Справочник по настройке сетевого оборудования Cisco
Шрифт:
sw1(config)#monitor session 1 filter vlan 1-5, 10
sw1(config)#monitor session 1 destination interface f0/20
Указанные в фильтре виртуальные локальные сети не будут перехватываться.
Проверка осуществляется командой:
sw01#show monitor session 1
Удаленный анализ коммутированного порта RSPAN (Remote Switchport Analyzer)
Используется когда надо анализировать трафик на других коммутаторах, как настраивается
В начале, на все коммутаторах задается сеть перехвата:
sw1(config)#vlan 100
sw1(config-vlan)#remote-span
sw1(config)#exit
sw2(config)#vlan 100
sw2(config-vlan)#remote-span
sw2(config)#exit
sw3(config)#vlan 100
sw3(config-vlan)#remote-span
sw3(config)#exit
На первом коммутаторе перехватываем трафик на всех виртуальных локальных сетях:
sw1(config)#monitor session 1 source vlan 1 – 10
sw1(config)#monitor session 1 destination remote vlan 100
На втором только порты 1 и 2:
Sw2(config)#monitor session 1 source interface f0/1
Sw2(config)#monitor session 1 source interface f0/2
sw2(config)#monitor session 1 destination remote vlan 100
На третьем у нас установлено устройство для анализа трафика на 20 порту:
sw3(config)#monitor session 1 source remote vlan 100
sw3(config)#monitor session 1 destination interface f0/20
Проверка осуществляется командой:
sw01#show monitor session 2
Голосовая виртуальная локальная сеть (Voice VLAN)
Голосовая виртуальная локальная сеть настраивается на коммутаторе достаточно просто, настройку смотрите ниже:
sw01(config)#interface f0/1
sw01(config-if)#switchport voice vlan 30
Получается, что интерфейс доступа может поддерживать две виртуальных частных сети, одну для данных и вторую для голоса, разделение происходит на основе того, что одна сеть идет тегированной другая не тегированной.
Автоматическая настройка качество обслуживания на коммутаторах (Auto QoS)
На устройствах Cisco существует удобная функция, которая позволяет настроить качество обслуживание для сетевых телефонов Cisco. Для включения данной функции следует, на коммутаторе следует выполнить следующие команды:
sw1(config)#ip cef
sw1(config)#mls qos
sw1(config)#interface range f0/1 – 48
sw1(config-if)#auto qos voip cisco-phone
sw1(config-if)#exit
sw1(config)#interface g0/1
sw1(config-if)#auto qos voip trust
sw1(config-if)#end
sw1#wr
У нас порты с 1 по 48 являются портами доступа и к ним подключены телефоны Cisco, а Гигабитный порт 0/1 является магистральным. После выполнения данных
Список доступа виртуальной локальной сети (Vlan map)
Список доступа виртуальной локальной сети, осуществляет пакетную фильтрацию всех типов трафика внутри используемой виртуальной сети или сетей.
Данный пример показывает правилом разрешить доступ всем сетям, кроме 10.0.10.0/24
Настраиваются следующим образом:
sw1(config)#access-list 1 permit 10.0.10.0 0.0.0.255
sw1(config)#access-list 2 permit any
sw1(config)#vlan access-map aclmap 10
sw1(config-access-map)#match ip address 1
sw1(config-access-map)#action drop
sw1(config-access-map)#exit
sw1(config)#vlan access-map aclmap 20
sw1(config-access-map)#match ip address 2
sw1(config-access-map)#action forward
sw1(config-access-map)#exit
sw1(config)# vlan filter mymap vlan-list 1-10
sw1(config)#exit
sw1#wr
Проверка осуществляется командой:
sw1# show vlan access-map
Vlan access-map "aclmap" 10
Match clauses:
ip address: 1
Action:
drop
Vlan access-map "aclmap" 20
Match clauses:
ip address: 2
Action:
Forward
sw1# show vlan filter
VLAN Map mymap is filtering VLANs:
1-10
Пример фильтрации трафика, в данном случае мы запрещаем трафик IPv6 на 10 виртуальную локальную сеть:
sw1(config)#mac access-list extended IPv6
sw1(config-ext-macl)#permit any any 0x86dd 0x0000
sw1(config-ext-macl)#exit
sw1(config)#vlan access-map no_IPv6 10
sw1(config-access-map)#match mac address IPv6
sw1(config-access-map)#action drop
sw1(config-access-map)#exit
sw1(config)#vlan access-map no_IPv6 20
sw1(config-access-map)#action forward
sw1(config-access-map)#exit
sw1(config)#vlan filter no_IPv6 vlan-list 10
sw1(config)#exit
sw1#wr
Ниже приведены примеры, для фильтрации:
0x0806 0x0000 ARP
0x0800 0x0000 IPv4
0x86DD 0x0000 IPv6
0xAAAA 0x0000 CISCO proprietary (STP, PAGP, VTP, PVST+, CDP, DTP, and UDLD)
0x4242 0x0000 CST
Списки доступа второго уровня (MAC-ACL)
Данные списки доступа предназначены для фильтрации не IP трафика, он фильтрует только трафик 2 уровня на виртуальных локальных сетях и интерфейсах, и могут применяться только для входящего трафика. Ниже приведен пример блокировки всех пакетов AppleTalk Address Resolution Protocol (AARP):