网络管理员可能比其网络上的任何其他单个项目配置更多的网络设备接口。这是有道理的,因为接口是连接的主要点,可以在整个组织中发送和接收流量。

配置接口在外观上可能很容易。交换端口可能需要分配VLAN,并且通常根本不需要其他配置即可工作。路由器接口只能使用IP地址启动并运行。但是,网络管理员应更加注意界面配置。这些接口正在发生很多事情。细心的网络人员可以控制他们。在本文中,我们将介绍以太网交换机接口的配置。

谁控制了?

当您查看默认情况下保留的思科交换机端口的运行配置时,它显示为空—在其上绘制配置的空白画布。这不是’是这样。实际上,思科会隐藏大量默认命令,因此您看不到它们。该界面已配置很多,只是您没有配置。

让我们看一下在Cisco Catalyst 3560G交换机上“显示运行”与“全部显示运行”显示的示例接口配置。

SWITCH#show run interface gi0/1
Building configuration...

Current configuration : 37 通过 tes
!
interface GigabitEthernet0/1
end

SWITCH#show run all | section interface GigabitEthernet0/1
interface GigabitEthernet0/1
 switchport
 switchport access vlan 1
 switchport trunk encapsulation negotiate
 switchport private-vlan trunk encapsulation dot1q
 switchport private-vlan trunk native vlan tag
 no switchport nonegotiate
 no switchport protected
 no switchport block multicast
 no switchport block unicast
 switchport port-security maximum 1
 no switchport port-security
 switchport port-security aging time 0
 switchport port-security violation shutdown
 switchport port-security aging type absolute
 switchport port-security limit rate invalid-source-mac 10
 no switchport port-security mac-address sticky
 no switchport port-security aging static
 no ip arp inspection trust
 ip arp inspection limit rate 15 burst interval 1
 ip arp inspection limit rate 15
 load-interval 300
 snmp trap mac-notification change added
 snmp trap mac-notification change removed
 snmp trap link-status
 cdp tlv location
 cdp tlv server-location
 cdp tlv app
 spanning-tree port-priority 0
 spanning-tree cost 0
 hold-queue 75 in
 hold-queue 0 out
 ip igmp snooping tcn flood
 no bgp-policy accounting input
 no bgp-policy accounting output
 no bgp-policy accounting input source
 no bgp-policy accounting output source
 no bgp-policy source ip-prec-map
 no bgp-policy source ip-qos-map
 no bgp-policy destination ip-prec-map
 no bgp-policy destination ip-qos-map
 passive-interface GigabitEthernet0/1
SWITCH#

吓人了,不是吗?普通视图中隐藏了大量指示界面行为的默认命令。我并不是说您不必担心这些命令中的每一个,但是研究它们的全部功能是一个有趣的项目,我建议在下雨天。通常,我想提醒大家,无论您是否添加了自己的任何配置命令,界面背后都有很多事情发生。如果您保留未配置的端口,则您将不受该接口的控制。

以我的经验,希望继续控制其网络基础结构的网络管理员可以控制其网络接口。这个想法是,由于物理接口是数据到达和离开网络的方式,因此控制这些接口对维持稳定的网络拓扑有很长的路要走。稳定性是任何网络最可取的特性。

稳定的网络可以保持稳定,并通过一致的路径转发流量,并且通常不会引起太大影响。 “不起眼”’听起来不错,但最好的网络是看不见的网络,可以有效地完成工作,而又不会过分感觉到它的存在。

可能导致网络不稳定的许多坏事是由于有人将其插入交换端口接口而发生的。让我们看一下如何控制这些界面。

交换端口接口配置准则

如果您不使用界面,请将其关闭。将您的界面视为房屋的门。为了阻止入侵者进入您的房屋,请锁好门。关闭界面就像锁上门一样。

从实际意义上讲,关闭接口可能很不方便。服务器管理员希望插入数据中心的任何端口并获得链接指示灯。用户想插入任何随机插孔并点亮它。根据您的组织,您可能会发现便利比任何其他考虑因素都更为重要。很公平。但是请考虑,入侵者访问网络的最简单方法是走进大楼,进入,获取IP地址并查看其功能。安全的建筑物不太容易出现此问题,但是访客是否可以在某些区域访问以太网插孔?

还应考虑到,在数据中心中,越来越多的新主机几乎总是需要唯一的接口配置。服务器人员可能希望网络接口在插入时亮起,但是只有在他们与网络工程部门协作以首先配置交换端口后,这种情况才会发生。

SWITCH#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
SWITCH(config)#interface Gi0/1
SWITCH(config-if)#shutdown
SWITCH(config-if)#exi
SWITCH(config)#exi
SWITCH#show run interf gi0/1
Building configuration...

Current configuration : 47 通过 tes
!
interface GigabitEthernet0/1
 shutdown
end

SWITCH#

了解速度和双工。一些经验丰富的网络管理员还记得快速以太网自动协商长期失败的那一天,它导致链路两侧的双工不匹配,从而对性能产生负面影响。

在千兆以太网时代,最佳实践是将速度和双工设置保留为自动。在千兆以太网世界中,如果不理会该接口,几乎总会获得最佳设置。我建议仅针对观察到双工不匹配的链路手动设置速度和双工。这在现代网络中很少见,但仍会偶尔出现。自动协商是Cisco交换机的默认接口设置。如有必要,可以在接口模式下使用“ speed”和“ duplex”命令手动设置速度和双工。

添加描述。我无法告诉您我遇到了多少个没有说明的界面,这真是太遗憾了。通过网络供应商,可以很容易地为接口分配纯英语的描述。这有助于进行故障排除,有助于自我记录,并由网络管理系统在报告和图形中利用。

始终填写端口说明。标准端口描述(每个接口的格式都相同)非常出色,但是任何描述总比没有描述要好。在Cisco设备上,您可以根据需要使用“ description”命令标记接口。

SWITCH#show run interf gi0/1
Building configuration...

Current configuration : 169 通过 tes
!
interface GigabitEthernet0/1
 description UPLINK TO MAIL SERVER 1
end

SWITCH#

设置中继和VLAN特性。默认情况下,思科交换端口将尝试作为允许所有VLAN的802.1q中继(即为VLAN标记)来建立连接,而无法转发到VLAN1中未标记的流量。具有网络访问权限的入侵者可以通过建立中继并查看可用的VLAN来利用此默认行为。这是由于思科的行为’■动态中继协议(DTP),该接口将帧从接口发送到链路另一端的任何人,以期建立中继。尽管这对于在交换机之间自动建立802.1q中继接口很方便,但我的首选是手动配置端口是否为802.1q中继,如果接口为中继将允许哪些VLAN,以及哪个特定VLAN。如果不是,则接口将成为其成员。

让我们看几个例子。第一个显示配置为中继的接口,允许使用标记为VLAN 10、20和30的流量。第二个显示配置在VLAN 10中的访问端口。

示例1:802.1q端口

SWITCH#show run interf gi0/1
Building configuration...

Current configuration : 165 通过 tes
!
interface GigabitEthernet0/1
 switchport trunk encapsulation dot1q   ! Set the encapsulation type to standard "dot1q"
                                        ! instead of older Cisco "ISL", required on some
                                        ! switches before you can configure the
                                        ! interface to be a trunk.

 switchport trunk allowed vlan 10,20,30 ! Only allow frames tagged with VLANs 10, 20, or
                                        ! 30. Frames tagged with other VLAN numbers will
                                        ! be discarded.

 switchport mode trunk                  ! Manually set the interface to be a trunk.
                                        ! In Cisco-speak, trunk interfaces carry traffic
                                        ! from many different VLANs, identified with a
                                        ! unique number. By setting the mode to "trunk"
                                        ! manually, the interface is prevented from
                                        ! being anything else.
                                         
 switchport nonegotiate                 ! Turn off Cisco DTP. You can't do this until
                                        ! the switchport mode is set first.
end

SWITCH#

示例2:访问端口

SWITCH#show run interf gi0/1
Building configuration...

Current configuration : 113 通过 tes
!
interface GigabitEthernet0/1
 switchport access vlan 10              ! Assign all traffic arriving on the port to
                                        ! VLAN 10.

 switchport mode access                 ! Manually set the interface to be an access
                                        ! port, which in Cisco-speak implies that the
                                        ! port is untagged.

 switchport nonegotiate                 ! Turn off Cisco DTP. You can't do this until
                                        ! the switchport mode is set first.
end

SWITCH#

考虑生成树. 防循环工具生成树 IT团队有时应该忽略它,而应该仔细管理和保护它。精心管理的生成树配置将极大地提高网络稳定性,而不稳定的原因可能是生成树本身可以配置。在这里,我们不会深入研究生成树,但是在接口配置方面,有两点值得一提。

首先,您可以通过将端口放入生成树中来减少交换端口开始转发流量所需的时间 Portfast 模式。 Portfast仅应在面向主机的端口(即连接工作站或服务器的接口)上使用。 Portfast不应在连接到其他交换机的接口上使用。

生成树portfast的要点是告诉交换机:“嘿,此端口仅用于与主机通信,而不能用于与其他交换机通信。因此,您不必担心监听生成树信息并检测该端口上的环路。可以继续并立即转发流量。”这样可以将主机连接到网络的速度加快几秒钟,这听起来并不多,但对于许多应用程序而言可能至关重要。

其次,您可以通过放置防护措施来帮助实施生成树拓扑。在某些接口上有几种可用于多种目的的防护措施。要关注关于生成树portfast的讨论,让我们回顾一下网桥端口数据单元(BPDU)保护。

请记住,portfast允许接口快速过渡到转发,这对于服务器和工作站很有用。要注意的是:如果有人插入开关怎么办— something that’s not a host —到portfast接口? BPDU警卫说:“哦。这是一个portfast端口,但是我看到一个BPDU进来。BPDU仅来自交换机,因此,我最好关闭此端口,以确保意外交换机不会在网络上造成环路。”

其他防护措施包括Root Guard和Loop Guard,我们没有’没有时间在这里报道。在以后的帖子中寻找他们。现在,如何在接口上配置生成树portfast和BPDU保护?两者都可以全局配置(影响所有端口),也可以分别配置(一次仅影响一个接口)。

示例1:全局配置portfast和BPDU保护

SWITCH#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
SWITCH(config)#spanning-tree Portfast default
SWITCH(config)#spanning-tree Portfast bpduguard default
SWITCH(config)#^Z
SWITCH#

我几乎从来没有全局配置这些功能。尽管portfast仅在访问端口而不是中继端口上起作用,但是在查看接口配置时,仅由于设置了全局配置,portfast状态不会显示。我喜欢在接口配置下看到该命令以及BPDU保护。在排除故障或验证配置时,该信息很有用。也就是说,可以合理地说,全球“ bpduguard”命令可以作为安全网。在这一点上,我不会与您奋斗。

示例2:在单个接口上配置portfast和BPDU保护

SWITCH#show run interf gi0/1
Building configuration...

Current configuration : 169 通过 tes
!
interface GigabitEthernet0/1
 spanning-tree Portfast
 spanning-tree bpduguard enable
end

SWITCH#

全部放在一起

我希望很明显,交换端口接口配置值得更多关注,而不仅仅是分配VLAN。接口配置是抵御黑客,连接到网络的恶意设备和诚实错误的第一道防线。

在本文中,我介绍了基本的switchport接口配置选项。更高级的接口配置选项包括端口安全性,IP源防护,动态主机配置协议(DHCP)监听,服务质量策略, 访问列表, 和更多。实际上,一些大型网络书籍的整个章节都专门针对这些主题。因此,深入并阅读更多内容!并有意建立您的界面。成为掌控者。