Switch hantering

För att kunna hantera en switch över nätverk måste den konfigureras med en IP-adress och en nätmask samt en IP-adress för default gateway. Det påminner oss en Host IP-konfigurering med en väsentlig skillnad, att IP-adress konfigureras på ett virtuellt interface (Switch Virtual Interface, SVI).

SVI är ett koncept relaterat till VLAN. VLAN är numrerade logiska grupper till vilka kan tilldelas fysiska portar. Konfigurationer och inställningar som tillämpas på en VLAN tillämpas också på alla dess tilldelade portar. Som default är alla portar i en switch tilldelade till VLAN 1 så att den kan IP-konfigureras för fjärradministration. Det rekommenderas att ändra denna default inställning till ett annat VLAN, exempelvis 99. I exemplet nedan konfigureras om en switch så att den kan hanteras/administreras via VLAN 99 istället VLAN 1.

Bild 1: Switch administration
  • Switch>
  • Switch> enable
  • Switch# configure terminal
  • Swtich(config)# hostname S1
  • S1(config)# no ip domain-lookup
  • S1(config)# service password-encryption
  • S1(config)# enable secret enpass
  • S1(config)# vlan 99
  • S1(config-vlan)# exit
  • S1(config)# interface vlan 99
  • S1(config-if)# ip address 192.168.1.2 255.255.255.0
  • S1(config-if)# no shutdown
  • S1(config-if)# exit
  • S1(config)# interface range fa0/1 – 24,g0/1 – 2
  • S1(config-if-range)# switchport access vlan 99
  • S1(config-if-range)# exit
  • S1(config)# ip default-gateway 192.168.1.1
  • S1(config)# line console 0
  • S1(config-line)# password conpass
  • S1(config-line)# login
  • S1(config-line)# logging synchronous
  • S1(config-line)# exit
  • S1(config)# line vty 0 15
  • S1(config-line)# password vtypass
  • S1(config-line)# login
  • S1(config-line)# end
  • S1# show vlan brief

Kommunikationssätt

Kommunikationen mellan switchar kan konfigureras till duplex eller till halv-duplex. Duplex kommunikationssätt förbättrar prestandan eftersom det ökar bandbredden genom att låta anslutna switchar sända och ta emot data samtidigt. Detta är också känt som dubbelriktad kommunikation.

Till skillnad från duplex-kommunikation är halv-duplex-kommunikation enkelriktad. Sändning och mottagning av data inträffar inte samtidigt. I halv-duplex-kommunikation kan data flöda i endast en riktning åt gången, vilket ofta leder till kollisioner. Denna kommunikationssätt var vanligt i äldre hårdvara och nästan har fasats ut med duplex-kommunikationssätt i de flesta hårdvaror.

Visa nätverkskort, exempelvis Gigabit Ethernet och högre kräver att duplexanslutningar ska fungera. I duplex-läge är kollisionsdetekteringskretsen på NIC inaktiverad eftersom ramarna som skickas av de två anslutna enheterna kan inte kollidera därför att enheterna använder två separata kretsar i nätverkskabeln. Duplex kommunikationssätt ökar bandbredden till 200 %.

Så här kan kommunikationssätt konfigureras:

Bild 2: Full duplex
  • S1# configure terminal
  • S1(config)# interface FastEthernet 0/1
  • S1(config-if)# duplex full
  • S1(config-if)# speed 100
  • S1(config-if)# end

Auto-MDIX

När man kopplar samman exempelvis två switchar brukar användas korskopplade TP-kablar, men när man ansluter en switch med en router brukar användas en rakkopplade TP-kabel istället. Valet avgörs när man ansluter lika typer av maskiner och olika typer av maskiner. Lika typer av maskiner kräver korskopplade kablar. Valet kan vara problematiskt och därför utrustas dagens switchar med en automatiserade funktion (auto-MDIX) som känner igen kabeltyp som används och så att switcharna går till lämpligt kommunikationssätt. När funktionen auto-MDIX finns hos en switch behöver den konfigureras till exempel så här:

  • S1# configure terminal
  • S1(config)# interface FastEthernet 0/1
  • S1(config-if)# duplex auto
  • S1(config-if)# speed auto
  • S1(config-if)# mdix auto
  • S1(config-if)# end
  • S1# copy  running-config  startup-config

Obs! Funktionen auto-MDIX är aktiverad som standard på Catalyst 2960 och Catalyst 3560-switch, men den är inte tillgänglig på äldre Catalyst 2950 och Catalyst 3550 switcharna.

Om du vill ta fram auto-MDIX-inställningen för ett visst interface använder du kommandot S1# show controllers ethernet-controller fa 0/1 | include Auto-MDIX

Verifiering av konfigurationer

Det finns flera kommando som tar fram konfigurationer på switchar, här nedan några av de:

  • S1# show interfaces [ange interfacet exempelvis fa0/1]
  • S1# show startup-config
  • S1# show flash
  • S1# show version
  • S1# show history
  • S1# show ip vlan 1
  • S1# show mac-address-table eller show mac address-table
  • S1# show running-config

Kommandot show interfaces kan användas för att upptäcka vanliga problem med kablar. En av de viktigaste delarna som visas av kommandot show interfaces är:

  • Interfacets status:
    • Up
    • Down
  • Line Protocol status
    • Up
    • Down

Interface status refererar till fysiska skiktet och indikerar om interfacet mottar detekteringssignaler, att den fungerar fysiskt. Den andra parametern, Line Protocol status, refererar till datalänkskiktet och indikerar huruvida protokoll i det skiktet hanterar mottagna ramar.

  • När Interface och Line Protocol status är både uppe betyder att switchen fungerar normalt.
  • När Interface är uppe och Line Protocol nere betyder problem kanske fel konfiguration av adresser, fel inkapsling eller hårdvaruproblem.
  • När Interface och Line Protocol är nere kan helt enkelt betyda att ingen kabel är ansluten eller att kabeln är fel ansluten.
  • Om Interface är administrativt nere behöver man exekvera kommandot no shutdown.

När kommandot show interfaces exekveras kan till exempel ge följande utdata:

Bilden ovan visar statistik på interface 0/1: 3 input errors är summan av alla fel i mottagna paket. Detta inkluderar bland annat runts och giants, CRC, frame och collisions. Vad menas med sådana termer?

  • Runts är Ethernet ramar (frames) som är mindre än den minsta tillåtna storlek på ramar (64 byte). De betraktas vara felaktiga ramar och därför tas bort efter kontrollerna. Den vanliga orsaken till runts är fel i nätverkskort, men också kollisioner i nätverkstrafik.
  • Giants är Ethernet ramar som är större än den maximala tillåtna storleken på ramar (1500 byte).
  • CRC-fel – Indikerar oftast fel i kablarna. Vanliga orsaker är elektriska störningar, felaktiga eller skadade anslutningar eller felaktig kabeltyp. Om du ser många CRC-fel betyder att signaler strålar ut och går in i andra kablar. Du bör inspektera kabeln.
  • Output errors är summan av alla fel som hindrade dataöverföringen på interfacet som undersöks. De rapporterade outpu errors omfattar:
    • Kollisioner – Kollisioner i halv-duplex operationer är normala. Du bör dock aldrig se kollisioner på ett interface som är konfigurerat för full-duplex kommunikation. Antal kollisioner innebär antal återsändningar på grund av kollisionerna.
    • Sena kollisioner – eller late collisions är kollisioner som uppstår efter att 512 bitar av ramen har överförts. Överdriven kabellängd är den vanligaste orsaken till sena kollisioner. En annan vanlig orsak är duplex felkonfiguration.

Secure Shell – SHH

Secure Shell (SSH) är ett protokoll som tillhandahåller en säker (krypterad) hanteringsanslutning till en fjärransluten nätverksenhet. SSH ska ersätta Telnet som är ett osäker äldre protokoll. SSH ger säkerhet för fjärranslutningar genom att kryptera autentiseringsuppgifter och även data som överförs mellan de kommunicerande enheterna. SSH använder TCP port 22 och Telnet TCP port 23.

För att aktivera SSH på en Catalyst 2960 switch måste den använda en IOS version som stödjer kryptering. Ett IOS-filnamn som innehåller kombinationen “k9” stöder kryptering.

Konfigurera SSH

  1. Verifiera SSH stöd: show ip ssh
    • Om hostname har konfigurerats kan inte SSH aktiveras.
    • Om ingen utdata innebär att SSH stöds inte.
    • inte alla IOS kör SSH version 2 och då är det bra att aktivera det med kommandot: ip ssh version 2
  2. Konfigurera en IP-domän: ip domain-name
  3. Generera RSA nycklar: crypto key generate rsa 
    • För att ta bort RSA-nycklarna exekvera kommandot: crypto key zeroize rsa
  4. Konfigurera användaridentifiering. En SSH server konfigurerat på en router kan autentisera användare lokalt eller med hjälp av en autentiserings-server.
    • Kommandot username <kontonamn> secret <lösenord>
  5. Konfigurera VTY terminaler med kommandot transport input ssh
  6. Konfigurera SSH version 2 med kommandot: ip ssh version 2

Exempel

  • S1# configure terminal
  • S1(config)# ip domain-name diginto.se
  • S1(config)# crypto key generate rsa
  • Ange antal bitar: 1024
  • S1(config)# username admin secret secpass
  • S1(config)# line vty 0 15
  • S1(config-line))# transport input ssh
  • S1(config-line))# login local
  • S1(config-line))# exit
  • S1(config)#ip ssh version 2
  • S1(config)# end
  • S1# show ip ssh
  • S1# show ssh

Inaktivera oanvända portar

En enkel metod som många administratörer använder för att säkra nätverket från obehörig åtkomst är att avaktivera alla oanvända portar på en switch. Om en switch exempelvis har 24 portar och det används endast port 0/1, 0/2 och 0/3 är det bra att avaktivera de 21 oanvända portarna.

Enskild port kan avaktiveras från den globala konfigurationsläget med kommandot shutdown. Vill man istället avaktivera flera portar samtidigt kan användas kommandot interface range:

  • S1# configure terminal
  • S1(config)# interface range fa0/4 – 24
  • S1(config-if-range)# shutdown
  • S1(config)# end

Processen att aktivera och inaktivera portar kan vara tidskrävande, men det ökar säkerheten på nätverket och är väl värt ansträngningen.