Switch hantering

Administration av en switch är vad som här kallas för ”switch hantering”. En lokalt hantering innebär att ansluta en dator till konsolporten på en switch, men hantering på avstånd, det vill säga via Internet, kalls för fjärradministration.

Bild 1: Konsolport

Konsolporten och konsolkabeln har utformats olika och på bilden ovan visas två aktuella kabeltyp. Den mikro USB kontakt ansluts till switchen/router annars använder man den andra kabeltyp och då kontakten RJ-45 ansluts till switch/router konsolport.

När man vill hantera en Cisco switch/router via Internet kan användas antingen Telnet eller SSH.  Secure Shell (SSH) är ett protokoll som tillhandahåller en säker (krypterad) hanteringsanslutning till en fjärransluten nätverksenhet. Telnet är ett osäker protokoll eftersom stödjer inte kryptering. SSH använder TCP port 22 och Telnet TCP port 23.

För att kunna hantera en switch över nätverk måste den konfigureras med en IP-adress, nätmask och en IP-adress för default gateway. IP-adressen konfigureras på ett virtuellt interface (Switch Virtual Interface, SVI). SVI är ett koncept relaterat till VLAN.

Bild 2: Switch administration

SSH konfiguration

För att konfigurera SSH behövs att nätverksenheten har ett namn och ett domännamn, hostname och domain name. VTY terminaler ska konfigureras och användarkonto måste också kongifureras.

  1. Verifiera SSH stöd: show ip ssh
    • SSH kan inte aktiveras om hostname har inte konfigurerats.
    • Om ingen utdata visas, det innebär att SSH stöds inte.
    • inte alla IOS stödjer SSH och inte alla IOS kör SSH version 2 och då är det bra att aktivera det med kommandot: ip ssh version 2
  2. Konfigurera en IP-domän: ip domain-name
  3. Generera RSA nycklar: crypto key generate rsa 
    • För att ta bort RSA-nycklarna exekvera kommandot: crypto key zeroize rsa
  4. Konfigurera användaridentifiering. En SSH server konfigurerat på en router kan autentisera användare lokalt eller med hjälp av en autentiserings-server.
    • Kommandot username <kontonamn> secret <lösenord>
  5. Konfigurera VTY terminaler med kommandot transport input ssh
  6. Konfigurera SSH version 2 med kommandot: ip ssh version 2

Duplex eller halv-duplex

Kommunikationen mellan switchar kan konfigureras till duplex eller till halv-duplex. Duplex kommunikationssätt förbättrar prestandan eftersom det ökar bandbredden genom att låta anslutna switchar sända och ta emot data samtidigt. Detta är också känt som dubbelriktad kommunikation.

Till skillnad från duplex-kommunikation är halv-duplex-kommunikation enkelriktad. Sändning och mottagning av data inträffar inte samtidigt. I halv-duplex-kommunikation kan data flöda i endast en riktning åt gången, vilket ofta leder till kollisioner. Denna kommunikationssätt var vanligt i äldre hårdvara och nästan har fasats ut med duplex-kommunikationssätt i de flesta hårdvaror.

Visa nätverkskort, exempelvis Gigabit Ethernet och högre kräver att duplexanslutningar ska fungera. I duplex-läge är kollisionsdetekteringskretsen på NIC inaktiverad eftersom ramarna som skickas av de två anslutna enheterna kan inte kollidera därför att enheterna använder två separata kretsar i nätverkskabeln. Duplex kommunikationssätt ökar bandbredden till 200 %.

Bild 3: Full duplex

Auto-MDIX

När man kopplar samman exempelvis två switchar brukar användas korskopplade TP-kablar, men när man ansluter en switch med en router brukar användas en rakkopplade TP-kabel istället. Valet avgörs när man ansluter lika typer av maskiner och olika typer av maskiner. Lika typer av maskiner kräver korskopplade kablar. Valet kan vara problematiskt och därför utrustas dagens switchar med en automatiserade funktion (auto-MDIX) som känner igen kabeltyp som används.

När funktionen auto-MDIX finns hos en switch behöver den konfigureras till exempel så här:

  • S1# configure terminal
  • S1(config)# interface FastEthernet 0/1
  • S1(config-if)# duplex auto
  • S1(config-if)# speed auto
  • S1(config-if)# mdix auto
  • S1(config-if)# end
  • S1# copy  running-config  startup-config

Obs! Funktionen auto-MDIX är aktiverad som standard på Catalyst 2960 och Catalyst 3560-switch, men den är inte tillgänglig på äldre Catalyst 2950 och Catalyst 3550 switcharna.

Om du vill ta fram auto-MDIX-inställningen för ett visst interface använder du kommandot S1# show controllers ethernet-controller fa 0/1 | include Auto-MDIX

Inaktivera oanvända portar

En enkel metod som många administratörer använder för att säkra nätverket från obehörig åtkomst är att avaktivera alla oanvända portar på en switch. Om en switch exempelvis har 24 portar och det används endast port 0/1, 0/2 och 0/3 är det bra att avaktivera de 21 oanvända portarna.

Enskild port kan avaktiveras från den globala konfigurationsläget med kommandot shutdown. Vill man istället avaktivera flera portar samtidigt kan användas kommandot interface range:

  • S1# configure terminal
  • S1(config)# interface range fa0/4 – 24
  • S1(config-if-range)# shutdown
  • S1(config)# end

Processen att aktivera och inaktivera portar kan vara tidskrävande, men det ökar säkerheten på nätverket och är väl värt ansträngningen.

Verifiering av konfigurationer

Det finns flera kommando som tar fram konfigurationer på switchar, här nedan några av de:

  • S1# show interfaces [ange interfacet exempelvis fa0/1]
  • S1# show startup-config
  • S1# show flash
  • S1# show version
  • S1# show history
  • S1# show ip vlan 1
  • S1# show mac-address-table eller show mac address-table
  • S1# show running-config

Kommandot show interfaces kan användas för att upptäcka vanliga problem med kablar. En av de viktigaste delarna som visas av kommandot show interfaces är interface status och protokoll status. Interface status refererar till fysiska skiktet och indikerar om interfacet mottar detekteringssignaler, att den fungerar fysiskt. Den andra parametern, Line Protocol status, refererar till datalänkskiktet och indikerar huruvida protokoll i det skiktet hanterar mottagna ramar.

  • När Interface och Line Protocol status är både uppe betyder att switchen fungerar normalt.
  • När Interface är uppe och Line Protocol nere betyder problem kanske fel konfiguration av adresser, fel inkapsling eller hårdvaruproblem.
  • När Interface och Line Protocol är nere kan helt enkelt betyda att ingen kabel är ansluten eller att kabeln är fel ansluten.
  • Om Interface är administrativt nere behöver man exekvera kommandot no shutdown.

När kommandot show interfaces exekveras kan till exempel ge följande utdata:

Bild 4: show interfaces

Bilden ovan visar statistik på interface 0/1: 3 input errors är summan av alla fel i mottagna paket. Detta inkluderar bland annat runts och giants, CRC, frame och collisions. Vad menas med sådana termer?

  • Runts är Ethernet ramar (frames) som är mindre än den minsta tillåtna storlek på ramar (64 byte). De betraktas vara felaktiga ramar och därför tas bort efter kontrollerna. Den vanliga orsaken till runts är fel i nätverkskort, men också kollisioner i nätverkstrafik.
  • Giants är Ethernet ramar som är större än den maximala tillåtna storleken på ramar (1500 byte).
  • CRC-fel – Indikerar oftast fel i kablarna. Vanliga orsaker är elektriska störningar, felaktiga eller skadade anslutningar eller felaktig kabeltyp. Om du ser många CRC-fel betyder att signaler strålar ut och går in i andra kablar. Du bör inspektera kabeln.
  • Output errors är summan av alla fel som hindrade dataöverföringen på interfacet som undersöks. De rapporterade outpu errors omfattar:
    • Kollisioner – Kollisioner i halv-duplex operationer är normala. Du bör dock aldrig se kollisioner på ett interface som är konfigurerat för full-duplex kommunikation. Antal kollisioner innebär antal återsändningar på grund av kollisionerna.
    • Sena kollisioner – eller late collisions är kollisioner som uppstår efter att 512 bitar av ramen har överförts. Överdriven kabellängd är den vanligaste orsaken till sena kollisioner. En annan vanlig orsak är duplex felkonfiguration.