Как посмотреть таблицу коммутации

1) Расположение в дереве параметров OID FDB:

Файл MIB: BRIDGE-MIB
OID: 1.3.6.1.2.1.17.4.3

2) Описание параметров:

Показать таблицу коммутации:

Показать MAC-адреса в таблице коммутации:

snmpwalk -v2c -c public 192.168.0.1 1.3.6.1.2.1.17.4.3.1.1

Показать порты, на которых изучены MAC-адреса:

snmpwalk -v2c -c public 192.168.0.1 1.3.6.1.2.1.17.4.3.1.2

Показать статус записей в таблице коммутации (статическая, динамическая запись и т.д.):

snmpwalk -v2c -c public 192.168.0.1 1.3.6.1.2.1.17.4.3.1.3

1 — other — запись, полученная не одним из перечисленных ниже способов
2 — invalid — неправильная запись, неактивная в данный момент
3 — learned — запись, изученная динамически
4 — self — MAC-адрес коммутатора
5 — mgmt — запись, созданная статически

Примечание: Все указанные выше параметры относятся к выводу FDB только в VLAN default (VID = 1). Как это сделать во всех VLAN-ах описано ниже. В серии DES-21XX считать FDB во всех VLAN-ах по SNMP невозможно.

3) Расположение в дереве параметров OID FDB во всех VLAN-ах:

Файл MIB: Q-BRIDGE-MIB
OID: 1.3.6.1.2.1.17.7.1.2.2

4) Описание параметров:

Показать таблицу коммутации:

Показать MAC-адреса в таблице коммутации:

snmpwalk -v2c -c public 192.168.0.1 1.3.6.1.2.1.17.7.1.2.2.1.1

Показать порты, на которых изучены MAC-адреса:

snmpwalk -v2c -c public 192.168.0.1 1.3.6.1.2.1.17.7.1.2.2.1.2

Пример возвращаемого значения:

SNMPv2-SMI::mib-2.17.7.1.2.2.1.2. 1 .0.15.61.132.159.255 = INTEGER: 0
SNMPv2-SMI::mib-2.17.7.1.2.2.1.2. 1 .0.192.159.134.194.92 = INTEGER: 1
SNMPv2-SMI::mib-2.17.7.1.2.2.1.2. 2 . 0.21.242.169.11.194 = INTEGER: 23

1, 2 -> Номера VLAN-ов

0, 1, 23 -> Номера портов (номер порта 0 означает, что это MAC-адрес коммутатора)

0.21.242.169.11.194 (Десятичное) -> 00-15-F2-A9-0B-C2 (Шестнадцатеричное) -> MAC-адрес

Показать статус записей в таблице коммутации (статическая, динамическая запись и т.д.):

snmpwalk -v2c -c public 192.168.0.1 1.3.6.1.2.1.17.7.1.2.2.1.3

Steinkäfer

Раньше перед тем как отправить сообщение в сеть устройство должно было убедиться что в данный момент никто не вещает. Для этого существовал протокол CSMA/CD – Carrier Sense Multiple Access with Collision Detect. Устройства работали только в half duplex, то есть в один момент времени устройство могло только передавать или только принимать данные. Все устройства работали в одном Collision Domain и если одно из устройств создавало фрейм с ошибкой, то такой фрейм принимали все устройства в Collisions Domain.
В настоящий момент Collisions Domain выродился до двух участников — порта коммутатора и устройства, сетевые устройства могут работать в режиме full duplex, а ошибки в фреймах теперь фильтруются непосредственно на ASIC, к которому подключен порт(ы) и не распространяются на всю сеть. ASIC application-specific integrated circuit, «интегральная схема специального назначения») — интегральная схема, специализированная для решения конкретной задачи. Специализированные интегральные схемы применяются в конкретном устройстве и выполняют строго ограниченные функции, характерные только для данного устройства; вследствие этого выполнение функций происходит быстрее и, в конечном счёте, дешевле. Ты хороший пакет, у тебя годный CRC? Значит мы повторим тебя на исходящем порту (store-and-forward метод – пакеты приходят на входящий порт, поступают на хранения для инспекции и только затем перенаправляются на исходящий).

Коммутация. Защита портов коммутатора

Мы уже изучили как работает коммутатор здесь, поэтому предлагаю повторить только основные моменты и переходить к практике.

Когда фрейм приходит на коммутатор, первое, что он делает — смотрит на адрес отправителя и ищет его в своей таблице коммутации, если его там нет, то добавляет MAC-адрес и порт, с которого пришел это фрейм. Таким образом, коммутатор изучает сеть.
После того, как таблица коммутации (таблица MAC адресов) заполнена, коммутатор в соответствии с ней отправляет фрейм на порт, где находится получатель.
При получении широковещательного фрейма (с MAC-адресом получателя FFFF:FFFF:FFFF), коммутатор рассылает его на все порты, кроме того, откуда он пришел. Такая же логика, если MAC-адреса получателя фрейма нет в таблице коммутации.

Защита портов (port security)

Port security — функция коммутатора, которая позволяет жестко обозначить MAC-адрес/-адреса, которым разрешено проходить через этот порт.

Виды «запоминания MAC-адресов»

Статический — жестко указывается MAC-адрес/-адреса.
Динамический — указать максимальное кол-во MAC-адресов.
Смешанный — некоторые адреса указываются жестко, а так же указывается максимальное кол-во MAC-адресов.

Виды реагирования на нарушение (violation mode)

Protect — только отбрасывает фреймы, нарушающие установленную политику (если MAC-адреса нет в списке или превышено максимальное кол-во адресов).
Restrict — отбрасывает фреймы, нарушающие установленную политику, и логгирует событие (заносит информацию в журнал).
Shutdown — при нарушении политики, переводит порт в состояние error-disabled (выключен из-за ошибки).

Наш Спонсор

block

Наш Спонсор

block

Информация

Packet Tracer version: 6.2.0

Рабочий файл: скачать

Версия файла: 1.0

Практика

Начальные данные

В данной практической работе будет использоваться схема сети, которая представлена на рисунке ниже.

Схема сети для практической работы

Разобрать строение таблицы коммутации.
Научиться выключать порты коммутатора.
Изучить как выключение порта влияет на таблицу коммутации.
Изучить функцию Port Security.

Выполнение

Ваш основной инструмент при выполнении практического задания — ПК1.

Разобрать строение таблицы коммутации.

Зайдем на коммутатор SW0. Адрес: 10.23.11.4, пароль: gurkin33.ru.

Чтобы посмотреть таблицу коммутации (таблицу MAC-адресов), надо вызвать команду sh mac address-table . Давайте вызовем ее и изучим более подробно.

Первый столбец пока нас не очень интересует, т.к. с VLAN-ами мы еще не познакомились. Второй столбец озаглавлен «Mac Address», и под ним список MAC-адресов. Третий столбец говорит о том, как был добавлен MAC-адрес — динамически или статически (если его кто-то самостоятельно добавил в таблицу). Четвертый столбец «Порты» говорит нам, с какого порта был узнан MAC-адрес.

Таблица коммутации очень полезный инструмент, с помощью нее можно определить на каком порту находится то или иное устройство (чаще всего ноутбук или компьютер). Если вы видите много MAC-адресов на одном порту, то это может означать только одно — за этим портом находится еще один коммутатор (чаще всего так, но есть исключения).

Предлагаю определить на каком порту находится наш компьютер (ПК1). Для начала надо узнать его MAC-адрес. Это можно сделать из командной строки самого компьютера, вызвав команду ipconfig /all , рисунок 3.1. Под словами «Phisical Address» подразумевается MAC-адрес. Теперь мы можем уверенно сказать, что наш компьютер подключен к порту Fa0/1.

Научиться выключать порты коммутатора.

Порты на коммутаторе выключаются с помощью команды shutdown . Давайте выключим порт Fa0/24, где предположительно находится еще один коммутатор (после того, как вы узнаете как выключать порты, самое главное по ошибке не выключить порт Fa0/1, иначе работу придется начинать заново).

В начале разберем название порта Fa0/24. Fa — FastEthernet (вы должны уже знать какая максимальная пропускная способность на этом порту, а если нет, читать тут), 0/24 — 0 говорит о том, что этот порт пренадлежит коммутатору (можно сказать и по-другому — припаян к основной плате), если это число отлично от нуля, то порт принадлежит модулю (платы-расширения, покупаются отдельно и всталяются для увеличения кол-ва портов), число 24 это порядковый номер порта. Теперь выключаем порт.

Все просто, зашли в режим настройки порта interf fastEthernet 0/24 , выключили порт shutdown . Теперь посмотрим в каком он статусе.

Мы уже знаем, что такое состояние up, теперь узнаем другие состояния. Administratively down — выключен вручную с помощью команды shutdown . Down — выключен по причине отсутствия физической среды (провод не вставлен).

Чтобы включить порт, надо в режиме настройки этого порта выполнить команду no shutdown (частрица no отменяет последующую команду, мы еще не раз ее встретим).

Изучить как выключение порта влияет на таблицу коммутации.

Посмотрим на таблицу коммутации после выключения порта.

Как мы видим, MAC-адресов стало гораздо меньше, что было предсказуемо.

Изучить функцию Port Security.

Давайте включим порт Fa0/24 и зайдем на коммутатор SW2. Адрес: 10.23.11.6, пароль: gurkin33.ru. На портах коммутатора SW2 Fa0/1 и Fa0/2 находятся ПК7 и ПК12, мы будем использовать их для наших экспериментов.

Начнем с простой настройки Port Security на порту Fa0/1. По умолчанию, если мы не задали ни одного параметра, а просто включили Port Security, то выставляются настройки: максимум адресов на порту — 1, MAC-адрес — первый попавшийся, в случае нарушения — выключить порт. Ниже представлена настройка и просмотр состояния.

(ох, как много букв, сейчас разберемся). Первое, что мы сделали, это настроили port-security командой switchport port-security (перед этим мы ввели команду switchport mode access , она обязательна, но значение ее мы узнаем в следующем разделе). Частица do позволяет в режиме конфигурации вызывать команды из privilege mode, бывает очень полезно, но не всегда удобно. Команда show port-security позволяет просмотреть краткую статистику всех интерфейсов с настроенной функцией port-security. Более подробную информацию по конкретному интерфейсу мы можем посмотреть при помощи команды show port-security interface , важные моменты в выводе этой команды прокоментированы. Так же обратите внимание, что в таблице коммутации к порту Fa0/1 прикреплен MAC-адрес.

Теперь настроим порт Fa0/2 на определенный MAC-адрес и выставим другую политику в случае нарушения, например restrict.

Мы специально настроили в port-security фиктивный MAC-адрес, что бы посмотреть как поведет себя политика. Отличие режимов Restrict от Protect, только в логирование нарушений, Protect отбрасывает фреймы и нигде это не фиксирует. Просматривая статистику, мы можем видеть, что счетчик нарушений растет, и что последний MAC-адрес, появившийся на этом порту, отличается от того, который мы указали.

Разберем последний пример с портом Fa0/24, на этот раз в случае нарушения порт выключится.

Мы настроили на порту максимум 3 адреса, если политика нарушается, порт выключается. Так как на порту Fa0/24 больше чем три адреса, порт выключился из соображений безопасности. Вывод команды sh port interf fa0/24 показывает статус порта как Secure-shutdown или «безопасно-выключен», а в самом конце мы можем видеть из-за какого MAC-адреса это произошло. Теперь разберемся как реанимировать такой порт.

Соответственно, чтобы реанимировать порт, который был выключен из соображения безопасности, надо его вручную выключить, а потом включить. В нашем случае перед тем как реанимировать, мы отключили Port-Security командой no switchport port-security , что бы после «поднятия» он снова не «упал».

Основы конфигурирования коммутаторов

Коммутаторы получают MAC-адрес источника кадра, полученного на входной интерфейс , и регистрируют его в таблице коммутации . Кадры, которые имеют MAC-адрес назначения, зарегистрированный в таблице, могут переключаться только на соответствующий интерфейс без использования широковещательной передачи на все порты. Если в течение 300 секунд с какого-либо узла нет передачи кадров, то такой узел удаляется из таблицы. Не дожидаясь истечения заданного времени, администратор может вручную произвести очистку динамически созданных адресов путем использования команды clear mac -address-table в привилегированном режиме.

Таблица коммутации ( таблица MAC-адресов ) может формироваться, изменяться и дополняться в статическом режиме администратором. При этом повышается безопасность сети. Чтобы сконфигурировать статически МАС- адрес на заданный интерфейс , применяется следующая команда :

Ниже приведен пример конфигурирования коммутатора Switch_A, на котором уже были динамически сформированы три строки таблицы с интерфейсами FA0/7, FA0/8 и FA0/9, отображаемые по команде

Затем администратором статически конфигурируется новая запись :

которая отображается в таблице коммутации (Type – STATIC):

Подобную информацию можно также увидеть по команде sh run :

Чтобы удалить созданные статически МАС-адреса, нужно использовать следующую команду:

15.3. Конфигурирование безопасности на коммутаторе

Порты коммутатора доступны через структурированную кабельную систему. Кто угодно может включиться в один из портов – потенциальный пункт входа в сеть неправомочного пользователя. При этом злоумышленник может сконфигурировать коммутатор так, чтобы он функционировал как концентратор , а это позволяет проанализировать весь трафик сети, проходящий через коммутатор . Поэтому коммутаторы должны обеспечивать безопасность портов (port security).

Статическое конфигурирование администратором МАС-адресов обеспечивает безопасность путем жесткой привязки адреса к интерфейсу, однако это достаточно сложно. Для обеспечения динамического режима безопасности используется ряд команд конфигурирования коммутатора . Например, динамический режим обеспечения безопасности на интерфейсе Fast Ethernet 0/7 конфигурируется следующей последовательностью команд:

или последовательностью, применяемой в виртуальных локальных сетях :

После ввода указанной последовательности команд таблица коммутации приобретает следующий вид:

То есть привязка адреса к интерфейсу реализуется автоматически.

С целью повышения безопасности ограничивают число МАС-адресов интерфейса коммутатора , которым разрешено присоединяться к данному интерфейсу. Например, число МАС-адресов на порт может быть ограничено до 1. В этом случае первый адрес , динамически изученный коммутатором , считается безопасным адресом:

Верификация режима port security конкретного интерфейса обеспечивается командой show port security :

Третья строка распечатки показывает режим реагирования системы на нарушения безопасности, который по умолчанию установлен в состояние «Выключение» ( Shutdown ). Нарушение безопасности происходит, когда станция, чей MAC-адрес отсутствует в таблице коммутации , пытается получить доступ к интерфейсу. При этом порт немедленно выключается и формируется сообщение о нарушении безопасности. Существуют еще два режима реагирования на нарушения безопасности: режим защиты ( Protect ) и режим ограничения ( Restrict ). В этих режимах пакеты с неизвестными исходящими МАС-адресами уничтожаются. При этом в режиме ограничения формируется уведомление, а в режиме защиты – не формируется. Установить режим «Выключение» можно по команде

Для повышения безопасности рекомендуется выключить все неиспользуемые порты коммутатора по команде shutdown . Ниже приведен пример фрагмента распечатки команды sh run, где показано, что интерфейс Fast Ethernet 0/10 выключен.

Выключение режима безопасности port security обеспечивается формой no команды, по которой режим вводился.

Как посмотреть таблицу коммутации