Как отключить все неиспользуемые порты на коммутаторе cisco

Обновлено: 21.11.2024

Планирование пропускной способности инфраструктуры сетевого коммутатора включает понимание того, сколько портов коммутатора потребуется для всех подключенных устройств в сети. Получение этой важной информации может быть затруднено, поскольку порт коммутатора, физически подключенный кабелем, может фактически не использоваться. И наоборот, порт, физически подключенный к кабелю, который не отображает никаких признаков активности, может не означать, что порт не используется с устройством. Подключенное устройство могло быть выключено во время проверки порта. Средство проверки истории подключений порта покажет фактическое количество используемых портов.

Как проверить историю подключений к порту

Простая команда коммутатора Cisco может помочь в процессе планирования емкости. Процесс определения активных портов коммутатора начинается с определения того, насколько давно вы хотите проверить активность порта. Обычное значение, обеспечивающее учет периодически используемых портов, составляет четыре недели. Кроме того, вы можете включить определенные порты, например те, которые отключены администратором, или те, которые в данный момент не подключены. Важно отметить, что история активности на коммутаторе напрямую зависит от того, как долго он работает, поскольку статистика счетчика активности будет сброшена при перезагрузке коммутатора.

Основной синтаксис командной строки начинается с команды «show interface» и использует регулярные выражения для поиска конкретных совпадений в выходных данных. Регулярные выражения чувствительны к регистру и должны соответствовать выходным данным команды «show interface». Общая сводка может быть получена с помощью следующей команды:

Вывод будет выглядеть следующим образом:

Vlan1 работает, линейный протокол работает
Последний ввод 00:00:00, вывод 00:00:00, выход никогда не зависает
10 отказов неизвестных протоколов
FastEthernet0 административно недоступен, линейный протокол недоступен
Последний ввод никогда, вывод никогда, вывод никогда не зависает< /em>
0 отказов неизвестного протокола
GigabitEthernet1/0/1 работает, линейный протокол работает (подключен)
Последний ввод никогда, вывод 00:00:07, вывод никогда не зависает
0 отказов неизвестного протокола
TenGigabitEthernet2/0/1 недоступен, линия протокол недоступен (нет подключения)
Последний ввод никогда, вывод никогда, вывод никогда не зависает
0 неизвестный протокол обрывается
TenGigabitEthernet2/0/2 не работает, линейный протокол не работает (нет подключения)
Последний ввод никогда, вывод никогда, вывод никогда не зависает
0 неизвестный протокол сбрасывается
Порт-канал2 активен, линейный протокол активен (подключен)
Последний ввод никогда, вывод 00:00:00, вывод никогда не зависает
0 отказов неизвестного протокола

Результаты можно уточнить, изменив термины регулярных выражений, используемые в команде, чтобы отображалась только информация, которая считается относящейся к требуемому действию по обнаружению. Например, если бы мы хотели отобразить информацию только об отключенных портах, которые не были активны в течение последних четырех недель или более, синтаксис выглядел бы примерно так:

ш междунар | i proto.*notconnect|proto.*administratively down|Последний вход.* 5w|Последний вход.*22w|8y|Последний ввод никогда, вывод никогда, вывод никогда не зависает

GigabitEthernet1/0/2 не работает, линейный протокол не работает (нет подключения)
Последний вход 26w3d, выход 26w3d, выход никогда не зависает
GigabitEthernet1/0/3 не работает, линейный протокол не работает (нет подключения)
Последний вход 22w1d, выход 22w1d, выход никогда не зависает
GigabitEthernet1/0/4 не работает, линейный протокол не работает (нет подключения)
Последний ввод никогда, вывод никогда, вывод никогда не зависает
GigabitEthernet1/0 /5 не работает, линейный протокол не работает (нет соединения)
Последний ввод никогда, вывод никогда, вывод никогда не зависает

Эта публикация содержит только общую информацию, и Sikich посредством этой публикации не предоставляет бухгалтерские, деловые, финансовые, инвестиционные, юридические, налоговые или любые другие профессиональные консультации или услуги. Эта публикация не является заменой таких профессиональных советов или услуг, и вы не должны использовать ее в качестве основы для любого решения, действия или бездействия, которые могут повлиять на вас или ваш бизнес. Прежде чем принимать какое-либо решение, предпринимать какие-либо действия или отказываться от действий, которые могут повлиять на вас или ваш бизнес, вам следует проконсультироваться с квалифицированным профессиональным консультантом. Вы признаете, что Sikich не несет ответственности за любые убытки, понесенные вами или любым лицом, которое полагается на эту публикацию.

Получите полный учебный курс CCNA netacad, который предназначен для начинающих сетевых администраторов.

Последние публикации

  • Управление каналами | WLAN, 17 октября 2021 г.
  • Обнаружение устройств с LLDP, 10 октября 2021 г.
  • Основные компоненты ACI, 19 сентября 2021 г.
  • Технологии сетевой виртуализации, 19 сентября 2021 г.
  • PacketTracer 8.0.1, 23 июля 2021 г.
  • Избыточность маршрутизатора, 20 июня 2021 г.
  • Обязанности транспортного уровня, 21 мая 2021 г.
  • Выпуски сетевой безопасности! 7 апреля 2021 г.
  • Режим пользователя [маршрутизатор Cisco], 1 апреля 2021 г.
  • Стоимость пути связующего дерева, 29 марта 2021 г.
  • Состояния порта 802.1D, 29 марта 2021 г.
  • Бесплатный курс DEVASC 200-901 3 февраля 2021 г.
  • 10 лучших OWASP, 31 января 2021 г.
  • Состояния порта STP и таймеры BPDU, 13 декабря 2020 г.
  • Алгоритм связующего дерева, 13 декабря 2020 г.
  • НОВАЯ ШАБЛОНКА CCNA 200–301 НА ИЗУЧЕНИИ 19 ноября 2020 г.
  • Преобразование адресов портов, 17 ноября 2020 г.
  • Динамический NAT, 17 ноября 2020 г.
  • Статический NAT, 17 ноября 2020 г.
  • Выбор оптики, 10 ноября 2020 г.

Последние комментарии

  • TraceyRawn в VPN с удаленным доступом
  • ccna7guru об операции OSPF на основе состояния канала
  • ccna7guru о вспомогательных материалах курса CISCO Netacad
  • Джордан на Cómo acceder al material del curso CISCO Netacad
  • Сирил Прист об операции состояния канала в OSPF

Архивы

Категории

Отключить неиспользуемые службы

показать все IP-порты

показать открытые порты хоста плоскости управления

Назначить все неиспользуемые порты коммутатора неактивной сети VLAN.

Шаг 1. Назначьте отключенные интерфейсы неактивной сети VLAN:

Шаг 2. Настройте магистральные каналы, чтобы запретить трафик из неактивной сети VLAN:

Проверить содержимое

Шаг 1. Просмотрите конфигурации коммутатора и проверьте все порты коммутатора доступа. Каждый неиспользуемый порт коммутатора доступа должен быть членом неактивной сети VLAN.

интерфейс GigabitEthernet0/0
switchport access vlan 999
выключение
!
интерфейс GigabitEthernet0/1
доступ к коммутатору vlan 999
отключение



интерфейс GigabitEthernet0/9
доступ к порту коммутатора влан 999
выключение

Шаг 2. Убедитесь, что трафик из неактивной сети VLAN не разрешен ни по каким магистральным каналам, как показано в примере ниже:

интерфейс GigabitEthernet1/1
транк коммутатора разрешен vlan 1-998,1000-4094
инкапсуляция канала коммутатора dot1q
транк режима коммутатора

Примечание. Порты коммутатора, настроенные для 802.1x, освобождаются от этого требования.

Если какие-либо порты коммутатора доступа не используются и не находятся в неактивной VLAN, это обнаружение.

Номер уязвимости

Документируемо

Версия правила

Руководство по переопределению серьезности

Шаг 1. Просмотрите конфигурации коммутатора и проверьте все порты коммутатора доступа. Каждый неиспользуемый порт коммутатора доступа должен быть членом неактивной сети VLAN.

интерфейс GigabitEthernet0/0
switchport access vlan 999
выключение
!
интерфейс GigabitEthernet0/1
доступ к коммутатору vlan 999
отключение



интерфейс GigabitEthernet0/9
доступ к порту коммутатора влан 999
выключение

Шаг 2. Убедитесь, что трафик из неактивной сети VLAN не разрешен ни по каким магистральным каналам, как показано в примере ниже:

интерфейс GigabitEthernet1/1
транк коммутатора разрешен vlan 1-998,1000-4094
инкапсуляция канала коммутатора dot1q
транк режима коммутатора

Примечание. Порты коммутатора, настроенные для 802.1x, освобождаются от этого требования.

Если какие-либо порты коммутатора доступа не используются и не находятся в неактивной сети VLAN, это является обнаружением.

Коммутаторы Meraki MS позволяют настраивать один порт на тысячи портов с помощью нашей первой в отрасли технологии виртуального стекирования. Virtual Stacking обеспечивает централизованное управление портами коммутатора. В отличие от традиционного стекирования, виртуально стекированные коммутаторы не требуют физического подключения, могут находиться в разных физических местах и ​​могут иметь разные модели коммутаторов, что упрощает крупномасштабное распределенное развертывание.

Внесение изменений в конфигурацию

На странице «Коммутаторы» > «Монитор» > «Порты коммутатора» администраторы могут присваивать имена портам, включать и выключать порты, включать связующее дерево (RSTP), определять типы портов (доступ/магистраль) и указывать виртуальные локальные сети (данные и голосовые). Рекомендуется поддерживать общее количество портов коммутатора в сети на уровне менее 8000 портов для надежной загрузки страницы порта коммутатора.

Страница Switchport может иметь проблемы с загрузкой, если сеть панели мониторинга превышает 400 коммутаторов на сеть.

Редактирование порта(ов)

Чтобы внести изменения в порт или группу портов на коммутаторе MS:

  1. Выберите порт или порты для настройки, установив соответствующие флажки.
  2. Выберите «Изменить» и внесите необходимые изменения. Все настраиваемые элементы см. в разделе "Конфигурация порта".
  3. После внесения изменений сохраните их, выбрав Обновить порты. Это мгновенно перенесет изменения на коммутаторы MS в сети.

Конфигурация порта

Следующие поля можно настроить для каждого порта коммутатора.

  • Имя: описание порта.
  • Теги: метки, которые можно использовать для идентификации этого порта или группы портов.
  • Включено: включить/отключить порт.
  • Стекирование: включите гибкое стекирование на этом порту.
  • RSTP: Протокол Rapid Spanning Tree Protocol (RSTP) и средства защиты STP можно настроить на уровне порта. Для получения дополнительной информации о настройке связующего дерева на уровне порта ознакомьтесь с нашей статьей о настройке связующего дерева на коммутаторах Meraki.
  • PoE: доступно только на коммутаторах PoE. Включить/выключить питание через Ethernet на этом порту.
  • Ссылка: выберите нужную скорость соединения.

Полудуплекс не поддерживается коммутаторами серии MS350.

  • Расписание портов: применение политики расписания портов. Узнайте, как использовать планирование портов, здесь.
  • Изоляция. Включение этой функции предотвращает взаимодействие любого изолированного порта с другими изолированными портами.
  • Доверенный: включение/отключение статуса доверенного для динамической проверки ARP.
  • UDLD: оповещение/принудительное обнаружение однонаправленного соединения на порту.
  • Тип: порты коммутатора могут быть настроены как один из двух типов:
    • Транк. Настройка магистрального порта позволит выбранному порту принимать/пропускать тегированный трафик 802.1Q. Этот тип обычно используется для подключения к другим коммутаторам или точкам доступа.
      • Native VLAN: весь нетегированный трафик будет размещаться в этой VLAN.
      • Разрешенные виртуальные локальные сети: только эти виртуальные локальные сети смогут пройти по этому каналу.
      • Политика доступа: примените к этому порту политику ограничения.
        • Открыть: все устройства смогут получить доступ к этому порту.
        • Список разрешенных MAC-адресов: только устройства с MAC-адресами, указанными в этом списке, будут иметь доступ к этому порту. Можно определить до 20 MAC-адресов.
        • Прикрепленный список разрешенных MAC-адресов. Коммутатор динамически изучает MAC-адреса устройств, подключенных к порту, и помещает адрес в белый список MAC-адресов. Администратор может определить размер этого списка. Когда этот список заполнен, всем последующим устройствам будет отказано в доступе к этому порту. Появление полученного MAC-адреса на панели инструментов может занять до 5 минут.
        • Определяемая пользователем политика доступа. Администраторы могут определить политику аутентификации через 802.1x или MAB. Подробнее о политиках доступа читайте здесь.

        Поиск портов

        Виртуальный стек позволяет администратору просматривать все порты коммутатора на одной удобной странице. Чтобы еще больше упростить управление портами коммутатора, вверху доступна динамическая панель поиска, позволяющая быстро находить порты.

        Поиск

        • Введите любое значение в поисковом омнибоксе, чтобы получить мгновенный результат поиска.
        • Используйте условные операторы для разделения нескольких поисковых запросов (И, ИЛИ)
        • Используйте подстановочный знак для поиска более общих результатов ( * )
        • Введите определенные условия поиска, чтобы найти конкретный порт:

        вернуть все порты с указанным именем коммутатора

        вернуть все порты с указанным тегом

        вернуть все порты с указанным vlan

        вернуть все порты с собственным vlan

        вернуть все порты с голосовым vlan

        вернет все порты с типом "trunk" или "access"

        вернуть все порты с типом соединения, установленным на указанную скорость/дуплекс

        Инструмент поиска также может интеллектуально комбинировать несколько поисковых запросов. См. несколько примеров ниже.

        Поиск: название: "joe's port" И переключатель: "2nd floor POE"

        Результат: возвращает все порты с именем "joe's port" на коммутаторе с именем "2nd floor POE"

        Поиск: порт:1-15 ссылка:"10 Гбит/с" переключатель:"2-й этаж IDF"

        Результат: возвращает все порты, настроенные для 10 Гбит/с, из диапазона портов 1–15 на коммутаторе с именем "IDF 2-го этажа"

        Агрегация ссылок

        Коммутаторы MS поддерживают группы Link Aggregation (LACP) до 8 портов на одном коммутаторе или физическом стеке. Link Aggregate — это комбинация портов, которые действуют как один логический канал. Это часто называют Link Bonding, Link Aggregation или EtherChannel. Агрегат ссылок будет распределять нагрузку между различными физическими каналами для повышения производительности, а также обеспечит более высокую надежность, поскольку агрегат каналов будет продолжать функционировать, пока работает хотя бы один из физических каналов.

        Чтобы настроить объединение, просто выберите порты для объединения, установив соответствующие флажки, а затем выберите параметр "Объединить" в верхней части страницы (см. видео 1 ниже).

        При этом будет создана группа портов LACP, работающая в режиме: активный.

        Примечание. Обычно рекомендуется сначала агрегировать порты, а затем физически соединять агрегированные порты. Обязательно настройте агрегат (или включите LACP) на обоих концах канала. Сначала настройте устройство нисходящей линии связи, дождитесь обновления конфигурации, прежде чем настраивать устройство агрегации (восходящей линии связи). Если процесс сначала выполняется на стороне восходящей линии связи, может произойти сбой в зависимости от используемых моделей коммутаторов. Для MS390 необходимо следовать описанному процессу, чтобы обеспечить правильную форму агрегации.

        Перед объединением убедитесь, что оба порта коммутатора имеют одинаковую конфигурацию, включая теги.

        MS390 ограничен 128 группами LACP на автономный коммутатор или стек коммутаторов (стек из 8 коммутаторов по-прежнему ограничен 128 группами LACP). Количество групп LACP на других платформах не ограничено при условии, что в коммутаторе или стеке доступно достаточно портов-участников.

        Например, чтобы создать 8 групп LACP, каждая из которых включает не более 8 портов на группу, в стеке коммутаторов должно быть не менее 64 портов.

        Примечание: (применимо ко всем не MS390) По умолчанию, перед настройкой LACP, серия MS запускает пассивный экземпляр LACP для каждого порта. Это необходимо для предотвращения образования петель, когда связанный канал подключен к коммутатору с конфигурацией по умолчанию. После настройки LACP MS запустит активный экземпляр LACP с 30-секундным интервалом обновления и всегда будет отправлять кадры LACP по настроенным каналам.

        Примечание. Дополнительную информацию об агрегации ссылок и балансировке нагрузки см. в этой статье.

        Примечание. При настройке LACP между Meraki MS и Catalyst на коммутаторе Catalyst может быть полезно отключить функцию «неверная конфигурация защиты etherchannel связующего дерева», если возникают проблемы с установкой агрегата LACP.

        Выбор агрегированных портов

        В виртуальном стеке выберите порты для объединения. После выбора портов выберите «Объединить» вверху или внизу списка портов и примите уведомление об изменении.

        Примечание. Агрегация каналов поддерживается для портов со схожими характеристиками, такими как скорость соединения и тип носителя (SFP/медь).

        Разделение объединенных портов

        Чтобы разделить агрегированный канал, просто выберите агрегированный порт и нажмите «Разделить». Это отменит изменения и разделит группу на отдельные порты.

        *Для получения более подробной информации о конфигурации и совместимости см. нашу документацию.

        Зеркалирование портов

        Возможно, потребуется настроить зеркальный порт или диапазон портов. Это часто полезно для сетевых устройств, которым требуется мониторинг сетевого трафика, таких как решение для записи VoIP или IDS (система обнаружения вторжений).

        Коммутаторы MS поддерживают зеркальные сеансы "один к одному" или "многие к одному". На наших стекируемых коммутаторах доступно зеркалирование портов между стеками. Для каждого коммутатора/стека можно настроить только один активный порт назначения.

        Чтобы включить и настроить зеркальный порт или диапазон портов, выберите «Коммутатор» > «Монитор» > «Порты коммутатора». На этой странице выберите порты, предназначенные для зеркалирования, и нажмите кнопку Зеркало:

        Далее введите порт назначения для зеркального сеанса. Если порты находятся в стеке коммутаторов, также выберите нужный коммутатор в стеке для зеркального назначения.

        После того как зеркало настроено, его можно легко определить с помощью столбца «Зеркало» на панели инструментов:

        По умолчанию количество MAC-адресов, которые коммутатор может узнать на интерфейсе, не ограничено, и разрешены все MAC-адреса. Если мы хотим, мы можем изменить это поведение с помощью port-security. Рассмотрим следующую ситуацию:


        В приведенной выше топологии кто-то подключил дешевый (неуправляемый) коммутатор, принесенный из дома, к интерфейсу FastEthernet 0/1 нашего коммутатора Cisco. Иногда людям нравится приносить лишний выключатель из дома в офис. В результате наш коммутатор Cisco узнает MAC-адреса H1 и H2 на своем интерфейсе FastEthernet 0/1.

        Конечно, мы не хотим, чтобы люди приносили свои коммутаторы и подключали их к нашей сети, поэтому мы хотим предотвратить это. Вот как мы можем это сделать:

        Используйте команду switchport port-security, чтобы включить защиту портов. Я настроил безопасность портов, поэтому разрешен только один MAC-адрес. Как только коммутатор увидит другой MAC-адрес на интерфейсе, это будет нарушением, и что-то произойдет. Я покажу вам, что происходит через некоторое время…

        Помимо установки максимального количества MAC-адресов, мы также можем использовать безопасность портов для фильтрации MAC-адресов. Вы можете использовать это, чтобы разрешить только определенные MAC-адреса.В приведенном выше примере я настроил безопасность портов, чтобы разрешить только MAC-адрес aaaa.bbbb.cccc. Это не MAC-адрес моего компьютера, поэтому он идеально подходит для демонстрации нарушения.

        Используйте команду switchport port-security mac-address, чтобы определить MAC-адрес, который вы хотите разрешить. Теперь создадим некоторый трафик, чтобы вызвать нарушение:

        Я пингую какой-то поддельный IP-адрес… нет ничего с IP-адресом 1.2.3.4; Я просто хочу генерировать немного трафика. Вот что вы увидите:

        У нас есть нарушение безопасности, и в результате порт переходит в состояние err-disable. Как вы можете видеть, сейчас он опущен. Давайте подробнее рассмотрим безопасность портов:

        Вот полезная команда для проверки конфигурации безопасности вашего порта. Используйте интерфейс show port-security, чтобы просмотреть сведения о безопасности порта для каждого интерфейса. Вы можете видеть, что режим нарушения отключен и что последнее нарушение было вызвано MAC-адресом 0090.cc0e.5023 (H1).

        Закрытие интерфейса после нарушения безопасности — это хорошая идея (с точки зрения безопасности), но проблема в том, что интерфейс останется в состоянии err-disable. Вероятно, это означает еще один звонок в службу поддержки, и вы вернете интерфейс в мир живых! Давайте активируем его снова:

        Чтобы вывести интерфейс из состояния err-disable, вам нужно ввести «shutdown», а затем «no shutdown». Недостаточно просто набрать «без выключения»!

        Было бы проще, если бы интерфейс мог восстанавливаться через определенное время. Вы можете включить это с помощью следующей команды:

        Читайте также: