netwerk 40 Server

Netwerk 20

E0

E2 E3 Netwerk 30

In figuur 9.2 ziet u dat interface Ethernet0 is aangesloten op netwerk 40; interface Ethernet1 vormt de verbinding met netwerk 10; interface Ethernet2 de toegangspoort tot netwerk 20 en interface Ethernet 3 geeft toegang tot netwerk 30. De toegangslijst is vervolgens geconfigureerd and toegepast. Deze IPX-toegangslijst staat pakketten toe die afkomstig zijn van IPX-netwerk 20 en via interface Ethernet0 naar netwerk 40 worden gestuurd. Router(config)#access-list 810 permit 20 40 Router(config)#int e0 Router(config-if)#ipx access-group 810 out

Wat is het effect van deze configuratie? Allereerst ziet u dat alle IPX-apparaten op IPX-netwerk 20 via interface Ethernet2 met de server op netwerk 40 (die verbonden is met Ethernet0) kunnen communiceren. Maar ziet u wat deze configuratie nog meer bereikt? Met slechts een regel (aan het einde staat weer de impliciete opdracht deny all) wordt ook het volgende bereikt: • Hosts op netwerk 10 kunnen niet communiceren met de server op netwerk 40. • Hosts op netwerk 40 krijgen toegang tot netwerk 10, maar de pakketten kunnen niet de andere kant op. • Hosts op netwerk 30 kunnen communiceren met netwerk 10 en netwerk 10 kan communiceren met netwerk 30. • Hosts op netwerk 30 kunnen niet communiceren met de server op netwerk 40. • Hosts op netwerk 40 kunnen verbinding krijgen met hosts op netwerk 30, maar de pakketten kunnen vanaf netwerk 30 niet de andere kant op. • Hosts op netwerk 20 kunnen met alle apparaten in het internetwerk communiceren.


9.2.1

421

Uitgebreide IPX-toegangslijsten Uitgebreide IPX-toegangslijsten (extended IPX access lists) filteren aan de hand van het volgende: • bronnetwerk/knooppunt (node) • doelnetwerk/knooppunt • IPX-protocol (SAP, SPX, enzovoort) • IPX-socket Uitgebreide IPX-toegangslijsten zijn genummerd van 900 tot 999 en zijn geconfigureerd als standaardtoegangslijsten. Aan de toegangslijst is protocol- en socketinformatie toegevoegd. Hieronder volgt een blauwdruk voor het bouwen van een uitgebreide IPX-toegangslijst. access-list {number} {permit/deny} {protocol} {source} {socket} {destination} {socket}

Nogmaals: het verschil tussen een standaardlijst en een uitgebreide lijst is de mogelijkheid te kunnen filteren op basis van protocol en socket (poort in geval van IP).

9.2.2

IPX-filters voor SAP IPX-filters voor SAP worden geïmplementeerd met dezelfde opdrachten die u tot nu toe hebt gebruikt. Deze filters vormen een belangrijk onderdeel bij het beheersen van het IPX-SAP-verkeer. Waarom zijn ze belangrijk? Als u in staat bent om de SAPs te beheren, hebt u tevens controle over de toegang naar IPX-apparaten. IPX-filters voor SAP gebruiken toegangslijsten die genummerd zijn tussen 1000 en 1099. IPX-filters voor SAP moet u dicht mogelijk bij de bron van SAP-broadcasts plaatsen. Op die manier voorkomt u dat ongewenst SAP-verkeer eerst een hele tijd over het netwerk rondzwerft, en uiteindelijk alsnog weggeworpen wordt. Er bestaan twee soorten toegangslijstfilters voor het beheren van SAP-verkeer: IPX-invoerfilter voor SAP Wordt gebruikt om te voorkomen dat bepaalde SAP-gegeven een router bereikt en de SAP-tabel bijwerkt. IPX-uitvoerfilter voor SAP Wordt gebruikt om te voorkomen dat er elke 60 seconden bepaalde SAP-updates worden verstuurd.


422

Hier is de blauwdruk voor het bouwen van een IPX-filter voor SAP: access-list {number} {permit/deny} {source} {service type}

Een voorbeeld van een IPX-filter voor SAP dat service-type 4 (file services, bestandsservices) van een Netware-service met de naam Verkoop toestaat. Router(config)#access-list 1010 permit ? -1 Any IPX net <0-FFFFFFFF> Source net N.H.H.H Source net.host address Router(config)#access-list 1010 permit -1 ? <0-FFFF> Service type-code (0 matches all services) N.H.H.H Source net.host mask Router(config)#access-list 1010 permit -1 4 ? WORD A SAP server name Router(config)#access-list 1010 permit -1 4 Sales

De waarde –1 in de toegangslijst is een wildcard. Deze staat voor ‘elk knooppunt en elk netwerk’. Is de lijst gemaakt, pas deze dan met een van de volgende twee opdrachten toe op een interface: RouterA(config-if)#ipx input-sap-filter RouterA(config-if)#ipx output-sap-filter

De opdracht input-sap-filter wordt gebruikt om te voorkomen dat SAPgegevens worden toegevoegd aan de SAP-tabel op de router. De opdracht outputsap-filter wordt gebruikt om te voorkomen dat SAP-invoergegevens zich vanaf de router over het hele netwerk voortplanten.

9.2.3

IPX-toegangslijsten controleren Gebruik de opdrachten show ipx interface en show ipx access-list om de IPX-toegangslijsten en implementatie ervan op de router te verifiëren. Merk op dat in de uitvoer van de opdracht show ipx interface het IPX-adres getoond wordt, de uitgaande toegangslijst is ingesteld met lijst 810 en invoerfilter voor SAP 1010 is. Router#sh ipx int Ethernet0 is up, line protocol is up IPX address is 10.0060.7015.63d6, NOVELL-ETHER [up] Delay of this IPX network, in ticks is 1 throughput 0 link


423

delay 0 IPXWAN processing not enabled on this interface. IPX SAP update interval is 1 minute(s) IPX type 20 propagation packet forwarding is disabled Incoming access list is not set Outgoing access list is 810 IPX helper access list is not set SAP GNS processing enabled, delay 0 ms, output filter list is not set SAP Input filter list is 1010 SAP Output filter list is not set SAP Router filter list is not set Input filter list is not set Output filter list is not set Router filter list is not set Netbios Input host access list is not set Netbios Input bytes access list is not set Netbios Output host access list is not set Netbios Output bytes access list is not set Updates each 60 seconds, aging multiples RIP: 3 SAP: 3 SAP interpacket delay is 55 ms, maximum size is 480 bytes RIP interpacket delay is 55 ms, maximum size is 432 bytes —More—

De opdracht show ipx access-list toont de beide IPX-lijsten op de router. Router#sh ipx access-list IPX access list 810 permit FFFFFFFF 30 IPX SAP access list 1010 permit FFFFFFFF 4 Sales Router#

De F-jes zijn hexadecimale getallen en hetzelfde als allemaal enen (1) en als de opdracht permit any. Omdat u –1 hebt gebruikt in de IPX-opdrachten zal de draaiende configuratie ze weergeven als allemaal F-jes.

9.3 Samenvatting In dit hoofdstuk zijn de volgende onderwerpen behandeld: • De configuratie van standaardtoegangslijsten (standard access lists) om IPverkeer te filteren: wat is een staandaardtoegangslijst en hoe kan deze toegepast worden op een Cisco-router om een veilig netwerk te creëren?


424

• De configuratie van uitgebreide toegangslijsten (extended access lists) om IPverkeer te filteren: wat is het verschil tussen een standaard en een uitgebreide toegangslijst en hoe kunt u deze op Cisco-routers toepassen? • De configuratie van IPX-toegangslijsten en SAP-filters om eenvoudig Novellverkeer te beheren: wat is het verschil tussen een standaard en uitgebreide IPXtoegangslijst en hoe kunt u deze lijsten op een Cisco-router toepassen? • Het monitoren en verifiëren van opgegeven interactie met toegangslijsten op de router: wat zijn de belangrijkste opdrachten voor het testen en verifiëren van IPen IPX-toegangslijsten?

9.4 Kernbegrippen Zorg ervoor dat u de volgende termen kent als u opgaat voor het examen: IP-standaardtoegangslijst IPX-standaardtoegangslijs toegangslijst uitgebreide IP-toegangslijst uitgebreide IPX- toegangslijst wildcard

9.5 Opdrachten in dit hoofdstuk Overzicht van alle in dit hoofdstuk behandelde opdrachten: Opdracht

Beschrijving

0.0.0.0 255.255.255.255 Opdracht met een wildcard, hetzelfde als de opdracht any access-class Past een IP-standaardlijst toe op een VTY-lijn Access-list Maakt een toegangslijst om de netwerken te filteren Any Elke host of elk netwerk; zelfde als de opdracht 0.0.0.0 255.255.255.255. Host Specificeert een hostadres ip access-group Past een IP-toegangslijst toe op een interface


425

Opdracht

Beschrijving

ipx access-group ipx input-sap-filter

Past een IPX-toegangslijst toe op een interface Past een binnenkomende (inbound) IPX-filter voor SAP toe op een interface Past een uitgaande (outbound) IPX-filter voor SAP toe op een interface Toont alle geconfigureerde filters op de router Toont alleen toegangslijst 110 Toont alleen de IP-toegangslijsten Toont welke interfaces IP-toegangslijsten benutten Toont de op de router geconfigureerde IPXtoegangslijsten Laat zien op welke interfaces IPX-toegangslijsten

ipx output-sap-filter show access-list show access-list 110 show ip access-list show ip interface show ipx access-list show ipx interface

Hoofdstuk

10

WAN-protocollen IN DIT HOOFDSTUK WORDEN DE VOLGENDE ONDERWERPEN VOOR HET CCNA-EXAMEN BEHANDELD: ✓ Wide Area Networking-protocollen. •

Kennen van belangrijke Frame Relay-kenmerken en uitdrukkingen.

•

Opsommen van opdrachten voor het configureren van Frame Relay-LMI’s, maps en subinterfaces.

•

Opsommen van opdrachten om Frame Relay-bewerkingen in de router te monitoren.

•

Benoemen van situaties waarin ISDN-netwerken een relevante rol kunnen spelen.

•

Identificeren van ISDN-protocollen, functiegroepen, referentiepunten en kanalen.

•

Identificeren van PPP-bewerkingen voor de inkapseling (encapsulation) van WAN-gegevens op Cisco-routers.

D

e Cisco IOS WAN ondersteunt verschillende WAN-protocollen die u kunnen helpen om een LAN-verbinding naar andere remote-LAN’s te leggen. Vandaag de dag is het een ‘must’ de netwerken van bedrijven onderling koppelen. Gegevens tussen gekoppelde bedrijven kunnen snel en effectief uitgewisseld worden. Maar het kost veel te veel om met eigen middelen permanent verbindingen met verderop gelegen lokaties te onderhouden. Bij serviceproviders kunt u bestaande verbindingen huren of leasen. Door dit te doen bespaart u veel tijd en geld. U moet weten op welke verschillende manieren Cisco de verschillende soorten WAN’s ondersteunt. Omdat dit hoofdstuk niet elk type WAN kan beschrijven, worden alleen HDLC, PPP, Frame Relay en ISDN-protocollen behandeld.

10.1 Wide Area Networks Om de technologieën achter WAN-netwerken te begrijpen, moet u de verschillende WAN-termen en verbindingtypen kennen. In deze paragraaf worden een aantal begrippen behaldeld. Bovendien wordt uitgebreid aandacht besteed aan de verbindingtypen die serviceproviders vaak gebruiken.

10.1.1

WAN-termen definiëren Voordat u een bepaalde WAN-service bestelt moet u de door serviceproviders gebezigde terminologie begrijpen. Customer premises equipment (CPE) De apparatuur, die het bezit is van de klant en op de lokatie van de abonnee aanwezig is. Demarc (afbakening) Het laatste punt dat nog valt onder de verantwoordelijkheid van de serviceprovider. Dit is meestal een RJ-45-aansluitpunt dat dicht bij de CPE ligt. De CPE is waarschijnlijk een CSU/DSU of ISDN-interface die verbinding heeft met de demarc (afbakening).


441

Lokale lus Verbindt de demarc met het dichtstbijzijnde schakelstation: het hoofdkantoor (CO, central office). CO (hoofdkantoor, central office) Verbindt de klanten met het geschakelde netwerk van de serviceprovider. In plaats van CO wordt ook wel de term point of presence (POP) gehanteerd. Toll-netwerk Trunklijnen (bundellijnen) in een WAN-netwerk van de serviceprovider. Trunklijnen zijn een verzameling switches en faciliteiten. Het is belangrijk dat u deze termen kunt dromen. Anders wordt het moeilijk de WAN-technologie te begrijpen en toe te passen.

10.1.2

Typen WAN-verbindingen Figuur 10.1 toont de verschillende typen WAN-verbindingen. Ze worden worden om LAN’s in een DCE-netwerk te verbinden.

Figuur 10.1

Typen WAN-verbindingen Synchroon serieel Dedicated

Asynchroon serieel, ISDN

Circuitgeschakeld (circruit-switched)

Telefoon maatschappij

Synchronoos serieel

Pakketgeschakeld (Packet-switched)

Internet Service Provider

Hoofdstuk 10 • WAN-protocollen

442

Onderstaand worden de diverse WAN-verbindingen toegelicht: Huurlijnen Meestal aangeduid als point-to-point- of gereserveerde verbinding (dedicated connections). Het is een vooraf door de CPE ingesteld WAN-communicatiepad, dat via de DCE-switch naar de CPE van een verderop gelegen lokatie gaat. Dankzij huurlijnen kunnen DTE-netwerken op elk moment gegevens overdragen, zonder configuratie vooraf. Dit pad maakt gebruik van gesynchroniseerde seriële lijnen tot 45Mbps. Circuit-switchen Bouwt een verbinding op, op dezelfde manier als bij een normaal telefoongesprek. Gegevensoverdracht is pas mogelijk als een end-to-end-verbinding tot stand is gebracht. Gebruikt kiesmodems en ISDN. Circuit-switchen wordt gebruikt voor gegevensoverdracht in situaties met geringe bandbreedte. Pakket-switchen Dit is een methode van WAN-switchen waarbij u bandbreedte kunt delen. Dit is goedkoper. Vergelijk pakket-switchen met groepsgespreklijnen. Zo lang u niet voortdurend bezig bent om gegevens te verzenden maar in plaats daarvan onregelmatig dataverkeer hebt, bespaart u met pakket-switchen veel geld. Hebt u echter voortdurend dataverkeer, dan is het raadzaam om een huurlijn te nemen. De technologie van Frame Relay en X.25 zijn gebaseerd op pakket-switchen. Snelheden variëren van 56Kbps tot 2.048Mbps.

10.1.3

WAN-ondersteuning In deze paragraaf worden de belangrijkste WAN-protocollen behandeld. Dit zijn ISDN, LAPB, HDLC en PPP. In de rest van het hoofdstuk wordt uitvoerig ingegaan op de werking en het configureren van Cisco-routers. Frame relay In the begin van de jaren negentig ontstond de technologie van het pakketswitchen. Frame relay is hiermee uitgerust. Frame Relay is een specificatie op de laag Data Link en op de laag Physical. He doel van de specificatie is het waarborgen van een goede prestatie. Frame Relay gaat uit van de aanname dat de gebruikte voorzieningen minder foutgevoelig zijn dan in de tijd dat X.25 werd, want gegevens worden met minder overhead verzonden. Frame Relay heeft een hoger rendement dan point-to-point-verbindingen. Het draait meestal met snelheden van 64Kbps tot 1.544Mbps. Met Frame Relay kan bandbreedte dynamisch worden toegewezen en wordt gecontroleerd op congestie (opstoppingen).


443

ISDN Integrated Services Digital Network is een verzameling digitale services die spraak (voice) en data (gegevens) over bestaande telefoonlijnen verstuurt. ISDN is een rendabel alternatief voor gebruikers die op afstand met een computer willen werken en die behoefte hebben aan een snellere gegevensoverdracht dan analoge kieslijnen kunnen bieden. ISDN is een goede keuze als back-upverbinding voor andere soorten lijnen als Frame Relay- of T-1-verbindingen. LAPB Link Access Procedure, Balanced is gemaakt voor X.25 om te worden gebruikt als verbindinggeoriënteerd protocol in de laag Data Link. Het kan ook gebruikt worden als een eenvoudig Data Link-transport. LAPB heeft een grote overhead vanwege de stringent toegepaste technieken voor time-outs (tijdoverschrijdingen) en windowing. U kunt LAPB in plaats van HDLC gebruiken. HDLC heeft minder overhead, maar LAPB is een betere keuze als uw verbinding erg foutgevoelig is. Maar dit is meestal geen groot probleem meer. HDLC High-Level Data Link Control is afgeleid van Synchronous Data Link Control (SDLC). SDLC werd door IBM ontwikkeld als een verbindingprotocol op de laag Data Link. HDLC is een verbindinggeoriënteerd protocol in de laag Data Link maar heeft weinig overhead in vergelijking met LAPB. Het is niet de opzet van HDLC geweest om binnen één verbinding meer protocollen op de laag Network in te kapselen. De HDLC-header kent geen veld ‘. Daarom heeft elk bedrijf dat HDLC gebruikt een eigen manier om het op de laag Network gebruikte protocol vast te leggen. Het komt er dus op neer dat elke HDLC proprietary is (bedrijfspecifiek en alleen geschikt voor de apparatuur die door dat bedrijf is geleverd). PPP Point-to-Point Protocol is een protocol dat als industiestandaard geldt. Omdat veel HDLC-versies proprietary (bedrijfspecifiek) zijn, kan PPP gebruikt worden om verbindingen tussen twee punten (point-to-point links) te maken. Zo kunnen apparaten van verschillende leveranciers worden gekoppeld. PPP gebruikt een veld Network Control Protocol in de Data Link-header om het op de laag Network gebruikte protocol vast te leggen. PPP staat authenticatie en multilinkverbindingen toe en kan draaien over asynchrone en synchrone verbindingen. Asynchronous Transfer Mode (ATM) ATM is ontworpen voor gegevensverkeer waarbij de factor tijd een belangrijke rol speelt. Geluid, video en gegevens kunnen simultaan worden verzonden. ATM gebruikt geen pakketten maar cellen. Deze hebben een standaardlengte van 53 bytes. Bovendien past ATM isochroon klokken (extern klokken) toe om gegevens sneller te transporteren. Local Area Network Emulation (LANE) wordt gebruikt om ATM te draaien op Ethernet- en Token Ring-LANs.


444

10.2 High-Level Data-Link Control Protocol (HDLC) High-Level Data-Link Control Protocol is een bit-georiënteerd protocol dat voldoet aan de eisen die ISO stelt. HDLC bevindt zich op de laag Data Link van het OSImodel. HDLC bepaalt de inkapselingsmethode op een seriële dataverbinding. Er worden frame-tekens en controlegetallen gebruikt. HDLC is een point-to-point protocol dat op huurlijnen wordt gebruikt. Authenticatie is niet mogelijk. In byte-georiënteerde protocollen is de controle-informatie gecodeerd; hiervoor worden hele bytes gebruikt. Bitgeoriënteerde protocollen gebruiken slechts enkele bits om de controle-informatie in op te slaan. SDLC, LLC, HDLC, TCP, IP, enzovoort zijn bitgeoriënteerde protocollen HDLC is de standaard-inkapseling (encapsulation) voor Cisco-routers op synchrone seriële verbindingen. HDLC van Cisco is altijd proprietary (producentspecifiek) en het zal nooit werken met de HDLC-implementatie van een andere producent. Maar Cisco is niets aan te rekenen, want elke HDLCimplementatie is proprietary. Figuur 10.2 toont de HDLC-opmaak van Cisco. Figuur 10.2

Cisco HDLC-opmaak

Cisco HDLC Vlag

Adres

Control

Leverancierspecifiek (Proprietary)

Gegevens (Data)

FCS

Vlag

• Elke leverancier defineert het proprietary-deel van HDSL op zijn eigen manier. Dit veld ondersteunt multiprotocol-omgevingen.

HDLC Vlag

Adres

Control

Gegevens (Data)

FCS

Vlag

• Ondersteunt alleen omgevingen met een protocol.

Elke producent heeft een proprietary (producentspecifieke) methode voor HDLCinkapseling. De reden hiervoor is dat elke producent een eigen manier van communiceren met protocollen op de laag Network heeft. Zouden de producenten geen manier hebben gevonden om via HDLC te laten communiceren met verschillende protocollen in laag-3, dan zou HDLC alleen maar een enkel protocol kunnen dragen. De proprietary header wordt geplaatst in het veld HDLC-inkapseling (HDCL-encapsulation).


445

Stel, u hebt maar een Cisco-router en u legt een verbinding met een Bay-router omdat uw andere Cisco-router nog niet beschikbaar is. U kunt dan niet de standaard seriële HDLC-inkapseling gebruiken. De beste oplossing is PPP, de standaard ISOaanpak is om protocollen in de bovenste laag te identificeren.

10.3 Point-to-Point Protocol (PPP) PPP (Point-to-Point Protocol) is een protocol op de laag Data Link dat gebruikt kan worden met asynchrone seriële media (dial-up) of synchrone seriële media (ISDN). PPP gebruikt LCP (Link Control Protocol) om verbindingen tot stand te brengen en te onderhouden. Het eigenlijke doel van PPP is het transporteren van pakketten uit laag 3 over een point-to-point-verbinding op de laag Data Link. Figuur 10.3 vergelijkt de protocolstack met het OSI-referentiemodel. Figuur 10.3

Point-to-point protocol-stack OSI layer 3

Protocollen op de bovenste lagen (zoals IP, IPX, AppleTalk) Network Control Protocol (NCP) (specifiek voor elk protocol op de netwerk-laag)

2

Link Control Protocol (LCP) High-Level Data Link Control Protocol (HDLC)

1

Fysieke laag (zoals EIA/TIA-232, V.24, V.35, ISDN)

PPP bevat vier basiscomponenten: EIA/TIA-232-C Een internationale standaard voor seriële communicatie op de laag Physical (Fysiek). HDLC Een methode voor het inkapselen van datagrammen op seriële verbindingen. LCP Een methode voor het opbouwen, configureren, onderhouden en beëindigen van een point-to-point-verbinding.


446

NCP Een methode voor het opbouwen en configureren van verschillende protocollen op de laag Network. PPP is ontworpen om te zorgen dat meer protocollen op de laag Network gelijktijdig en zonder problemen gebruik kunnen worden. Voorbeelden hiervan zijn IPCP (Internet Protocol Control Protocol) en IPXCP (Internetwork Packet Exchange Control Protocol). PPP-protocollen hebben uitsluitend betrekking op de lagen Physical en Data Link. NCP wordt gebruikt voor communicatie met meer protocollen op de laag Network. De protocollen worden ingekapseld tijdens het transport over een PPP-verbinding.

Op het examen moet u alle PPP-protocollen kennen!

10.3.1

Het configureren van Link Control Protocol (LCP) Link Control Protocol biedt verschillende inkapselingsopties: Authenticatie (Authentication) Deze optie geeft de kieszijde van de verbinding de opdracht informatie te versturen ter identificatie van de gebruiker. Op het CCNA-examen moet u PAP en CHAP kennen! Compressie (Compression) Dit wordt gebruikt om de verwerkingscapaciteit van PPP-verbindingen te vergroten. PPP decomprimeert het gegevensframe aan de ontvangstzijde. Cisco gebruikt de compressiemethode Stacker en Predictor. Deze worden uitgebreid behandeld in CCNP: Routing Study Guide (Sybex, 2000). Foutopsporing (Error detection) PPP gebruikt de opties Quality en Magic Number om verzekerd te zijn van een betrouwbare en lusvrije verbinding. Multilink Vanaf IOS versie 11.1 wordt multilink met Cisco-routers op PPP-verbindingen ondersteund. Dit verdeelt de PPP-belasting over twee (of meer) parallelle circuits en wordt bundle genoemd.


10.3.2

447

Een PPP-sessie opbouwen PPP wordt gebruikt met authenticatie. Dit betekent dat communicerende routers informatie verstrekken om de verbinding te identificeren als geldige communicatieverbinding. Wanneer de PPP-verbindingen geactiveerd zijn, volgen drie instellingsfases: Link-opbouwfase (Link-establishment phase) LCP-pakketten worden door elk PPP-apparaat verstuurd om de verbinding te testen en configureren. Deze pakketten bevatten een veld (Configuration Option), waarin voor elk apparaat de gegevensomvang, compressie en authenticatie vermeld is. Is dit veld niet aanwezig, dan wordt de standaardconfiguratie gebruikt. Authenticatiefase (Authentication phase) Indien geconfigureerd kan CHAP of PAP gebruikt worden voor de authenticatie van de verbinding. De authenticatie vindt plaats voordat de informatie van het protocol op de laag Network wordt gelezen. Netwerklaagprotocolfase (Network-layer protocol phase) PPP gebruikt het Network Control Protocol voor inkapseling van meer protocollen op de laag Network, opdat ze via een PPP-verbinding (PPP data link) getransporteerd kunnen worden.

10.3.3

PPP-authenticatiemethoden Er bestaan twee authenticatiemethoden voor PPP-verbindingen: Password Authentication Protocol (PAP) of Challenge Authentication Protocol (CHAP).

Password Authentication Protocol (PAP) De methode Password Authentication Protocol (PAP) is de minst betrouwbare van de twee. Wachtwoorden worden in platte tekst verzonden en PAP wordt alleen maar uitgevoerd bij het opbouwen van de verbinding. Wanneer de verbinding tot stand is gebracht, stuurt het andere knooppunt (de remote node) de gebruikersnaam en het wachtwoord terug voor authenticatie. Meer gebeurt er niet.

Challenge Authentication Protocol (CHAP) Het Challenge Authentication Protocol (CHAP) wordt toegepast bij de opbouw (initial setup) van de verbinding. Op vastgestelde tijdstippen daarna worden er


448

controles (check-ups) uitgevoerd om er zeker van te zijn dat de router nog steeds met dezelfde host communiceert. Na deze beginfase stuurt de lokale router een proefverzoek (challenge) naar de remote service. Deze berekent een waarde en stuurt deze terug in de vorm van een hash-functie (MD5). De lokale router controleert of deze waarden overeenkomen. Is dit niet het geval, dan wordt de verbinding onmiddellijk verbroken.

10.3.4

PPP-configuratie op Cisco-routers PPP-inkapseling (PPP-encapsulation) configureren op een interface is eigenlijk een eenvoudige zaak. Voor deze configuratie gebruikt u de volgende opdrachten: Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int s0 Router(config-if)#encapsulation ppp Router(config-if)#^Z Router#

PPP- inkapseling moet op beide met een seriële lijn verbonden interfaces geactiveerd zijn. Om de overige configuratieopties te bekijken geeft u de opdracht help.

10.3.5

PPP-authenticatie configureren Hebt u de seriële interface geconfigureerd om PPP- inkapseling te ondersteunen, dan configureert u de authenticatie om PPP tussen routers te kunnen gebruiken. Typ eerst de hostnaam en daarna de gebruikersnaam en wachtwoord voor de remote router, de router die met uw router verbonden is. Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# hostname RouterA RouterA(config)#username todd password cisco

Gebruikt u de opdracht hostname, vergeet dan niet dat de gebruikersnaam dezelfde is als de hostnaam van de remote router die met uw router gaat verbinden. De gebruikersnaam is hoofdlettergevoelig. Maar ook het wachtwoord op beide routers met gelijk zijn. Dit is een wachtwoord in gewone tekst (plain text password), dat getoond wordt als u de opdracht show run geeft. Het wachtwoord kan worden versleuteld met de opdracht service password-encryption. U moet een gebruikersnaam en wachtwoord hebben ingevoerd voordat u de verbinding gaat maken. Uiteraard meten ook de remote routers met gebruikersnamen en


449

wachtwoorden geconfigureerd zijn. Na het instellen van de hostnaam, de gebruikersnaam en het wachtwoord kiest u het inkapselingstype, bijvoorbeeld CHAP of PAP. RouterA#config t Voer per regel de configuratieopdrachten in. Eindig met CNTL/Z. RouterA(config)#int s0 RouterA(config-if)#ppp authentication chap RouterA(config-if)#ppp authentication pap RouterA(config-if)#^Z RouterA#

Zijn beide methoden geconfigureerd, zoals in het bovenstaande voorbeeld, dan wordt altijd eerst de als eerste vermelde optie gebruikt wordt tijdens het onderhandelen over de te gebruiken methode. Werkt de eerste methode niet, dan wordt automatisch de tweede methode gebruikt.

10.3.6

PPP-inkapseling controleren De PPP-inkapseling is klaar. U wilt controleren of alles naar behoren functioneert. Daartoe geeft u de opdracht show interface: RouterA#show int s0 Serial0 is up, line protocol is up Hardware is HD64570 Internet address is 172.16.20.1/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation PPP, loopback not set, keepalive set (10 sec) LCP Open Listen: IPXCP Open: IPCP, CDPCP, ATCP Last input 00:00:05, output 00:00:05, output hang never Last clearing of “show interface” counters never Input queue: 0/75/0 (size/max/drops); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max totalhreshold/drops) Conversations 0/2/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 670 packets input, 31845 bytes, 0 no buffer Received 596 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 707 packets output, 31553 bytes, 0 underruns


450

0 output errors, 0 collisions, 18 interface resets 0 output buffer failures, 0 output buffers swapped out 21 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=up RouterA#

Merk op dat de zesde regel de inkapseling als PPP aanmerkt en dat de zevende regel vertelt dat LCP open is. Onthoud dat de taak van LCP het opbouwen en beheren van verbindingen is. De negende regel laat zien dat IPCP, CDPCP en ATCP open zijn. Dit geeft IP-, CDP-, en AppleTalk-ondersteuning voor NCP. De achtste regel meldt dat er gewacht wordt op IPXCP.

U kunt de configuratie voor PPP-authenticatie controleren met de opdracht debug ppp authentication.

10.4 Frame Relay De WAN- inkapselingsmethode die bekend staat als Frame Relay, is momenteel erg populair. Frame Relay draait op de lagen Physical en Data Link van het OSIreferentiemodel. Oorspronkelijk was het ontworpen om alleen gebruikt te worden met ISDN-interfaces. Maar het wordt nu gebruikt met verscheidene netwerkinterfaces. Cisco Frame Relay ondersteunt de volgende protocollen: • IP • DECnet • AppleTalk • Xerox Network Service (XNS) • Novell IPX • Connectionless Network Service (CLNS) • International Organization for Standards (ISO) • Banyan Vines • Transparent bridging Frame Relay verzorgt een communicatie interface tussen DTE- (Data Terminal Equipment) en DCE- (Data Circuit-Terminating Equipment, zoals een pakket-switch) apparaten. Voorbeelden van DTE-apparaten zijn terminals, pc’s, routers en bridges.


451

Het zijn eindknooppunt- en internetwerkapparaten die het eigendom van de klant (uw eigendom) zijn. DCE bestaat uit proprietary (producentspecifieke) internetwerkapparaten. Frame Relay wordt door velen beschouwd als efficiënter en sneller is dan X.25. Dit komt doordat ervan wordt uitgegaan dat foutcontrole de taak is van protocollen op de hogere lagen van toepassingsdiensten (application services). Frame Relay levert verbindinggeoriënteerde communicatie in de laag Data (via virtuele circuits, zoals ook X.25 dit doet). Deze virtuele circuits zijn logische verbindingen tussen twee DTE’s over een pakketgeswitcht netwerk. De circuits worden geïdentificeerd door een DLCI, oftewel Data Link Connection Identifier. (LCI’s komen later aan de orde). Frame Relay gebruikt PVC’s (Permanent Virtual Circuits) en SVC’s (Switched Virtual Circuits). X.25 doet dit ook, maar de meeste Frame Relay-netwerken gebruiken alleen PVC’s. Het virtuele circuit legt het volledige pad naar het bestemmingsnetwerk voordat het eerste frame verstuurd wordt.

10.4.1

Frame Relay-terminologie Om de terminologie van Frame Relay-netwerken te begrijpen moet u weten hoe deze technologie werkt. In figuur 10.4 zie u de termen om diverse onderdelen van een Frame Relay-netwerk te beschrijven.

Figuur 10.4

Frame Relay-technologie en termen In werkelijkheid legt het frame deze weg af. CO CSU/DSU

Router DLCI 16

Demarc

Demarc PVC Routers zien dit

Hub of switch

CSU/DSU

Router DLCI 17 Hub of switch

Gebruiker

Server Gebruikers zien alleen dit.

Het basisprincipe van Frame Relay-netwerken is gebruikers de mogelijkheid te geven om te communiceren tussen twee DTE-apparaten met DCE-apparaten. Het is voor de gebruiker niet interessant of er een verbinding is met een lokale server of met een server die op afstand staat en verbonden is via een Frame-Relay-netwerk. De kans is groot dat deze verbinding langzamer is dan een 10Mbps Ethernet LAN, maar het

452


fysieke verschil moet voor de gebruiker geen consequenties hebben (in vaktermen: moet transparant zijn). Figuur 10.4 illustreert wat er nodig is om twee DTE-apparaten te laten communiceren. Dit proces verloopt als volgt: 1. Het netwerkapparaat van de gebruiker verstuurt een frame naar een lokaal netwerk. Het hardware-adres van de router (de default gateway) staat in de header van het frame. 2. De router ontvangt het frame, pakt het pakket uit en gooit het frame weg. Hierna kijkt de router naar het IP-adres van de bestemming en zoekt in de routetabel of het adres bekend is. Is dit het geval dan wordt vastgesteld welk pad gekozen moet worden om de bestemming te bereiken. 3. De router stuurt de gegevens naar de interface die het remote netwerk kan vinden (als het netwerk niet in de routetabel staat, wordt het pakket weggegooid). Omdat het een seriële interface met Frame Relay-inkapseling is, zet de router het pakket in een Frame Relay-frame op het netwerk. Er wordt een van de seriële interface afgeleid DLCI-waarde aan het frame toegevoegd. DLCI’s maken het virtuele circuit (PVC of SVC) bekend aan de routers en de switches van providers in het Frame Relay-netwerk. 4. De CSU/DSU ontvangt het digitale signaal en decodeert dit naar een digitale signaal dat de PSE-switch begrijpt. De PSE ontvangt dit digitale signaal en haalt de nullen en enen van de lijn. 5. De CSU/DSU is verbonden aan een demarc die door de serviceprovider geïnstalleerd is. De locatie hiervan is de eerste verantwoordelijkheid van de provider. De demarc is meestal een RJ-45-aansluitpunt, dat dichtbij de router en de CDU/CSU geïnstalleerd is. 6. De demarc bestaat meestal uit aderparen (twisted pair cable) die met de lokale lus verbonden zijn. De lokale lus loopt meestal naar de dichtstbijzijnde CO (central office, ook wel POP genoemd (point of presence). De lokale lus kan verschillende fysieke media accepteren, maar aderparen of glasfiber komt het meeste voor. 7. De CO ontvangt het frame en transporteert door de Frame Relay-‘wolk’ naar de bestemming. Deze wolk kan bestaan uit honderden schakelstations. Het zoekt het IP-adres van de bestemming en het DLCI-waarde. Het vindt meestal het DLCI-waarde van de remote router door in een mapping (vertaaltabel) van IP naar DLCI te zoeken. Frame Relay-mappings worden meestal statisch (dsu: met de hand) door de provider ingevoerd, maar ze kunnen ook dynamisch worden gemaakt door het protocol IARP (Inverse ARP). Onthoud: er worden pas gegevens verzonden worden als het hele virtuele circuit in orde is, van begin tot einde.


453

8. Wanneer het frame het dichtst ligt bij het bestemmingsadres gelegen switchoffice bereikt heeft, wordt het door de lokale lus gestuurd. Het frame wordt ontvangen op de demarc en naar de CSU/DSU doorgestuurd. De router pakt het pakket of de datagram uit en stopt dit in een nieuw LAN-frame om afgeleverd te worden bij de host. Het hardware-adres van de uiteindelijke bestemming staat in de header LAN-frame. Dit adres wordt gevonden in de ARP-cache van de router (en als het daar niet staat, vindt er een ARP-broadcast plaats). De gebruiker en de server hoeven hier niets van te weten Alles gebeurt onderweg, terwijl het frame zich een weg baant door het Frame Relay-netwerk.

10.4.2

Frame Relay-inkapseling Als u Frame Relay op Cisco-routers configureert, moet u het op seriële interfaces als een inkapseling (encapsulation) aanmerken. Er zijn twee soorten inkapseling: Cisco en IETF (Internet Engineering Task Force). De volgende uitvoer van een router laat de twee encapsulationmethoden voor Frame Relay op een Cisco-router zien: RouterA(config)#int s0 RouterA(config-if)#encapsulation frame-relay ? ietf Use RFC1490 encapsulation

De standaardinkapseling is Cisco. Om hiervan af te wijken moet u met de hand IETF opgeven. Cisco is standaard het type dat wordt gebruikt wanneer twee Ciscoapparaten met elkaar verbonden worden. IETF is de beste optie als u een Ciscoapparaat met een niet-Cisco-apparaat met Frame Relay wilt verbinden. Vraag voordat u een inkapselingtype kiest, bij uw ISP na welk type gebruikt wordt. (Weet men het niet, kies dan een andere ISP!)

10.4.3

Data Link Connection Identifiers (DLCI’s) PVC’s (Frame Relay virtual circuits) worden geïdentificeerd door DLCI’s. Een Frame Relay-serviceprovider, zoals een telefoonmaatschappij, wijst DLCI-waarden toe, die door Frame Relay gebruikt worden om verschillende virtuele circuits uit elkaar te houden. op Op een Frame Relay-interface kan er sprake zijn van veel virtuele circuits; daarom worden er veel DLCI’s gebruikt. IP-apparaten aan weerseinde van het virtuele circuit kunnen communiceren als de bijbehorende IP-adressen ook een mapping hebben op (toegewezen zijn aan) de DLCI’s. De mapping kan werken als een multipoint-apparaat. Die kan dan op het Frame Relay-netwerk het juiste virtuele circuit voor elk pakket vinden dat over een


454

enkele fysieke interface wordt gestuurd. De mappings kunnen dynamisch tot stand komen door IARP of statisch, dus met de hand, zijn ingevoerd, met de opdracht map. Frame Relay gebruikt DLCI’s zoals X.25 de X.121-adressen gebruikt. En elke DLCI-waarde kan overal op het Frame Relay-netwerk een algemene of een lokale betekenis krijgen. Soms wijst een provider aan een site (een lokatie) een DLCI toe die geadverteerd wordt naar alle remote lokaties met dezelfde PVC. Van zo’n PVC wordt gezegd dat deze een algemene betekenis heeft. Een hoofdkantoor heeft bijvoorbeeld een DLCI met de waarde 20. Alle overige locaties weten dat DLCI 20 het hoofdkantoor is en gebruiken deze PVC om met het hoofdkantoor te communiceren. Maar het is gebruikelijk om elke DLCI een lokale betekenis te geven. Wat houdt dit nu in? Het betekent dat DLCI-waarden niet uniek hoeven te zijn. Twee DLCI-waarden kunnen hetzelfde zijn aan ieder eind van de verbinding omdat Frame Relay op elke interface van de switch een lokale DLCIwaarde aan een virtueel circuit toewijst. Het komt er dus op neer, dat een DLCI alleen lokaal belangrijk is voor een fysieke seriële interface. Elk ander kantoor kan zijn eigen DLCI-waarde hebben en toch met het hoofdkantoor communiceren, ook al worden eigen DLCI-waarden gebruikt. DLCI-waarden die gebruikt worden om een PVC te identificeren, worden doorgaans toegekend door de provider en beginnen bij 16. Onderstaand ziet u een voorbeeld van de manier waarop een DLCI-waarde aan een interface wordt gekoppeld: RouterA(config-if)#frame-relay interface-dlci ? <16-1007> Define a DLCI as part of the current subinterface RouterA(config-if)#frame-relay interface-dlci 16

10.4.4

Local Management Interface (LMI) Local Management Interface (LMI) is in 1990 door Cisco Systems, StrataCom, Northern Telecom en Digital Equipment Corporation ontwikkeld. Het werd bekend als Gang-of-Four-LMI (de LMI van de bende van vier) maar wordt ook aangeduid als Cisco-LMI. Deze ‘bende’ nam het eenvoudige Frame Relay-protocol van de CCITT en breidde de eigenschappen van dit protocol zo uit dat internetwerkapparaten gemakkelijker konden communiceren met een Frame Relay-netwerk. LMI is een signaalstandaard tussen een CPE-apparaat (een router) en een frame switch. De LMI is verantwoordelijk voor het beheren en het onderhouden van de status tussen twee apparaten. LMI-berichten geven informatie over het volgende: Keepalives Controleert of gegevens verstuurd worden. Multicasting Lokale DLCI PVC.


455

Multicast-adressering Zorgt voor global significance (betekenis over het hele netwerk). Status van virtuele circuits DLCI-status.

Vanaf IOS-versie 11.2 is het LMI-type ‘auto-sense’. Dit stelt de interface in staat te bepalen of het LMI-type door de switch wordt ondersteund.

U moet de Frame Relay-provider vragen welk type u moet gebruiken als u geen gebruik gaat maken van de automatisch detectie. Het standaardtype is Cisco, maar misschien moet u op ANSI of Q.933A overstappen. De drie verschillende LMI-typen worden hieronder beschreven. RouterA(config-if)#frame-relay lmi-type ? cisco ansi q933a

Zoals u in de uitvoer ziet, worden drie algemene formaten voor LMI-signalering ondersteund: Cisco LMI zoals gedefinieerd door de Gang of Four (standaard). ANSI Annex D zoals gedefinieerd door ANSI-standaard T1.617 ITU-T (q933a) Annex A zoals gedefinieerd door Q.933 Routers ontvangen LMI-informatie op een interface met frameinkapseling (frameencapsulation). De routers veranderen de status van het virtuele circuit in een van de volgende stadia: Actief (Active state) Alles is actief en routers kunnen gegevens uitwisselen. Inactief (Inactive state) De interface van de router is actief en werkt met een verbinding naar de switchlokatie, maar de remote router werkt niet.


456

Gewist (Deleted state) Dit betekent dat op de interface geen LMI-informatie van de switch ontvangen is. Dit kan het gevolg zijn van een mapping-probleem of te wijten zijn aan een lijnstoring.

10.4.5

Subinterfaces Het is mogelijk om meer virtuele circuits op een enkele seriële interface te hebben en toch elk circuit als een afzonderlijke interface te beschouwen. Dit worden subinterfaces genoemd. De subinterfaces kunt u zien als een door IOS-software gedefinieerde hardware-interface. Een groot voordeel in het gebruik van subinterfaces is de mogelijkheid om verschillende kenmerken van netwerklagen toe te kennen aan elke subinterface en elk virtueel circuit. Bijvoorbeeld IP-routing op het ene virtueel circuit en IPX op een ander.

Partial mesh-netwerken U kunt subinterfaces gebruiken om Frame Relay-netwerken met partial mesh (gedeeltelijke maastopologie) te ontlasten en horizontale protocollen te splitsen. Neem als voorbeeld een IP-protocol op een LAN-netwerk. Als op hetzelfde netwerk router A kan communiceren met router B en router B met router C, dan is het logisch te veronderstellen dat router A kan communiceren met router C. Dit is waar als het gaat om een LAN maar het gaat niet op voor een Frame Relay-netwerk, tenzij router A een PVC heeft naar router C. Figuur 10.5 toont netwerk 1 dat geconfigureerd is met vijf locaties. Om dit te laten werken moet u een maasvorming netwerk maken zoals netwerk 2. Maar bedenk wel dat netwerk 2 een dure oplossing is. Subinterfaces configureren zoals bij netwerk 3 is vanuit kostenoogpunt wél erantwoord. In netwerk 3 zijn de subinterfaces zo geconfigureerd dat het Frame Relay-netwerk onderverdeeld is in kleinere subnetwerken met elk een eigen netwerknummer. De locaties A, B en C zijn verbonden in een volledig maasvormig netwerk, terwijl locaties C en D en de locaties D en E middels point-to-point verbonden zijn. De locaties C en D zijn verbonden met twee subinterfaces en sturen pakketten door. Subinterfaces lossen het probleem op met routeprotocollen die ‘split horizon’ gebruiken. Misschien herinnert u zich nog dat protocollen met split horizon geen routes adverteren vanaf de interface waarop zij de route-update hebben ontvangen. Dit kan een probleem veroorzaken op een maasvormig Frame Relay-netwerk. Maar vergeet niet dat routeprotocollen die de update ontvangen op de ene subinterface diezelfde route-update via een andere subinterface weer kunnen versturen.


457

Voorbeelden van netwerken met een gedeeltelijke maastopologie (partial mesh)

Volledig maasnetwerk

Gedeeltelijk maasnetwerk; volledige connectiviteit met sub-interface

Gedeeltelijk maasnetwerk; volledige connectiviteit met sub-interface

Subinterfaces maken U kunt subinterfaces definiëren met de opdracht int s0.subinterface getal. Stel eerst de inkapseling vast op de seriële interface om daarna de subinterfaces te definiëren: RouterA(config)#int s0 RouterA(config)#encapsulation frame-relay RouterA(config)#int s0.? <0-4294967295> Serial interface number RouterA(config)#int s0.16 ? multipoint Treat as a multipoint link point-to-point Treat as a point-to-point link

U kunt op een gekozen interface een vrijwel onbeperkt aantal subinterfaces definiëren (houd wel rekening met het geheugen in de router). In bovenstaand voorbeeld hebt u ervoor gekozen subinterface 16 te gebruiken; de DLCI-waarde


458

correspondeert immers met die interface. Maar u kunt elk getal tussen 0 en 4.292.967.295 kiezen. Er bestaan twee subinterfaces-typen: Point-to-point Dit wordt gebruikt wanneer in een virtueel circuit een router met een andere verbonden is. Elke point-to-point subinterface vereist een eigen subnet. Multipoint Dit wordt gebruikt wanneer de router het middelpunt is van een stervormig stelsel van virtuele circuits. De subinterface gebruikt één subnet voor alle seriële interfaces van de router die verbonden zijn met de frame-switch. Hieronder is bij wijze van voorbeeld de situatie geschetst van een productierouter met meer subinterfaces. Let op het getal van de subinterface: dit is hetzelfde als het DLCI-getal. Niet per se nodig, maar het vereenvoudigt het beheren van de interfaces. Merk ook op dat er geen LMI-type gedefinieerd is. Dit betekent dat een standaardCisco in het spel is of autodetect wordt gebruikt bij Cisco IOS versie 11.2 of recenter. Elke interface is gedefinieerd als een afzonderlijke subnet, afzonderlijk IPXnetwerk en afzonderlijk AppleTalk-kabelbereik (AppleTalk maakt geen onderdeel uit van het examen): interface Serial0 no ip address no ip directed-broadcast encapsulation frame-relay ! interface Serial0.102 point-to-point ip address 10.1.12.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 12-12 12.65 appletalk zone wan2 appletalk protocol eigrp no appletalk protocol rtmp ipx network 12 frame-relay interface-dlci 102 ! interface Serial0.103 point-to-point ip address 10.1.13.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 13-13 13.174 appletalk zone wan3 appletalk protocol eigrp no appletalk protocol rtmp ipx network 13 frame-relay interface-dlci 103

Studiegids Cisco CCNA ! interface Serial0.104 point-to-point ip address 10.1.14.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 14-14 14.131 appletalk zone wan4 appletalk protocol eigrp no appletalk protocol rtmp ipx network 14 frame-relay interface-dlci 104 ! interface Serial0.105 point-to-point ip address 10.1.15.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 15-15 15.184 appletalk zone wan5 appletalk protocol eigrp no appletalk protocol rtmp ipx network 15 frame-relay interface-dlci 105 ! interface Serial0.106 point-to-point ip address 10.1.16.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 16-16 16.28 appletalk zone wan6 appletalk protocol eigrp no appletalk protocol rtmp ipx network 16 frame-relay interface-dlci 106 ! interface Serial0.107 point-to-point ip address 10.1.17.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 17-17 17.223 appletalk zone wan7 appletalk protocol eigrp no appletalk protocol rtmp ipx network 17 frame-relay interface-dlci 107 ! interface Serial0.108 point-to-point ip address 10.1.18.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 18-18 18.43 appletalk zone wan8 appletalk protocol eigrp

459


460 no appletalk protocol rtmp ipx network 18 frame-relay interface-dlci 108

10.4.6

Mapping Frame Relay Wilt u dat de IP-apparaten aan de uiteinden van de virtuele circuits met elkaar communiceren, zorg er dan voor dat de adressen een mapping hebben naar (toegewezen zijn aan) de DLCI’s. Dit kan op twee manieren gebeuren: • Met behulp van de Frame Relay-opdracht map . • Met behulp van de functie inverse-arp. Een voorbeeld van de opdracht map: RouterA(config)#int s0 RouterA(config-if)#encap frame RouterA(config-if)#int s0.16 point-to-point RouterA(config-subif)#no inverse-arp RouterA(config-subif)#ip address 172.16.30.1 255.255.255.0 RouterA(config-subif)#frame-relay map ip 172.16.30.17 16 ietf broadcast RouterA(config-subif)#frame-relay map ip 172.16.30.18 17 broadcast RouterA(config-subif)#frame-relay map ip 172.16.30.19 18

Eerst kiest u de geconfigureerde interface serial 0 om het inkapseltype Cisco (standaard) te gebruiken. Daarna maakt u de subinterface. Vervolgens wordt de opdracht inverse arp uitgeschakeld en er wordt een mapping gemaakt van de drie virtuele circuits op de corresponderende DLCI-waarden. Let op dat het inkapseltype (encapsulation type) van de eerste mapping veranderd is. De opdracht frame map is de enige manier om inkapseltypen van meer frames op een subinterface te configureren. Het trefwoord broadcast aan het einde van de opdracht map zorgt ervoor dat de router alle broadcasts doorstuurt naar dit speciale virtuele circuit. Onthoud dat Frame Relay een NBMA-inkapselmethode is (NonBroadcast MultiAccess), dat geen routeprotocollen broadcast. Gebruik de opdracht map met als trefwoord broadcast of de opdracht neighbor in het routeringsproces. U hoeft niet voor elk virtueel circuit de opdracht map te geven: kunt u ook de functie inverse-arp uitvoeren. Deze functie zorgt voor het dynamisch toewijzen van het IP-adres aan de DLCI-waarde. De configuratie ziet er dan als volgt uit: RouterA(config)#int s0.16 point-to-point RouterA(config-subif)#encap frame-relay ietf RouterA(config-subif)#ip address 172.16.30.1 255.255.255.0


461

Deze configuratie is een stuk eenvoudiger, maar niet zo stabiel als de opdracht map.Waarom? Als de functie inverse-arp gebruikt wordt, vinden vaker fouten

plaats. Virtuele circuits zijn verraderlijk en kunnen dynamisch gemapt zijn op (toegewezen zijn aan) onbekende apparaten.

10.4.7

Frame Relay-filebeheersing In deze subparagraaf bekijkt u hoe de Frame Relay-switch met opstoppingsproblemen (congestion) omgaat. DE (Discard Eligibility) Als een Frame Relay-router een opstopping in een Frame Relay-netwerk ontdekt, zet deze de DE-bit in de header van het Frame Relay-pakket. In het geval van een opstopping zal de Frame Relay-switch eerst de met een geactiveerde DE-bit pakketten afdanken. Als u de bandbreedte met een CIR gelijk aan nul hebt geconfigureerd, staat DE altijd aan. FECN (Forward-Explicit Congestion Notification) Als het Frame Relay-netwerk opstopping ontdekt in de wolk (cloud), zal de switch in een Frame Relay-pakketheader de FECN-bit op 1 zetten. Dit is een teken voor de bestemmings-DCE, dat er op het zojuist afgelegde pad een opstopping is. BECN (Backward-Explicit Congestion Notification) Als de switch een opstopping in een Frame Relay-netwerk ontdekt, zet deze de BECN-bit en stuurt die informatie naar de bronrouter met het verzoek pakketten minder snel te versturen.

10.4.8

Committed Information Rate (CIR) Frame Relay levert een pakketgeschakeld netwerk dat gelijktijdig door veel verschillende klanten gebruikt kan worden. Dit is een goede gedachte, omdat het de kosten over veel klanten uitsmeert. Maar Frame Relay is gebaseerd op de aanname dat klanten niet op precies hetzelfde moment gegevens versturen. Frame Relay werkt het beste met onregelmatig verkeer. In het begin van dit hoofdstuk is de vergelijking getrokken met groepsgespreklijnen. Kent u die nog? Misschien de ouderen onder u. In vroeger tijden werd, met name in Amerika, een telefoonlijn door een heel huizenblok gedeeld. Het hele blok deelde ook hetzelfde telefoonnummer. Wilde je in die dagen veel bellen, dan moest je een eigen lijn aanschaffen. Frame Relay werkt ongeveer op dezelfde manier, al kunnen apparaten op hetzelfde moment gegevens verzenden (in tegenstelling tot telefoongesprekken die niet door elkaar heen kunnen lopen). Hebt u echter behoefte aan een constante stroom van gegevens, dan is Frame Relay niets voor u. Schaf dan liever een point-to-point T-1-verbinding aan.


462

Frame Relay reserveert per gebruiker een bepaalde bandbreedte, die de gebruiker op elk moment gewenst kan benutten. Frame Relay-providers kunnen ervoor zorgen dat klanten een lagere hoeveelheid bandbreedte kopen dan ze werkelijk nodig zullen hebben. Dit wordt de Committed Information Rate (CIR) genoemd. Een klant koopt bijvoorbeeld een bandbreedte van 256 K, maar het is mogelijk om deze op te blazen naar snelheden van een T-1. In een Frame Relay-netwerk zorgt de CIR ervoor er voor dat zolang de hoeveelheid door een apparaat aangeboden gegevens lager is dan of gelijk is aan de CIR, het netwerk de gegevens van de PVC blijft versturen. Is de hoeveelheid groter dan de CIR, dan is er geen garantie dat de gegevens de bestemming zullen bereiken.

De CIR is de afgesproken ‘rate’ (hoeveelheid per tijdeenheid, in bits per seconde), waarmee de Frame Relay-switch gegevens doorstuurt.

Soms is het mogelijk een Bc (Committed Burst) te kopen. Een Bc stelt klanten in staat hun CIR gedurende een bepaalde tijd te verhogen. In dit geval is de DE-bit altijd gezet (1). Kies een CIR op basis van een realistische, toekomstvaste rate. Enkele Frame Relay-providers staan toe dat u een CIR gelijk aan nul aanschaft. U kunt een nul-CIR gebruiken om geld te besparen, maar dan moet het opnieuw zenden van pakketten acceptabel zijn. Bedenk dat in een dergelijke situatie de DE altijd in elk frame gezet is (1).

10.4.9

Frame Relay beheren Er bestaan verschillende manieren om na het instellen van de Frame Relay-inkapseling (encapsulation) de status van de interfaces en PVC’s te controleren: RouterA>sho frame ? ip show frame relay IP statistics lmi show frame relay lmi statistics map Frame-Relay map table pvc show frame relay pvc statistics route show frame relay route traffic Frame-Relay protocol statistics

Show Frame Relay lmi De opdracht show frame relay lmi geeft u de LMI-statistieken die uitgewisseld werden tussen de lokale router en de Frame Relay-switch.


463

Router#sh frame lmi LMI Statistics for interface Serial0 (Frame Relay DTE) LMI TYPE = CISCO Invalid Unnumbered info 0 Invalid Prot Disc 0 Invalid dummy Call Ref 0 Invalid Msg Type 0 Invalid Status Message 0 Invalid Lock Shift 0 Invalid Information ID 0 Invalid Report IE Len 0 Invalid Report Request 0 Invalid Keep IE Len 0 Num Status Enq. Sent 0 Num Status msgs Rcvd 0 Num Update Status Rcvd 0 Num Status Timeouts 0 Router#

De router-output van de opdracht show frame relay lmi toont zowel de LMIfouten als het LMI-type.

Show Frame Relay pvc De opdracht show frame pvc geeft een overzicht van alle geconfigureerde PVC’s en DLCI-waarden. Het toont de status van elke PVC-verbinding en laat de verkeerstatistieken zien. Ook worden het aantal op ontvangen de router BECN- en FECN-pakketten gepresenteerd. RouterA#sho frame pvc PVC Statistics for interface Serial0 (Frame Relay DTE) DLCI = 16,DLCI USAGE = LOCAL,PVC STATUS =ACTIVE,INTERFACE = Serial0.1 input pkts 50977876 output pkts 41822892 in bytes 3137403144 out bytes 3408047602 dropped pkts 5 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 9393 out DE pkts 0 pvc create time 7w3d, last time pvc status changed 7w3d DLCI = 18,DLCI USAGE =LOCAL,PVC STATUS =ACTIVE,INTERFACE = Serial0.3 input pkts 30572401 output pkts 31139837 in bytes 1797291100 out bytes 3227181474 dropped pkts 5 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 28 out DE pkts 0 pvc create time 7w3d, last time pvc status changed 7w3d


464

Om alleen de gegevens van PVC 16 te zien, geeft u de opdracht show frame relay pvc 16.

Show Interface Om het LMI-verkeer te controleren geeft u de opdracht show interface. Deze opdracht toont de wijze van inkapselen maar ook de informatie over laag-2 en laag-3. Het in de opdracht vet weergegeven gedeelte met betrekking tot LMI DLCI dient om het gebruikte LMI-type te definiëren. 1023 is het standaard LMI-type Cisco. Als de waarde van LMI DLCI 0 is, wordt het type ANSI LMI gebruikt. Als u een waarde krijgt die niet tussen 0 en 1023 ligt, neem dan contact op met uw provider, want in dit geval hebben zij een probleem. RouterA#sho int s0 Serial0 is up, line protocol is up Hardware is HD64570 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 2/255 Encapsulation FRAME-RELAY, loopback not set, keepalive set (10 sec) LMI enq sent 451751,LMI stat recvd 451750,LMI upd recvd 164,DTE LMI up LMI enq recvd 0, LMI stat sent 0, LMI upd sent 0 LMI DLCI 1023 LMI type is CISCO frame relay DTE Broadcast queue 0/64, broadcasts sent/dropped 0/0, interface broadcasts 839294

De opdracht show interface toont de lijn, het protocol, de DLCI en de LMIinformatie.

Show Frame Map De opdracht show frame map toont de mappings van de Network laag naar DLCI. RouterB#show frame map Serial0 (up): ipx 20.0007.7842.3575 dlci 16(0x10,0x400), dynamic, broadcast,, status defined, active Serial0 (up): ip 172.16.20.1 dlci 16(0x10,0x400), dynamic, broadcast,, status defined, active Serial1 (up): ipx 40.0007.7842.153a dlci 17(0x11,0x410), dynamic, broadcast,, status defined, active Serial1 (up): ip 172.16.40.2 dlci 17(0x11,0x410), dynamic, broadcast,, status defined, active


465

Merk op dat de seriële interface twee mappings heeft, een voor IP en een voor IPX. Merk tevens op dat de adressen van de laag Network vertaald worden met behulp van het dynamische protocol Inverse ARP (IARP). Als een beheerder de mapping van de adressen zou hebben verzorgd, had de uitvoer ‘static’ gemeld. Achter de DLCI-waarde ziet u een paar getallen tussen haakjes. Het eerste getallenpaar is 0x10. Dit is het hexadecimale equivalent van de DLCI-waarde 16 die wordt gebruikt op serial 0. Het getallenpaar 0x11 is het hexadecimale equivalent van de DLCI-waarde 17, gebruikt op serial 1. De twee volgende getallenparen, 0x400 en 0x410, zijn de in het Frame Relay-frame geconfigureerde DLCI-waarden. Het verschil wordt veroorzaakt door de plaats van de bits in het frame.

Om de dynamische mappings te wissen gebruikt u de opdracht clear frame-relayinarp.

Debug Frame lmi De opdracht debug frame lmi toont standaard de uitvoer op de router-console. De informatie die deze opdracht levert,stelt u in staat de Frame Relay-verbinding te controleren. Met deze informatie kunt u fouten opsporen en bepalen of de router en switch de juiste LMI-informatie uitwisselen. Router#debug frame-relay lmi Serial3/1(in): Status, myseq 214 RT IE 1, length 1, type 0 KA IE 3, length 2, yourseq 214, myseq 214 PVC IE 0x7 , length 0x6 , dlci 130, status 0x2 , bw 0 Serial3/1(out): StEnq, myseq 215, yourseen 214, DTE up datagramstart = 0x1959DF4, datagramsize = 13 FR encap = 0xFCF10309 00 75 01 01 01 03 02 D7 D6 Serial3/1(in): Status, myseq 215 RT IE 1, length 1, type 1 KA IE 3, length 2, yourseq 215, myseq 215 Serial3/1(out): StEnq, myseq 216, yourseen 215, DTE up datagramstart = 0x1959DF4, datagramsize = 13 FR encap = 0xFCF10309 00 75 01 01 01 03 02 D8 D7


466

10.5 Integrated Services Digital Network (ISDN) Integrated Services Digital Network (ISDN) is een digitale service die ontworpen is voor bestaande telefoonnetwerken. ISDN ondersteunt zowel spraak als gegevensoverdracht – ideaal voor mensen die willen telewerken. Maar ISDNtoepassingen hebben bandbreedte nodig. Typische ISDN-toepassingen en -implementaties zijn hoge snelheid beeldtoepassingen (bijvoorbeeld Group IV fascimile), supersnelle bestandsoverdracht, videoconferenties en meerdere gelijktijdige verbindingen van huis naar kantoor, bedoeld voor telewerkers. ISDN is een door telefoonmaatschappijen aangeboden verzameling communicatieprotocollen. Dankzij ISDN kan een aantal digitale services worden aangeboden die gelijktijdig gegevens, tekst, spraak, muziek, afbeeldingen en video naar eindgebruikers kunnen transporteren. ISDN is ontwikkeld voor gebruik met het bestaande telefoonnet.

ISDN-standaards specificeren de hardware en bepalen hoe digitale end-to-end-verbindingen tot stand komen.

PPP wordt gebruikt in combinatie met ISDN. Het is een protocol voor inkapseling van gegevens (data encapsulation), voor vaststelling van integriteit van de verbindingen en voor authenticatie. De voordelen van ISDN zijn: • Gelijktijdige overdracht van spraak,video en gegevens. • Snellere opbouw van een verbinding dan bij gebruik van een analoog modem. • Snellere gegevensoverdracht dan in geval van een modemverbinding. • Constante connectiviteit over een ISDN-netwerk wordt gesimuleerd (spoofed) door de Cisco IOS-routers door het gebruik van DDR-routing. • ISDN kan gebruikt worden als een backup-service voor een huurlijnverbinding tussen de centrale en de andere locaties. • Inbouw van modems en bekabeling kunnen achterwege blijven door de integratie van digitale modemkaarten op een Cisco IOS Network Access Server (NAS).

10.5.1

ISDN-componenten ISDN-componenten bevatten onder andere referentiepunten en functies. Figuur 10.6 laat zien hoe verschillende soorten terminals en referentiepunten in een ISDNnetwerk kunnen worden toegepast


467

ISDN-referentiepunten en -functies Niet-ISDN apparaat (TE2)

ISDNapparaat (TE1) Router met ingebouwde NT1

R

S/T

TA

NT1

S/T NT1

U U

U

ISDN switchservice

In Noord-Amerika gebruikt ISDN een tweedraadsverbinding naar een huis of kantoor. Dit wordt het U-referentiepunt genoemd. NT1 is het apparaat dat u nodig hebt om een vierdraadsverbinding om te kunnen zetten in de tweedraadsverbinding voor ISDN-telefoons en TA’s (terminal adapters). De meeste routers die u tegenwoordig te koop worden aangeboden, zijn uitgerust met een ingebouwde NT1 (U)-interface. Figuur 10.7 toont de verschillende referentiepunten en terminal-apparaten (TE’s) die in combinatie met Cisco ISDN BRI-interfaces gebruikt kunnen worden.

ISDN-terminals Apparaten die zijn aangesloten op het ISDN-netwerk worden aangeduid met de termen terminal equipment (TE) en network termination (NT). Er bestaan twee typen: TE1 Terminal equipment type 1 duidt op terminals die ISDN-standaards begrijpen en zonder problemen op een ISDN-netwerk kunnen worden aangesloten.


468 Figuur 10.7

ISDN BRI-referentiepunten en aansluitapparatuur Native ISDN-interface—int bri0

TE1

bri0 S/T

Service provider netwerk

NT1

bri0

TE1

U

TE2 NT1

R S0

NT1

S/T

NT1

Niet-native ISDN interfaceseriele interface 0 (EIA/TIA-232, V.35, X.21)

TE2 Terminal equipment type 2 duidt op terminals die ouder zijn dan de ISDNstandaard. Gebruik van TE2’s is alleen mogelijk als u een terminal adapter hebt om het apparaat op een ISDN-netwerk aan te sluiten. NT1 Network termination 1 implementeert de ISDN-specificaties voor de laag Physical. Het verbindt de apparaten van de eindgebruiker met het ISDN-netwerk middels conversie van een vierdraadsnetwerk naar een tweedraadsnetwerk. NT2 Network termination 2 is de (doorgaans) apparatuur van de provider, zoals en switch of PBX. Ook NT2 is een impelmentatievorm op de lagen Data Link en Physical. NT2 treft u zelden op de locatie van de klant aan. TA Terminal adapter converteert TE2 niet-ISDN-signalen naar door de ISDN-switch gebruikte signalen. Daarna moet een NT1-apparaat nog zorgen voor de conversie naar een tweedraads ISDN-netwerk.


469

ISDN-referentiepunten Referentiepunten zijn een verzameling specificaties die bepalen hoe de diverse apparaten in een ISDN-netwerk worden verbonden. ISDN heeft vier referentiepunten die logische interfaces definiëren: R-referentiepunt Definieert het referentiepunt tussen niet-ISDN-apparatuur (TE2) en een TA. S-referentiepunt Definieert het referentiepunt tussen de router van de klant en een NT2. Maakt verbindingen mogelijk tussen de apparaten van de klant. T-referentiepunt Definieert het referentiepunt tussen NT1- en NT2-apparaten. S- en T-referentiepunten zijn elektrisch gelijkwaardig en kunnen dezelfde functie vervullen. Daarom worden ze ook wel aangeduid als S/T-referentiepunt. U-referentiepunt Definieert het referentiepunt tussen NT1-apparaten en een ISDN-netwerk. Het U-referentiepunt verstaat ISDN-signalen en maakt gebruik van een tweedraads verbinding. (Het U-referentiepunt alleen van belang in Noord-Amerika, waar de NT1-functie niet geleverd wordt door het netwerkbedrijf).

ISDN-protocollen ISDN-protocollen worden gedefinieerd door het ITU. Er zijn verschillende protocolseries voor verschillende situaties: • Protocollen die met een E beginnen houden zich bezig met het gebruik van ISDN in een bestaand telefoonnetwerk. • Protocollen die met een I beginnen hebben betrekking op concepten, eigenschappen en services. • Protocollen die met de letter Q beginnen, zeggen iets over switchen en signalen. Dit zijn de protocollen waarmee u een verbinding maakt met een ISDN-netwerk en die u gebruikt bij het opsporen van problemen.

Soorten ISDN-switches AT&T en Nortel leveren het overgrote deel van de momenteel in Noord-Amerika gebruikte ISDN-switches. De kolom Trefwoord van tabel 10.1 toont de term die u in de opdracht isdn switch-type gebruikt. Met die term configureert u de router


470

voor de switches waarmee deze gaat verbinden. Zorg ervoor dat u op de hoogte bent welke switch de CO gebruikt. Tabel 10.1

10.5.2

Soorten ISDN-switches Soort switch

Trefwoord

AT&T basic rate switch Nortel DMS-100 basic rate switch National ISDN-1 switch AT&T 4ESS (alleen ISDN PRI) AT&T 5ESS (alleen ISDN PRI)

Basic-5ess Basic-dms100 Basic-ni Primary-4ess Primary-5ess

Nortel DMS-100 (alleen ISDN PRI)

Primary-dms100

Basic Rate Interface (BRI) De service ISDN Basic Rate Interface (BRI, ook wel 2B+1D genoemd) biedt twee B-kanalen en een D-kanaal. Het BRI B-kanaal heeft een snelheid van 64 Kbps en transporteert gegevens. De service van het BRI D-kanaal werkt met een snelheid van 16 Kbps en transporteert geen gegevens maar beheerinformatie (control data) en signaalinformatie. De totale bandbreedte voor ISDN-BRI is 144 Kbps (64+64+16=144). Het signaalprotocol op het D-kanaal vindt plaats op de lagen Physical, Data Link en Network van het OSI-referentiemodel. Het D-kanaal vervoert signaalinformatie om verbindingen op te bouwen en te onderhouden. Dit kanaal kan ook gebruikt worden als beveiligingssysteem voor een gebouw of voor iets anders waarvoor weinig bandbreedte nodig is; er is slechts 16 Kbps nodig. D-kanalen zorgen voor betrouwbare verbindingen en werken met LAPD op de laag Data Link. U moet over SPID’s (Service Profile Identifiers) beschikken om ISDN-BRI te kunnen configureren. Voor elk B-kanaal is een SPID nodig. U zou de SPID’s kunnen zien als het telefoonnummer van het betreffende B-kanaal. Het ISDN-apparaat kent de SPID toe aan de ISDN-switch, die het apparaat vervolgens de mogelijkheid geeft gebruik te maken van BRI- en PRI-services op het netwerk. Zonder SPID staan de meeste ISDN-switches geen sessie op het netwerk toe. Om een BRI-sessie te laten plaatsvinden, moeten vier gebeurtenissen plaatsgrijpen: 1. Het D-kanaal tussen router en lokale ISDN-switch wordt actief. 2. De ISDN-switch gebruikt de SS7-signaaltechniek om een pad naar een remote switch tot stand te brengen. 3. De remote switch bouwt een D-kanaal-verbinding op met de remote router. 4. De B-kanalen worden end-to-end verbonden.


10.5.3

471

Primary Rate Interface (PRI) In Noord-Amerika en Japan biedt de ISDN Primary Rate Interface (PRI, of 23B+D1) 23 B-kanalen van 64 Kbps en één D-kanaal van 64 Kbps. De totale bitsnelheid is dus maximaal 1.544 Mbps. In Europa, Australië en andere delen van de wereld levert ISDN 30 B-kanalen van 64 Kbps één D-kanaal van 64 Kbps. Een totale bitsnelheid van maximaal 2.048 Mbps.

10.5.4

ISDN met Cisco-routers Met behulp van een Cisco-router toegang krijgen tot ISDN betekent dat u een router met een ingebouwde NT1 (U-referentiepunt) of een ISDN-modem (TA)moet aanschaffen. Heeft uw router een BRI-interface, dan kunt u meteen aan de slag. Maar u kunt ook een van de seriële poorten op de router gebruiken als u geen TA te pakken krijgt. Een router met een BRI-interface noemt men een TE1 (Terminal Equipment type 1). Een router die een TA nodig heeft, noemt men een TE2 (Terminal Equipment type 2). ISDN ondersteunt vrijwel elk netwerkprotocol in de hogere lagen (bijvoorbeeld IP, IPX en AppleTalk). U kunt kiezen uit PPP, HDLC of LAPD als inkapselprotocol (encapsulation protocol).

Bij het configureren van ISDN moet u het switch-type van uw serviceprovider kennen. Als u wilt weten welke switch uw provider ondersteunt, gebruikt u de opdracht isdn switch-type ? vanuit de algemene configuratiemodus of de interface-confgiureatiemodus. Dit is nodig, want elke leverancier heeft een proprietary (producentspecifiek) protocol voor het versturen van signalen.

Voor elke ISDN BRI-interface moet u opgeven welke SPID’s de interface-opdrachten isdn spid1 en isdn spid2 gebruiken. Deze worden geleverd door de ISDNprovider en identificeren u op de switch, ze fungeren als een soort telefoonnummer. Sommige providers gebruiken de SPID’s niet meer. Neem contact op met uw provider om dit na te vragen. In de laatste fase van het configureren van de SPID stelt u het lokale inbelnummer voor die SPID in. Bij sommige switches moet dit nummer op de router worden ingesteld, anders kunnen beide B-kanalen niet gelijktijdig worden gebruikt. Een voorbeeld ziet u hieronder: RouterA#config t Enter configuration commands, one per line. End with CNTL/Z. RouterA(config)#isdn switch-type basic-ni


472

RouterA(config)#int bri0 RouterA(config-if)#encap ppp (optional) RouterA(config-if)#isdn spid1 086506610100 8650661 RouterA(config-if)#isdn spid2 086506620100 8650662

De opdracht isdn switch-type kan op twee manieren geconfigureerd worden: in de algemene configuratiemodus of in de modus interfaceconfiguratie. Gebruikt u de algemene configuratiemodus dan stelt u het switch-type in voor alle BRI-interfaces op de router. Hebt u slechts één interface, dan maakt het niet uit in welke modus u de opdracht isdn switch-type geeft.

10.6 Dial-on-Demand Routing (DDR) Met Dial-on-demand routing (DDR) kunt u twee of meer Cisco-routers toestaan naar behoefte een ISDN-inbelverbinding tot stand te brengen. DDR wordt alleen gebruikt voor netwerkverbindingen die periodiek nodig zijn voor gegevensoverdracht in lage volumes en die gebruik maken van Public Switched Telephone Network (PSTN) of ISDN. DDR is ontworpen om de kosten van WANs te beperken als per minuut of per pakket betaald moest worden. DDR werkt wanneer een pakket op een interface ontvangen is en voldoet aan een door de beheerder opgestelde de toegangslijst (access list). Deze toegangslijst bevat de voorwaarden voor interessant verkeer. De volgende stappen vormen een vereenvoudigde beschrijving van de activiteiten die een DDR onderneemt als een interessant pakket op een routerinterface is ontvangen. 1. Route naar het bestemmingsnetwerk wordt bepaald. 2. Interessante pakketten zorgen voor een DDR-oproep. 3. Kiesinformatie wordt opgezocht. 4. Verkeer wordt doorgezonden. 5. Oproep wordt beëindigd als over de verbinding geen verkeer meer verstuurd wordt en de leegloopperiode (idle-timeout period) verstrijkt.

10.6.1

DDR configureren Om DDR te configureren moet u drie handelingen verrichten: 1. Definieer statische routes die aangeven hoe het remote netwerk te bereiken is en welke interface gebruikt moet worden om er te komen.


473

2. Specificeer het verkeer dat interessant is voor de router. 3. Configureer de kiesinformatie die gebruikt gaat worden om de interface te verbinden met het remote netwerk.

10.6.2

Statische routes configureren Om verkeer door te sturen over een ISDN-verbinding configureert u statische routes op iedere router. Natuurlijk kunt u ook dynamische routeprotocollen configureren voor ISDN, maar de verbinding zal dan nooit verbroken worden. De aanbevolen routing-methode is het gebruik van statische routes. Bij het maken van routes zijn twee regels erg belangrijk: • Alle aangesloten routers moeten statische routes hebben die alle routes van alle bekende netwerken definiëren. • Heeft het netwerk maar een verbinding naar de router, gebruik dan standaardrouting. Een voorbeeld van statische routering met ISDN: RouterA(config)#ip route 172.16.50.0 255.255.255.0 172.16.60.2 RouterA(config)#ip route 172.16.60.2 255.255.255.255 bri0

In dit voorbeeld wordt de router vertelt hoe deze via netwerk 172.16.60.2 het netwerk 172.16.50.0 kan bereiken. De tweede regel vertelt de router hoe netwerk 172.16.60.2 te bereiken is.

10.6.3

Interessant verkeer specificeren Nadat u de routetabellen in elke router hebt ingesteld, moet u de router configureren om te kunnen bepalen wat aanleiding is de ISDN-lijn te activeren. De beheerder gebruikt de algemene configuratieopdracht dialer-list en definieert hiermee interessante pakketten. De opdracht om al het IP-verkeer te activeren ziet er als volgt uit: 804A(config)#dialer-list 1 protocol ip permit 804A(config)#int bri0 804A(config-if)#dialer-group 1

De opdracht dialer-group stelt de toegangslijst op de BRI-interface in. Om interessant verkeer te definiëren gebruikt u de opdracht dialer-list. Deze opdracht maakt gebruik van uitgebreide toegangslijsten (extended access lists) om


474

alleen het verkeer van bepaalde toepassingen als interessant aan te merken. Dit onderdeel komt verderop aan de orde.

10.6.4

Dialer-informatie configureren Er zijn vijf configuratiestappen: 1. Kies de interface. 2. Stel het IP-adres in. 3. Configureer het inkapseltype (encapsulation type). 4. Koppel interessant verkeer aan de interface. 5. Configureer het nummer of de nummers waarmee moet worden ingebeld. Een voorbeeld van de manier waarop u de vijf stappen configureert: 804A#config t 804A(config)#int bri0 804A(config-if)#ip address 172.16.60.1 255.255.255.0 804A(config-if)#no shut 804A(config-if)#encapsulation ppp 804A(config-if)#dialer-group 1 804A(config-if)#dialer-string 8350661

In plaats van de opdracht dialer-string gebruikt u de opdracht dialer-map, die betrouwbaarder is. 804A(config-if)#dialer map ip 172.16.60.2 name 804B 8350661

De opdracht dialer map kan samen met de opdracht dialer-group en de daaraan gekoppelde toegangslijsten gebruikt worden om de inbelverbinding tot stand te brengen. De opdracht dialer map gebruikt het IP-adres van de volgende hoprouter, de hostnaam van de remote router voor authenticatie en daarna het nummer om in te bellen. De configuratie van een 804-router: 804B#sh run Building configuration... Current configuration: ! version 12.0 no service pad service timestamps debug uptime service timestamps log uptime


475

no service password-encryption ! hostname 804B ! ip subnet-zero ! isdn switch-type basic-ni ! interface Ethernet0 ip address 172.16.50.10 255.255.255.0 no ip directed-broadcast ! interface BRI0 ip address 172.16.60.2 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer idle-timeout 300 dialer string 8358661 dialer load-threshold 2 either dialer-group 1 isdn switch-type basic-ni isdn spid1 0835866201 8358662 isdn spid2 0835866401 8358664 hold-queue 75 in ! ip classless ip route 172.16.30.0 255.255.255.0 172.16.60.1 ip route 172.16.60.1 255.255.255.255 BRI0 ! dialer-list 1 protocol ip permit !

De BRI-interface gebruikt PPP-inkapseling (PPP-encapsulation) en heeft een timeout-waarde van 300 seconden. De opdracht load-threshold zorgt ervoor dat de BRI-interfaces onmiddellijk geactiveerd worden. Waar u scherp op moet letten, is de opdracht dialer-group 1 . Dit nummer moet overeenkomen met het nummer van de kieslijst (dialer list). De opdracht hold-queue 75 in vertelt de router om 75 pakketten in de wachtrij te zetten, wanneer het een interessant pakket ontvangt. Er wordt gewacht totdat de BRI actief is. Zijn er meer dan 75 pakketten voordat de verbinding tot stand is gebracht, dan worden deze pakketten geweigerd.

10.6.5

Niet-verplichte opdrachten Er zijn twee andere opdrachten die u op uw BRI-interface zou moeten configureren: de opdracht dialer load-threshold en de opdracht dialer idle-timeout.


476

De opdracht dialer load-threshold vertelt de BRI-interface wanneer het tweede B-kanaal actief kan worden. De opties gaan van 1 tot 255, waarbij 255 vertelt dat het tweede kanaal pas actief mag worden als het eerste kanaal voor 100 procent belast wordt. De tweede optie voor deze opdracht is inbound, outbound, either (in, uit of allebei). Dit berekent de werkelijke belasting op de interface voor uitgaand verkeer, binnenkomend verkeer of beide. De standaardwaarde is uitgaand. De opdracht dialer idle-timeout specificeert het aantal seconden voordat de inbelverbinding verbroken wordt, nadat het laatste interessante pakket is doorgestuurd. De standaardwaarde is 120 seconden. RouterA(config-if)#dialer load-threshold 125 either RouterA(config-if)#dialer idle-timeout 180

De opdracht dialer load-threshold 125 vertelt de BRI-interface wanneer het tweede B-kanaal actief kan worden als de belasting voor uitgaand of binnenkomend verkeer 50 procent is. De opdracht dialer idle-timeout 180 verandert de standaardtijd voor het verbreken van de verbinding van 120 naar 180 seconden.

10.6.6

DDR met toegangslijsten U kunt toegangslijsten gebruiken om duidelijkheid maken wat interessant verkeer is en wat niet. In het vorige voorbeeld zag u hoe een kieslijst opgesteld werd, zodat IPverkeer een lijn kon activeren. Dit is prima voor een testsituatie, maar het kan ook het doel van een DDR-lijn voorbij schieten. U kunt uitgebreide toegangslijsten (extended access lists) te gebruiken beperkingen op te leggen, zodat bijvoorbeeld alleen e-mail of Telnet worden doorgestuurd. Een voorbeeld van het definiëren van een kieslijst die een toegangslijst gebruikt: 804A(config)#dialer-list 1 list 110 804A(config)#access-list 110 permit tcp any any eq smtp 804A(config)#access-list 110 permit tcp any any eq telnet 804A(config)#int bri0 804A(config-if)#dialer-group 1

In dit voorbeeld ziet u de opdracht dialer-list zie zo is geconfigureerd dat deze rekening houdt met een toegangslijst. In het voorbeeld is IP gebruikt, maar dit kan ook elk ander protocol zijn. Maak uw lijst en pas deze daarna met de opdracht dialer-group toe op de BRI-interface.


10.6.7

477

De werking van ISDN controleren De volgende opdrachten worden gebruikt voor de verificatie van DDR en ISDN: ping en telnet

Geschikte IP-tools voor elk netwerk. Maar de definitie van interessant verkeer moet bepalen dat Ping en Telnet als interessant verkeer moeten worden beschouwd: interessant genoeg om een verbinding tot stand te brengen. Wanneer de verbinding eenmaal actief is, kunt u met uw remote router pingen of telnetten, ongeacht de inhoud met de lijst van interessant verkeer.

show dialer

Geeft diagnostische informatie over inbelverbinding en toont: • het aantal keren dat verbinding is gelegd met de ‘dialer string’ (het te bellen telefoonnummer) • per B-kanaal de leeglooptijd (idle time) • de lengte van het gesprek • de naam van de router waarmee de interface verbonden is.

show isdn active

Toont het gebelde nummer en laat zien of de lijn actief is.

show isdn status

Goede opdracht om te gebruiken voordat u inbelt. Laat zien of de SPID’s die u gebruikt geldig zijn. Geeft ook aan of u verbinding hebt en met de switch van de provider communiceert.

show ip route

Toont alle routes die de router kent.

debug isdn q921

Wordt alleen gebruikt om informatie van laag-2 te bekijken.

debug isdn q931

Wordt alleen gebruikt om informatie van laag-3 te bekijken, inclusief opzetten en afbreken verbinding.

debug dialer

Geeft de informatie over opzetten en afbreken van de verbinding.

isdn disconnect int bri0

Wist de interface en verbreekt verbinding. De interface afsluiten levert hetzelfde resultaat.


478

10.7 Samenvatting In dit hoofdstuk zijn de volgende onderdelen behandeld: • Het verschil tussen de volgende WAN-services: X.25/LAPB, Frame Relay, ISDN /LAPD, SDLC, HDLC en PPP. • Belangrijke termen en eigenschappen van Frame Relay en X.25. • Kennen van de opdrachten om Frame Relay-LMIs, maps en subinterfaces te configureren. • Kennen van de opdrachten om Frame Relay-bewerkingen in de router te monitoren. • Opnomene van PPP-bewerkingen die een rol spelen bij het inkapselen van WANgegevens op Cisco-routers. • Uitleggen in welke situatie en voor welk gebruik ISDN-netwerken nuttig zijn. • Noemen en herkennen van ISDN-protocollen, functiegroepen, referentiepunten en kanalen. • Beschrijven van de Cisco-implementatie van ISDN-BRI.

10.8 Kernbegrippen Zorg ervoor dat u de volgende termen kent als u examen gaat doen: afbakening (demarc) Basic Rate Interface BECN (Backward-Explicit Congestion Notification) Challenge Authentication Protocol (CHAP) circuit-switchen customer premises equipment (CPE) DE (Discard Eligibility) FECN (Forward-Explicit Congestion Notification) Frame Relay HDLC hoofdkantoor (CO, central office)


479

huurlijnen ISDN LAPB Local Management Interface (LMI) lokale lus NT1 NT1 NT2 pakket-switchen (packet switching) Password Authentication Protocol (PAP) PPP R-referentiepunt S-referentiepunt TA TE1 TE2 toll-netwerk T-referentiepunt U-referentiepunt

10.9 Opdrachten in dit hoofdstuk Overzicht van alle in dit hoofdstuk behandelde opdrachten: Opdracht

Beschrijving

debug dialer

Toont de instellingen voor de procedures voor het opbouwen en verbreken van een verbinding. Toont de LMI-uitwisselingen tussen de router en de Frame Relay-switch. Toont processen op laag 2. Toont processen op laag 3.

debug frame-relay lmi debug isdn q921 debug isdn q931


480 Opdracht

Beschrijving

dialer idle-timeout number

Bepaalt wanneer een BRI-lijn de verbinding moet verbreken als er geen interessant verkeer gevonden is.

dialer list number protocol protocol permit/deny dialer load-threshold number inbound/outbound/either

Specificeert interessant verkeer voor een DDR-verbinding.

dialer map protocol address name hostname number dialer-string encapsulation frame-relay encapsulation frame-relay ietf

encapsulation hdlc encapsulation ppp frame-relay interface-dlci frame-relay lmi-type frame-relay map protocol address interface s0.16 multipoint

interface s0.16 point-topoint isdn spid1 isdn spid2

Stelt de parameters in die beschrijven wanneer de tweede BRI op een ISDNverbinding actief wordt. Word gebruikt in plaats van een dialer string om meer veiligheid op een ISDN-netwerk te bieden. Stelt het telefoonnummer vast voor een BRIinterface. Verandert de inkapseling op een seriële verbinding (encapsulation) in Frame Relay. Stelt het inkapseltype in op Internet Engineering Task Force (IETF). Verbindt Cisco-routers met routers van andere merken. Herstelt de standaardinkapseling (HDLC) op een seriële verbinding. Verandert de inkapseling op een seriële verbinding in PPP. Configureert het PVC-adres op een seriële interface of subinterface. Configureert het LMI-type op een seriële verbinding. Zorgt voor statische mapping op een Frame relay netwerk. Maakt een multipoint- subinterface op een seriële verbinding die met Frame Relaynetwerken gebruikt kan worden. Maakt een point-to-point subinterface op een seriële verbinding die met Frame Relay gebruikt kan worden. Stelt het getal in dat de eerste DS0 voor de ISDN-switch identificeert. Stelt het getal in dat de tweede DS0 voor de ISDN-switch identificeert.


481

Opdracht

Beschrijving

isdn switch-type

Stelt het ISDN-type in waarmee de router gaat communiceren. Kan ingesteld worden op interface-niveau of in algemene configuratiemodus (global configuration mode). Schakelt de dynamische IARP voor Frame Relay uit. U moet statische mappings configureren. Zorgt ervoor dat PPP CHAP-authenticatie gebruikt. Zorgt ervoor dat PPP PAP-authenticatie gebruikt. Geeft diagnostische informatie over inbelverbinding en toont: • het aantal keren dat verbinding is gelegd met de ‘dialer string’ (het te bellen telefoonnummer) • per B-kanaal de leeglooptijd (idle time) • de lengte van het gesprek • de naam van de router waarmee de interface verbonden is. Stelt het LMI-type in op een seriële interface. Toont statische en dynamische mappings van de laag Network naar PVC.

no inverse-arp

ppp authentication chap ppp authentication pap show dialer

show frame-relay lmi show frame-relay map show frame-relay pvc show ip route show isdn active show isdn status

username name password password

Toont de op een router geconfigureerde PVC’s en DLCI-waarden. Toont de IP-routetabel. Toont het gekozen nummer en laat zien of een verbinding actief is. Laat zien of de SPID’s die u gebruikt geldig zijn. Geeft ook aan of u verbinding hebt en met de switch van de provider communiceert. Definieert een gebruikersnaam en een wachtwoord voor authenticatie op een Ciscorouter.


483

10.11 Praktijkoefeningen In de volgende vier WAN-oefeningen configureert u Cisco-routers aan de hand van een situatieschets die bij elke opdracht wordt gegeven: Oefening 10.1: PPP-inkapseling en authenticatie configureren Oefening 10.2: HDLC configureren en beheren Oefening 10.3: Frame Relay en subinterfaces configureren Oefening 10.4: ISDN en BRI-interfaces configureren

Oefening 10.1: PPP-inkapseling en authenticatie configureren Standaard gebruiken Cisco-routers HDLC (High-Level Data Link Control) als pointto-point inkapselmethode op seriële verbindingen. Als u op seriële poorten een verbinding met niet-Cisco-apparatuur maakt, kunt u de PPP-inkapselmethode gebruiken om te communiceren. De situatieschets ziet u in figuur 10.8. Figuur 10.8

Uitgangssituatie PPP-oefening

E0

S0

S0

E0

1. Typ sh int s0 op routers A en B om de inkapselmethode te tonen. 2. Zorg ervoor dat elke router een hostnaam heeft: RouterA#config t RouterA(config)#hostname RouterA RouterB#config t RouterB(config)#hostname RouterB

3. Om de HDLC-inkapselmethode (standaard) op beide routers in PPP te veranderen, gebruikt u bij het configureren van de interface de opdracht encapsulation. Beide uiteinden van de verbinding moeten de zelfde inkapselmethode gebruiken. RouterA#Config t RouterA(config)#Int s0 RouterA(config)#Encap ppp


484

4. Ga naar router B en stel serial 0 in op PPP-inkapseling. RouterB#config t RouterB(config)#int s0 RouterB(config)#encap ppp

5. Verifieer de configuratie door op beide routers sh int s0 te typen. 6. Let op IPCP, IPXCP en CDPCP. Dit is de informatie die gebruikt wordt om de informatie van de laag Netwerk (de hogere laag) over ISO-HDLC naar de MAC-sublaag te sturen. 7. Definieer op elke router een gebruikersnaam en een wachtwoord. Let er op dat de gebruikersnaam de naam is van de remote router. Ook het wachtwoord moet hetzelfde zijn! RouterA#config t RouterA(config)#username RouterB password todd RouterB#config t RouterB(config)#username RouterA password todd

8. Activeer CHAP- of PAP-authenticatie op elke interface. RouterA(config)#int s0 RouterA(config-if)#ppp authentication chap RouterB(config)#int s0 RouterB(config-if)#ppp authentication chap

9. Controleer de PPP-configuratie op elke router met de volgende twee opdrachten: sh int s0 debug PPP authentication

Oefening 10.2: HDLC configureren en beheren HDLC is niet geconfigureerd, maar als u oefening 10.1 gemaakt hebt, is de PPPinkapseling op beide routers ingesteld. Daarom hebt u eerst met de PPP-oefening gemaakt. Als dat gedaan is, kunt u HDLC-inkapseling op de router gaan configureren.

De tweede praktijkopdracht gaat ook uit van de situatie die in figuur 10.8 is geschetst.

1. Stel de inkapseling in voor iedere seriële interface. Doe dit door de opdracht encapsulation hdlc te gebruiken.


485

RouterA#config t RouterA(config)#int s0 RouterA(config-if)#encapsulation hdlc RouterB#config t RouterB(config)#int s0 RouterB(config-if)#encapsulation hdlc

2. Controleer de HDLC-inkapseling op elke router met de opdracht show interface s0.

Oefening 10.3: Frame Relay en subinterfaces configureren Deze oefening gaat uit van de situatieschets in figuur 10.9. U doet ervaring op met het beschrijven en configureren van Frame Relay-configuraties. Figuur 10.9

Uitgangssituatie Frame Relay-oefening

S0 S0

S1 S0

DLCI 102

DLCI 201 E0

E0

In cursussen wordt door de auteur meestal een 2522-router als frameswitch gebruikt. Deze biedt tien seriële verbindingen. Maar misschien hebt u alleen de beschikking over een stel 2501-routers. Daarom zijn de volgende praktijkopdrachten geschreven voor een uitgangssituatie met drie 2501-routers. 1. Stel de hostnaam in; geef de opdracht frame-relay switching. Pas de inkapseling toe op elke seriële interface van de Frame Relay-switch. Router#config t Router(config)#hostname RouterB RouterB(config)#frame-relay switching RouterB(config)#int s0 RouterB(config-if)#encapsulation frame-relay RouterB(config-if)#int s1 RouterB(config-if)#encapsulation frame-relay

2. Configureer de Frame Relay-mappings op elke interface. U hebt op deze interfaces geen IP-adressen nodig, want deze switchen met Frame Relay-frames de ene interface met de andere.

486

Hoofdstuk 10 • WAN-protocollen RouterB(config-if)#int s0 RouterB(config-if)#frame-relay route 102 interface Serial1 201 RouterB(config-if)#frame intf-type dce RouterB(config-if)#clock rate 64000 [if you have this as DCE] RouterB(config-if)#int s1 RouterB(config-if)#frame-relay route 201 interface Serial0 102 RouterB(config-if)#frame intf-type dce RouterB(config-if)#clock rate 64000 [if you have this as DCE]

Het lijkt moeilijker dan het is. De opdracht route zorgt er alleen maar voor dat als u frames van PVC102 ontvangt, deze worde doorgestuurd naar int s1. Daarbij maakt u gebruik van PVC 201. De tweede mapping op serial 1 is precies het tegenovergestelde. Alle gegevensstromen die binnenkomen op int s1 worden naar serial 0 gerouteerd. Hierbij wordt PVC 102 gebruikt. 3. Configureer router A met een point-to-point-subinterface. Router#config t Router(config)#hostname RouterA RouterA(config)#int s0 RouterA(config-if)#encapsulation frame-relay RouterA(config-if)#int s0.102 point-to-point RouterA(config-if)#ip address 172.16.10.1 255.255.255.0 RouterC(config-if)#ipx network 10 RouterA(config-if)#frame-relay interface-dlci 102

4. Configureer router C met een point-to-point-subinterface. Router#config t Router(config)#hostname RouterC RouterC(config)#int s0 RouterC(config-if)#encapsulation frame-relay RouterC(config-if)#int s0.102 point-to-point RouterC(config-if)#ip address 172.16.10.2 255.255.255.0 RouterC(config-if)#ipx network 10 RouterC(config-if)#frame-relay interface-dlci 201

5. Verifieer uw configuraties met de volgende opdrachten: RouterA>sho frame ? ip show frame relay IP statistics lmi show frame relay lmi statistics map Frame-Relay map table pvc show frame relay pvc statistics route show frame relay route traffic Frame-Relay protocol statistics

6. Gebruik Ping en Telnet om de verbinding te controleren.


487

Oefening 10.4: ISDN- en BRI-interfaces configureren In deze oefening wordt de in figuur 10.10 geschetste situatie gebruikt. U leert ISDN op Cisco-routers configureren en beheren. U configureert de routers 804A en 804B zodanig dat een ISDN-kiesverbinding tussen de netwerken 172.16.30.0 en 172.16.50.0 kan worden gemaakt. Hierbij wordt netwerk 172.16.60.0 gebruikt op de ISDN BRI-interfaces. Figuur 10.10

Uitgangssituatie ISDN-oefening 172.16.60.0 bri0

bri0 ISDNswitch

E0 172.16.30.0

E0 172.16.50.0

1. Ga naar 804B en stel de hostnaam en ISDN-switchtype in. Router#Config t Router(config)#hostname 804B 804B(config)#isdn switch-type basic-ni

2. Stel de hostnaam en het switchtype bij de 804A in op interface-niveau. De stappen 1 en 2 laten zien dat u het switch-type kunt vaststellen door de algemene (global) configuratiemodus te gebruiken of door te configureren op interfaceniveau. Router#Config t Router(config)#hostname 804A 804A(config)#int bri0 804B(config-if)#isdn switch-type basic-ni

3. Stel op 804A de SPID-getallen op BRI 0 in en stel het IP-adres in op 171.16.60.1/24. Hebt u een bestaande verbinding naar een ISDN-netwerk of een ISDN-simulator, vul dan ook uw SPID-nummers in. 804a#config t 804A(config)#int bri0 804A(config-if)#isdn spid 1 0835866101 8358661 804A(config-if)#isdn spid 2 0835866301 8358663 804A(config-if)#ip address 172.16.60.1 255.255.255.0 804A(config-if)#no shut


488

4. Stel de SPID’s op de 804B in en zorg ervoor dat het IP-adres van de interface wordt ingesteld op 172.16.60.2/24. 804A#config t 804A(config)#int bri0 804A(config-if)#isdn spid 1 0835866201 8358662 804A(config-if)#isdn spid 2 0835866401 8358664 804A(config-if)#ip address 172.16.60.2 255.255.255.0 804A(config-if)#no shut

5. Definieer statische routes op de routers zodanig dat deze de remote ISDNinterface gebruiken. Dynamisch routeren veroorzaakt twee problemen: (1) de ISDN-lijn is altijd actief en (2) er kan een netwerklus ontstaan. Dit laatste kan gebeuren omdat er ‘multiple links’ (meer verbindingen) tussen dezelfde locaties zijn. Het CCNA-examen behandelt alleen distant-vector routing-protocollen (RIP en IGRP). In geval van ISDN worden statische routes aanbevolen. 804A(config)#ip route 172.16.50.0 255.255.255.0 172.16.60.2 804A(config)#ip route 172.16.60.2 255.255.255.255 bri0 804B(config)#ip route 172.16.30.0 255.255.255.0 172.16.60.1 804B(config)#ip route 172.16.60.1 255.255.255.255 bri0

6. Maak duidelijk welk verkeer interessant genoeg is om de ISDN-verbinding te activeren: al het IP-verkeer. Hieronder volgt de opdracht voor de algemene configuratiemodus: 804A(config)#dialer-list 1 protocol ip permit 804B(config)#dialer-list 1 protocol ip permit

7. Voorzie de BRI-interface van beide routers van de opdracht dialer-group 1, het getal dat overeenkomt met het kieslijstnummer. 804B(config)#config t 804B(config)#int bri0 804B(config)#dialer-group 1

8. Configureer de kiesinformatie (dialer information) op beide routers. 804A#Config t 804A(config)#Int bri0 804A(config-if)#Dialer string 8358662 804B#Config t 804B(config)#Int bri0 804B(config-if)#Dialer string 8358661

9. Geef de opdrachten dialer load-threshold en multilink. Stel het percentage voor leeglooptijd op beide 804-routers in.


489

804A#Config t 804A(config)#int bri0 804B(config-if)#Dialer load-threshold 125 either 804B(config-if)#Dialer idle-timeout 180 804B#Config t 804B(config)#int bri0 804B(config-if)#Dialer load-threshold 125 either 804B(config-if)#Dialer idle-timeout 180

10. Maak een wachtrij voor interessante pakketten. Deze pakketten hebben een parkeerplaats nodig tot het moment de ISDN-verbinding actief wordt. 804A#Config t 804A(config)#int bri0 804B(config-if)#hold-queue 75 in 804B#Config t 804B(config)#int bri0 804B(config-if)#hold-queue 75 in

11. Controleer de ISDN-verbinding. Ping Telnet Show dialer Show isdn status Sh ip route

H2 Laag-2 switchen, H6 Virtuele LANs (VLANs) H7 Een Cisco-internetwerk

Recommend Documents