[PPT자료] Catalyst Switch 와 VLAN
Download
Report
Transcript [PPT자료] Catalyst Switch 와 VLAN
Chapter 5
Configuring Catalyst Switch
Operations
Basic Layer 2 Switching and Bridging Functions
Redundant Topology Overview
Spanning-Tree Protocol Overview
Configuring a Catalyst Switch
Basic Layer 2 Switching and Bridging Functions
Layer 2 switching 과 bridging 작용 과 모드를 이해한다.
LAN switch 와 MAC address table을 어떻게 사용하는지를 안다.
5_2
* Functions of Ethernet Switches and Bridges
Ethernet Switches and Bridges
2계층 스위치들의 세가지 주요 기능
주소학습 : 각 포트에 부착된 장비의 MAC 주소를 배우고 MAC 데이터베이스에 저장한다.
패킷 포워딩/필터링 : 스위치가 프레임을 수신하면 MAC 테이블을 참조하여 어떤 포트로
프레임을 보낼 것인지 결정한다. 결정된 포트로만 프레임을 전송한다.
루프방지 : 스위치 네트워크의 이중화로 인해 발생되는 루프를 방지하는 기능을
5_3
가지고 있다.
* Frame Transmission Modes
Transmitting Frames
Fragment-Free
Frame
CUT-Through
Frame
Store and Forward
Frame
Frame
Store and Forward : 프레임이 포워딩 하기 전에 완전한 프레임을 수신해야 한다.
목적지 주소와 출발지 주소를 읽고 CRC를 수행한후 프레임을 포워딩한다.
손상된 프레임은 버려진다. 지연시간을 프레임 길이에 따라 다르다.
CUT through : 프레임 헤더가 도착하자마자 목적지 주소를 검사하고 바로 프레임을
포워딩한다. 패킷의 지연시간은 엄청 줄어든다.
단점은 CRC 값에 오류가 있는 프레임이나 충돌된 프레임을 여전히 포워딩한다.
Fragment-free : 스위치가 프레임을 포워딩하기 전에 첫 번째 64bytes를 읽어 들여서
CRC 검사를 한 다음 이상이 없으면 포워딩한다.
5_4
대개 프레임의 손상이나 충돌은 프레임의 첫 번째 64bytes에서 발생된다.
* How Switches and Bridges Learn Source MAC Addresses
MAC Address Table
MAC address table
A
0260.8c01.1111
C
0260.8c01.2222
B
E0
E1
E2
E3
0260.8c01.3333
D
0260.8c01.4444
스위치가 처음에 초기화될 때에는 MAC 주소 테이블이 비어있다.
빈 MAC 주소 테이블을 이용해서는 패킷의 필터링 또는 포워딩을 결정할 수 없다.
프레임의 모든 연결된 포트로 포워딩하는 것을 “프레임을 플러딩 한다.”라고 부른다.
패킷 플러딩은 데이터 전송 방법 중에서 가장 비 효율적인 것이다. – 대역폭 낭비
스위치는 각 포트 또는 세그먼트에 대한 독립적인 프레임 송수신이 가능한 버퍼링
메모리를 구현하고 있다.
- Catalyst 1900 : MAC Table 1024 entries
- Catalyst 2950 : MAC Table 8192 entries
5_5
Learning Addresses
MAC address table
E0: 0260.8c01.1111
A
0260.8c01.1111
C
0260.8c01.2222
B
E0
E1
E2
E3
0260.8c01.3333
D
0260.8c01.4444
MAC 주소 0260.8c01.1111의 스테이션 A는 MAC 주소 0260.8c01.2222 스테이션 C로
트래픽을 보내려고 한다.
1단계 : 프레임을 초기에 물리적 이더넷에서 수신되고 임시 버퍼공간에 저장된다.
2단계 : 스위치에 MAC 테이블이 없기 때문에 모든 포트로 프레임을 플러드 한다.
3단계 : 스위치 A에서 프레임을 플러딩하는 동안 스위치는 송신지 주소를 알게 되고
이를 E0과 연결하여 새로운 MAC 주소 테이블 항목으로 등록하게 된다.
4단계 : MAC 주소 항목은 캐시 메모리에 저장되고, 일정 시간이 내에서 스위치를
통과하는 새로운 프레임에 의해서 재생되지 않으면 이 항목은 버려진다.
5_6
Learning Addresses (cont.)
MAC address table
E0: 0260.8c01.1111
E3: 0260.8c01.4444
A
0260.8c01.1111
C
0260.8c01.2222
B
E0
E2
E1
E3
0260.8c01.3333
D
0260.8c01.4444
MAC 주소 0260.8c01.4444의 스테이션 D는 MAC 주소 0260.8c01.2222의 스테이션
C로 트래픽을 보내려 한다.
1단계 : 송신지 MAC 주소 0260.8c01.4444가 MAC 주소 테이블에 첨가된다.
2단계 : 전송된 프레임의 목적지 주소, 즉 스테이션 C가 MAC 주소 테이블에 있는
항목들과 비교된다.
3단계 : 소프트웨어가 이 목적지 주소에 대한 포트 MAC 주소 맵핑을 발견하지 못한다면
프레임은 수신된 포트를 제외한 나머지 모든 포트들로 플러딩한다.
4단계 : 스테이션 C가 프레임을 스테이션 A로 다시 보내려고 할 때 스위치는 포트 E2에
있는 스테이션 C의 MAC 주소를 알 수 있게 된다.
5_7
5단계 : 모든 스테이션이 데이터 프레임을 전송한다면 완전한 MAC 테이블이 만들어진다.
* How Switches and Bridges Forward and Filter Frames
Filtering Frames
MAC address table
A
0260.8c01.1111
C
0260.8c01.2222
E0:
E2:
E1:
E3:
E0
E2
0260.8c01.1111
0260.8c01.2222
0260.8c01.3333
0260.8c01.4444
B
E1
X
X
0260.8c01.3333
D
E3
0260.8c01.4444
MAC 테이블이 존재할 때 스테이션 A가 스테이션 C로 프레임을 보내는 순서
1단계 : 전송된 프레임에서 목적지 MAC 주소, 즉 0260.8c01.2222 를 MAC 주소
테이블에 있는 항목과 비교한다.
2단계 : 스위치가 목적지 MAC 주소 포트 E2를 통해 도착했다고 판단되면 스위치는
이 포트로만 프레임을 재전송한다.
3단계 : 스위치는 포트 E1 또는 포트 E3로 프레임을 재 전송하지 않는데, 이는
이러한 링크들의 대역폭을 절약시킬 수 있게 한다. 이러한 것이
프레임 필터링 이라고 부른다.
4단계 : MAC 테이블에서 스테이션 A의 MAC 주소 0260.8c01.1111를 갱신한다.
5_8
Filtering Frames (cont.)
MAC address table
E0: 0260.8c01.1111
E0: 0260.8c01.4444
.
.
AA
0260.8c01.1111
E0
C
B
HUB
E1
Switch
0260.8c01.4444
스테이션 A, B가 허브를 통해 스위치에 E0에 같이 연결되어 있다
- 스테이션 A에서 스테이션 B로 프레임을 전송한다.
- 스위치 E0 포트는 스테이션 A, B의 MAC 주소를 모두 가지고 있다.
- 스위치는 스테이션 A의 프레임을 다른 포트로 포워딩 하지 않는다.
5_9
Broadcast and Multicast Frames (Flooding)
MAC address table
A
0260.8c01.1111
C
0260.8c01.2222
E0:
E2:
E1:
E3:
0260.8c01.1111
0260.8c01.2222
0260.8c01.3333
0260.8c01.4444
E0
E1
E2
E3
B
0260.8c01.3333
D
0260.8c01.4444
Station D가 broadcast 또는 multicast frame을 보낸다.
Broadcast 또는 multicast frame은 originating port를 제외한 모든 포트로
Flooding된다.
스위치는 Default로 Broadcast, Multicast, Unknown Address Frame을
Flooding한다.
5_10
Redundant Topology Overview
Redundant Switch와 bridge topologies를 이해한다.
L2 Switch의 여러 문제점들을 이해한다.
L2 Switch의 루프 방지에 대해 이해한다.
5_11
* Redundant Switched and Bridged Topologies
Redundant Topology
Server/host X
Router Y
Segment 1
Segment 2
Redundant topology는 SPOF(single points of failure)를 방지한다.
Redundant topology 는 broadcast storms, multiple frame copies, and
MAC address table instability 문제를 야기시킨다.
5_12
* Broadcast Storms
Broadcast Storms
Server/host X
Router Y
Segment 1
Switch A
Broadcast
Switch B
Segment 2
스위치들은 프레임을 수신한 포트를 제외한 나머지 모든 포트로 브로드캐스트 메시지를
플러드 한다.
1단계 : 호스트 X가 브로드캐스트 프레임을 전송하고 스위치 A에 이 프레임이 수신된다.
2단계 : 스위치 A는 프레임에 있는 목적지 주소를 검사하고 이 프레임을 아래쪽 이더넷
링크인 세그먼트 2로 플러드 한다.
3단계 : 이 프레임이 스위치 B에 도달하면, 이 과정이 반복되어 세그먼트 1로 플러드 된다.
4단계 : 이러한 프레임들은 목적지 스테이션에 프레임의 복사본이
5_13
도착한 후에도 계속적으로 떠돌게 된다.
* Multiple Frame Transmissions
Multiple Frame Copies
Server/host X
Unicast
Router Y
Segment 1
Unicast
Switch A
Unicast
Switch B
Segment 2
1단계 : 호스트 X가 라우터 Y로 유니케스트 프레임을 전송하면 하나의 복사본은
직접 연결된 이더넷 세그먼트 1에서 수신된다. 거의 비슷한 시간에 스위치
A는 복사본을 수신하게 된다.
2단계 : 스위치 A가 프레임에 있는 목적지 주소 필드를 검사하고 라우터 Y에 대한
MAC 주소테이블 엔트리를 발견하지 못한다면, 플러딩 하게 된다.
3단계 : 스위치 B도 MAC 주소 테이블 엔트리에 없다면 이 프레임을 플러딩 한다.
4단계 : 라우터 Y는 같은 프레임의 복사본을 같은 시간대에 수신하게 된다.
5_14
* MAC Database Instability
MAC Database Instability
Router Y
Server/host X
Segment 1
Unicast
Unicast
Port 0
Port 0
Switch B
Port 1
Port 1
Switch A
Segment 2
데이터베이스 불안정성은 스위치의 다른 포트들로 부터 프레임의 복사본들이 도착
할 때 발생하게 된다.
- 1단계 : 호스트 X가 라우터 Y로 유니캐스트 프레임을 전송한다.
- 2단계 : 라우터 Y MAC 주소는 어떤 스위치에 의해 학습되지 않는다.
- 3단계 : 스위치 A와 B는 Host X의 MAC 주소 포트 0에 있다고 학습한다.
- 4단계 : 라우터 Y로 향하는 프레임이 플러드된다.
- 5단계 : 스위치 A와 B는 호스트 X의 MAC 주소가 포트 1에 있다고 잘못 배우게 된다.
5_15
Spanning-tree Protocol
STP의 기능과 목적을 이해한다.
스위치나 브릿지에서 루프를 어떻게 방지하는지 이해한다.
5_16
* Spanning-Tree Protocol
Spanning-Tree Protocol
Segment A
Reference Point
Segment B
X
Cisco Switch는 IEEE 802.1d Spanning tree 프로토콜을 사용한다.
Spanning tree 프로토콜의 목적은 루프가 없는 네트워크를 유지하는 것이다.
Spanning tree 프로토콜은 네트워크를 계속 검사하면서 링크, 스위치, 브릿지
의 고장 또는 추가를 빨리 발견하도록 한다.
네트워크 토폴로지가 바뀌었을 때, Spanning tree 프로토콜은 스위치 또는
브릿지 포트들을 재설정하여 전체 연결의 손실 또는 새로운 루프의 생성 등을
막아준다.
Spanning tree 프로토콜은 Catalyst 스위치에서는 기본적으로 enable 된다.
5_17
* Spanning-Tree Operation
Spanning-Tree Operation
Network(Subnet)당 하나의 Root Bridge
Non-Root Bridge마다 하나의 Root Port
Segment별로 하나의 Designated Port
100baseT
Designated port (F) Root port (F)
Root bridge
Nonroot bridge
SW X
SW Y
Designated port (F)
Nondesignated port (B)
X
10baseT
Elects one root bridge : 주어진 하나의 브로드캐스트 도메인에서 하나의 루트 브릿지를
선택한다. 루트 브리지에 있는 모든 포트들은 포워딩 상태가 되고 designated
port 라고 부른다.
Selects the root port on the nonroot bridges : 루트 포트는 루트가 아닌 브리지에서
루트 브리지로 가는 최소 비용 경로이다. 루트 포트는 포워딩 상태이고 루트
브리지로 연결을 제공한다. 경로 비용은 대역폭을 기본으로 누적된 값이다.
5_18
Selects the designated port on each segment : designated port는 루트 브리지로
가는 최소 비용 경로를 가지는 브리지에서 선택된다.
* Selecting the Root Bridge
Spanning-Tree Protocol Root Bridge Selection
Switch X
Default Priority 32768
(0x8000)
MAC 0c0011111111
SW X
BPDU
SW Y
Switch Y
Default Priority 32768
(0x8000)
MAC 0c0022222222
BPDU : Bridge Protocol Data Unit – 멀티캐스트 프레임을 이용하여 매 2초에
한 번씩 전송된다.
Root bridge : 가장 낮은 bridge ID를 선택한다.
Bridge ID는 우선순위와 브리지 MAC 주소로 구성되어 있다.
디폴트 우선순위(IEEE 802.1d)는 32768이다.
디폴트 우선순위 값이 같으면 낮은 MAC 주소를 가진 것이 루트 브리지가 된다.
5_19
* Stages of Spanning-Tree Port States
Spanning-Tree Port states
Blocking
Loss of BPDU detected
(max age = 20 sec)
Listening
(forward delay = 15 sec)
Learning
(forward delay = 15 sec)
Blocking
(move to listening
After it decides
It is a root
Port or a
designated port)
Link comes up
Forwarding
정상적인 작동 중에는 포트가 포워딩 또는 차단 상태에 있게 된다.
토폴로지의 변화가 있을 때 또는 새로운 스위치가 추가 되었을 때 포트는 임시로
Listening, Learning 상태에 있게 된다.
포트들은 차단 상태에서 시작하여 브리지 루프를 방지한다.
Listening 상태에서 BPDU 메시지를 검사한다.
Learning 상태에서 포트의 MAC 주소를 수신하여 MAC 테이블을 만든다.
Forwarding 상태에서 프레임을 송수신 한다.
5_20
Spanning-Tree Port states (cont.)
100BaseT
Root bridge
Root port (F)
Nonroot bridge
Designated port (F)
Switch X
Port 0
Default Priority 32768
(0x8000)
SW X
MAC 0c0011111111 Port 1
Port 0
SW Y
Port 1
Designated port (F)
Switch Y
Default Priority 32768
(0x8000)
MAC 0c0022222222
X Nondesignated port (B)
10BaseT
루트 브리지인 스위치X에서의 포트들은 designated ports 들이다. (forwarding)
스위치 Y에 있는 패스트 이더넷 포트는 루트 포트 이다. (forwarding) 이더넷 포트보다
루트 브리지로 가는 경로의 비용이 더 적다.
스위치 Y에 있는 이더넷 포트는 nondesignated port 이다. (blocking)
세그먼트 당 하나의 지명된 포트만이 존재한다.
5_21
Spanning-Tree Path Cost
Link Speed
Cost(Current IEEE Spec)
Cost(Previous IEEE Spec)
---------------------------------------------------------10Gbps
2
1
1Gbps
4
1
100Mbps
19
10
10Mbps
100
100
IEEE 802.1d 사양에서 명시된 경로 비용을 보여주고 있다.
Spanning tree 경로 비용은 경로상의 모든 링크의 대역폭을 기초로 한 값들을 모두
누적시킨 것이다.
5_22
Spanning-Tree Example
Switch Z
Mac 0c0011110000
Default priority 32768
Port 0
Designated port (F)
100BaseT
Port 0
Switch X
MAC 0c0011111111
Default priority 32768
Port 1
Root port (F)
Designated
port (F)
Port 0
Port 1
Root port (F)
Switch Y
MAC 0c0022222222
Default priority 32768
Nondesignated
port (BLK)
100BaseT
상대 스위치로부터 낮은 BPDU의 Bridge ID(Bridge Priority+MAC Address)
를 받은 스위치의 Port가 Designated Port가 된다.
5_23
* Spanning-Tree Recalculation
Spanning-Tree Recalculation
Switch Z
Port 0
Designated port (F)
100BaseT
Port 0
Port 0
Root port(F)
Switch Y
Switch X
Port 1
Port 1
Designated port(F)
100BaseT
스위치 장비 손실 또는 링크 장애로 인해 토폴리지에 변화가 있을 때에는 네트워크
토폴리지를 재조정해서 차단 포트와 포워딩 포트를 재계산 한다.
예를 들어 스위치 X가 손상된다면, 스위치 Y는 루트 브리지로 부터의 BPDU를 탐지
MAX Age 타이머가 종료되고 새로운 BPDU의 도착이 없으면 STP는 재계산에 들어간다.
포트는 수신상태로 옮겨졌다가 학습 및 최종적으로 포워딩 상태로 바뀌게 된다.
5_24
네트워크가 수렴한(converge)다음에 스위치 Y의 port 1은 designated port가 된다.
Spanning-Tree Recalculation (cont.)
•Blocking : Frame을 Forwarding하지 않는다. 스위치가 켜질 때의 Default Mode이다.
Blocking State에서도 BPDU는 수신된다(Blocking Port에서 BPDU를 송신하지는 않는다.)
•Max Age : Bridge Failure, Link Failure 등 Topology에 변화가 생겨 스위치가
루트브리지로부터 BPDU(Default 2초= Hello Time)를 수신하지 못하면 Max Age
Timer(Default 20초) 동안 BPDU를 기다리는 시간을 갖는다. 이 기간 동안에도 BPDU를
수신하지 못하면 Listening Mode로 이행한다.
•Listening : 모든 수신되는 BPDU를 체크하여 Spanning Tree Recalculation을 하여
스위치의 Blocking Port가 Forwarding State가 되는 경우 Loop이 발생하지 않는지를
확인한다. Default로 15초의 시간이 할당된다.(Forward Delay)
•Learning : 향후의 Forwarding을 위해 Mac Address를 Learning하여 Filter Table을 구성한다.
Default로 15초의 시간이 소요된다. (Forward Delay)
•Forwarding : Frame을 Forwarding한다.
Topology의 변화로 인하여 Blocking Mode에서 Forwarding State로 이행 하는 데는 Default로
50초의 시간이 필요하며 이 기간 동안에는 프레임이 Forwarding 되지 못한다.
Blocking
Listening
Max Age
(20초)
Learning
Forward Delay
(15초)
Forwarding
Forward Delay
(15초)
5_25
* Rapid Spanning-Tree Protocol
Rapid Spanning-Tree Protocol
Port 0
Switch Z
Root Bridge
Designated port (F)
100BaseT
Port 0
Root port (F)
Port 0
Switch X
Designated Bridge
Root port (F)
Switch Y
Port 1
Designated
port (F)
Port 1
Alternate Port(DIS)
100BaseT
Rapid Spanning-Tree Protocol (RSTP)는 네트워크 토폴로지에 변화가 있을 때
Spanning-Tree의 재계산을 빠르게 하도록 한다.
RSTP는 Alternate 에 추가된 포트의 역할과 backup 그리고 discarding, learning,
forwarding 상태를 정의한다.
5_26
Rapid Spanning-Tree Protocol (cont.)
RSTP는 IEEE 802.1w의 규정이다.
RSTP는 physical topology 나 configuration parameter가 변했을 때 네트워크의
active topology의 reconvergence 시간을 단축시킨다.
RSTP는 스위치가 재 시작할 때 연결된 포워딩 포트로 스위치 포트 설정을 허용한다.
IEEE 802.1w에 명시된 RSTP는 STP로 호환성이 있는 채로 남아있는 동안 802.1d에
명시된 STP를 필요 없게 될 것이다.
RSTP 에서 허용되는 포트들의 역할
- Root : spanning-tree topology 의 하나의 포워딩 포트를 선택한다.
- Designated : switched LAN segment 마다 하나의 포워딩 포트를 선택한다.
- Alternate : 루트 브리지의 alternate path는 현재 루트 포트에 의해 제공된다.
- Backup : path를 위한 backup은 spanning tree의 designated 포트 쪽으로 전송한다.
- Disabled : 아무런 역할도 하지 않는다.
Operational Status
STP Port State
Port Included in
Active Topology
RSTP Port State
Enabled
Blocking
Discarding
No
Enabled
Listening
Discarding
No
Enabled
Learning
Learning
Yes
Enabled
Forwarding
Forwarding
Yes
Disabled
Disabled
Discarding
No
5_27
Rapid Transition to Forwarding
Root
Link-type
(shared)
edge-type
(pt-pt)
Link-type
(pt-pt)
Switch
edge-type
(shared)
HUB
빠른 convergence를 수행하기 위해서는 edge port 와 link-type 의 영역이 있어야 한다.
edge port는 네트워크에 루프를 형성하지 않고 listening과 learning 과정없이 바로
Forwarding 을 수행할 수 있다.
edge port 는 link 변화시에도 topology의 변화는 없다.
RSTP는 edge port와 point-to-point (pt-pt) links 를 통해 구현이 가능하다.
link-type은 port의 duplex 모드로 부터 자동으로 설정된다.
5_28
: full-duplex는 point-to-point , half-duplex는 shared
Configuring a Catalyst Switch
스위치의 기본 설정을 확인한다.
스위치의 기본 설정을 직접 적용할 수 있다.
스위치의 나머지 필요한 설정들을 직접 할 수 있다.
5_29
* Verifying the Catalyst Switch Default Configuration
2950 Default Configuration
IP address: 0.0.0.0
CDP: Enabled
Switching mode: fragment free
10/100 baseT port: Auto-negotiate duplex mode
Spanning Tree: Enabled
Console password: none
스위치의 공장 출하시 기본 세팅 값을 보여준다.
네트워크 토폴로지에 맞게 기본값들은 변경이 가능하다.
5_30
2950 Password 설정
Switch_2950(config)# line vty 0 15
Switch_2950(config-line)#login
Switch_2950(config-if)#password cisco
Switch_2950(config)# line con 0
Switch_2950(config-line)#login
Switch_2950(config-if)#password cisco
Switch_2950(config)#enable password cisco
Switch_2950(config)#enable secret router
Catalyst 2950 에서는 AUX 포트가 없기 때문에 4가지의 패스워드를 설정할
수 있는 것이다.
5_31
* Configuring the Catalyst Switch IP Address and Default Gateway
Configuring the Switch IP Address
Switch hostname 변경
Switch(config)#hostname Switch_2950
Switch_2950(config-if)#
Configures an IP address and subnet mask on the switch
Switch_2950(config)#interface vlan 1
Switch_2950(config-if)#ip address 10.5.5.30 255.255.255.0
Switch_2950(config-if)#no shutdown
IP 주소는 관리의 목적으로 스위치에서 필요하다.
Virtual Switch Manager (VSM)을 이용하려면 스위치에 IP 주소가 설정 되어서
웹브라우저와 통신할 수 있는 IP 연결을 제공한다.
Telnet으로 스위치에 연결하고 SNMP를 이용하여 스위치를 관리 하려면 IP
주소가 반드시 필요하다.
5_32
Showing the Switch IP Address
Catalyst 2950
Switch_2950# show interface vlan 1
Vlan1 is up, line protocol is up
Hardware is Cat5K Virtual Ethernet, address is 0010.f6a9.9800 (bia 0010.f6a9.9800)
Internet address is 10.5.5.30/24
Broadcast address is 255.255.255.255
...
Switch_2950#sh run
…
interface Vlan1
ip address 10.5.5.30 255.255.255.0
no ip route-cache
…
Catalyst 2500 에서는 show interface vlan 1, sh run 을 통해 확인 가능하다.
5_33
Configuring the Switch Default Gateway
Switch_2950(config)#ip default-gateway {ip_address}
Switch_2950# config t
Switch_2950(config)# ip default-gateway 10.5.5.1
Catalyst 2950의 ip default-gateway 설정 명령어
다른 네트워크로 전송되는 Traffic이 들어오면 스위치는 default-gateway로
이 Traffic을 전송한다.
default-gateway IP 주소는 라우터의 Ethernet IP 주소이다.
Switch_2950# show ip default
10.5.5.1
5_34
* Duplexing and Speed
Duplex Overview
Half duplex (CSMA/CD)
• 일방향의 data flow이다.
• 높은 Collision 가능성이 있다.
• Hub를 통한 연결의 경우이다.
• CSMA/CD를 구현한다.
Switch
Hub
Full duplex (송수신이 동시에 가능)
• Point-to-point 이더넷과 패스트 이더넷
에서 구현이 가능하다.
• dedicated switched port에 연결된다.
• 양쪽에서의 full-duplex 지원이 요구된다.
• Collision free이다.
• Collision detect circuit이 disabled된다.
• 10BaseT, 100BaseT, 100BaseFx 매체지원
반이중방식(CSMA/CD)
전이중방식
단방향 데이터 플로우
점대점
충돌의 가능성이 높음
충돌이 없음
허브로 연결
충돌 탐지 회선이 disable됨
전용스위치 포트에 부착됨
양쪽단 모든 전이중방식 지원
50~60%의 효율
양방향으로 100%효율
5_35
* Configuring the Duplex Interface
Setting Duplex Options 및 description 설정
Switch_2950(config)#interface fa 0/1
Switch_2950(config-if)#speed {10 | 100 | auto}
Switch_2950(config-if)#duplex {auto | full | half}
.….
Switch_2950(config-if)#description [cisco router connection]
duplex 인터페이스 설정 명령어 옵션
- auto : duplex mode를 autonegotiation으로 지정한다. 100M 포트에서는 기본 값이다.
- full : full-duplex 모드로 지정한다.
- half : half-duplex 모드로 지정한다. Half는 10Mbps TX 포트에 기본값이다.
description – 현재 사용하고 있는 스위치에서 어떤 포트가 어디하고 연결이 되어 있는지
또한 어떤 용도로 사용하고 있는지 구별할 수 있다.
5_36
Showing Duplex Options
Switch# show interfaces fastethernet 0/1
Fastethernet 0/3 is up, line protocol ip down
Hardware is Fast Ethernet, address is 0000.0000.0003 (bia 0000.0000.0003)
Description [cisco router connetion]
MTU 1500bytes, BW 100000 Kbit, DLY 100Usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set,
Keepalive set(10 sec)
Full-duplex, 100Mb/s
Input flow-control is off, output flow-control is off
ARP type: ARPA, ARP Timeout 04:00:00
Last input never output never, output hang never
Last clearing of “show interface” counters never
Queueing strategy: fifo
----0 output errors, 0 collisions, 2 interface resets
0 babbles, 0 late collision, 0 deferred
Show interface : duplex setting 및 인터페이스 상태와 통계를 볼 수 있는 명령어.
한쪽은 half duplex, 다른 한쪽은 full-duplex 로 설정되면 full duplex 쪽에서
late collision error를 만들어 낸다.
late collision error 횟수가 많다면 duplex 설정의 매칭이 잘못되어 있다는 것이다.
매칭이 잘못되어 있으면 클라이언트에 대한 네트워크 응답이 느리게 된다.
5_37
Showing Duplex Options
Switch# show interfaces status
Port
Name
status
Vlan
Duplex
Speed
Type
Fa0/1
notconnect
1
Full
100
10/100Base-TX
Fa0/2
notconnect
1
auto
auto
10/100Base-TX
Fa0/3
notconnect
1
auto
auto
10/100Base-TX
Fa0/4
notconnect
1
auto
auto
10/100Base-TX
Fa0/5
connected
1
a-full
a-100
10/100Base-TX
Fa0/6
notconnect
1
auto
auto
10/100Base-TX
Fa0/7
notconnect
1
auto
auto
10/100Base-TX
Fa0/8
notconnect
1
auto
auto
10/100Base-TX
Fa0/9
notconnect
1
auto
auto
10/100Base-TX
Fa0/10
notconnect
1
auto
auto
10/100Base-TX
Fa0/11
notconnect
1
auto
auto
10/100Base-TX
Fa0/12
notconnect
1
auto
auto
10/100Base-TX
5_38
* Managing the MAC Address Table
Managing the MAC Address Table
Switch_2950(config)#interface
Fa0/1
Catalyst 2950
Switch_2950(config-if)#spanning-tree portfast
Switch_2950# show mac address-table
Mac Address Table
------------------------------------------Vlan Mac Address
Type
Ports
---- ------------------ ----All 000e.8479.e080 STATIC
CPU
All 0100.0ccc.cccc
STATIC
CPU
All 0100.0ccc.cccd
STATIC
CPU
All 0100.0cdd.dddd STATIC
CPU
1 0002.b3d4.7e81 DYNAMIC
Fa0/5
1 0003.a088.7d34 DYNAMIC
Fa0/2
1 00a9.400f.732d
DYNAMIC
Fa0/4
1 00d0.b79c.0745 DYNAMIC
Fa0/3
Total Mac Addresses for this criterion: 8
Switch_2950#
show mac address-table를 통해 동적, 정적, 영구적인 MAC 테이블 주소와
인터페이스 타입을 확인할 수 있다
5_39
Setting a permanent MAC Address
Switch_2950(config)#mac-address-table static
mac_addr vlan {vlan_id} interface type slot/port
ex) Switch_2950(config)#mac-address-table static 2222.2222.2222 vlan 2 int fa 0/2
Switch 각 Port 별로 특정 MAC 주소를 지정함으로써 Port의 보안 기능을 줄 수 있다.
등록되지 않은 MAC 주소가 입력되면 통신을 허용하지 않는다.
Switch_2950# show mac-address-table
Mac Address Table
------------------------------------------Vlan Mac Address
Type
Ports
---- ------------------ ----1 2222.2222.2222 STATIC
Fa0/2
1 0003.a088.7d34 DYNAMIC
Fa0/5
5_40
Catalyst 2950 Port-security 설정
Switch_2950(config)#interface fa0/1
Switch_2950(config-if)# switchport mode access
Switch_2950(config-if)# switchport port-security maximum 10
Switch_2950(config)#interface fa0/1
Switch_2950(config-if)# no switchport port-security --- 비활성화
MAC 주소 기반의 포트 보안의 장점
- 인터페이스를 안전한 포트로 설정하여 몇몇 디바이스들만 특정 스위치 포트에
연결되도록 할 수 있다.
- 이 포트에 대한 주소 테이블에 허용되는 MAC 주소의 최대 개수를 정의한다.
- 안전한 포트의 디바이스 개수는 1-132까지 이다.
5_41
Verifying Port Security on the Catalyst 2950
Switch_2950# show port-security
= 포트보안 설정 내용을 보고 확인
Switch_2950# show port-security interface fa 0/1
Port Security
: Disabled
Port Status
: Secure-down
Violation Mode
: Shutdown
Aging Time
: 0 mins
Aging Type
: Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses
: 10
Total MAC Addresses
:0
Configured MAC Addresses : 0
Sticky MAC Addresses
:0
Last Source Address
: 0000.0000.0000
Security Violation Count
:0
5_42
Verifying Port Security on the Catalyst 2950
Switch_2950# show mac address-table interface fa0/1
Mac Address Table
------------------------------------------Vlan Mac Address
Type
Ports
---- ------------------ ----1 0003.a088.7d34 DYNAMIC
Fa0/2
Total Mac Addresses for this criterion: 1
Switch_2950(config-if)#switchport port-security violation {protect |restrict
| shutdown}
Switch_2950# show port-security interface fa 0/1
show mac-address-table secure 명령어는 포트 보안이 설정된 인터페이스와
MAC 주소 테이블을 확인 할 수 있다.
포트 위반이 일어났을 때
- protect : 포트보호, 목록에 추가되지 않은 어드레스가 있는 프레임 전송안음
- restrict : 보안확보,
- shutdown : 해당 포트를 shutdown 시켜서 패킷을 차단한다. (기본설정)
5_43
* Executing Adds, Moves, and Changes
Executing Adds, Moves, and Changes for MAC Addresses
Adding a MAC Address
1. Port security 설정
2. MAC address 설정
Switch
Changing a MAC Address
1. Port 로 부터 MAC 어드레스 제한을 제거한다.
Hub
Moving a MAC Address
Move
1. 새로운 포트에 주소를 더한다.
2. 새로운 스위치에 port security를 설정한다.
3. 새로운 스위치에 새로운 사용자에 대한 MAC
주소를 설정한다.
4. 기존의 포트는 shutdown 시키고, 새로운 port에
보안 및, access list를 설정한다.
Ethernet network interface card (NIC)이 fails 된다면 MAC address는 유일한 주소이기
때문에 유효하지 않다.
새로운 Ethernet NIC으로 교환 후 포트에 기존의 MAC address security를 제거하고,
5_44
새로운 MAC address로 security를 재설정 해 주어야 한다.
Adding a New Switch to the network
Switch
Hub
Move
Switch Add
관리용 스위치 IP_address와 default gateway
를 설정한다.
console, aux, vty 중에서 접속 가능한 방법을
선택한다.
User EXEC와 Privileged EXEC의 security를
설정한다.
single workstations, IP phones, trunking
upstream/downstream 등 스위치에 필요한
요소를 설정한다.
새로운 스위치가 만약 spanning tree의 root
bridge 가 된다면 ?
- Topology 전체에 영향을 미친다.
- 관리자가 의도한 대로 트래픽이 흐르지
않는다.
- 다시 재설정을 해 주어야 한다.
새로운 스위치가 root bridge가 되는 것을 막기
위해 가중치를 부가한다.
- 트래픽 흐름에 맞게 필요한 설정을 먼저하고,
네트워크와 연결한다.
5_45
* Managing Device Configuration Files
Managing the Configuration File
Catalyst 2950
Switch_2950#copy startup-config tftp://host/dst_file
#copy nvram tftp://10.1.1.1/wgswd.cfg : 설정 파일을 10.1.1.1 주소의 목적 TFTP
서버로 wgswd.cfg 파일 이름으로 업로드 하는 명령어
#copy tftp://host/src_file nvram : 10.1.1.1 주소의 TFTP 서버의 설정 파일을
스위치의 NVRAM으로 다운로드 하는 명령어
Catalyst 1900에서는 running 설정에 대한 변화가 일어날 때마
running 설정이 자동적으로 NVRAM에 저장된다.
5_46
Clearing NVRAM
Switch_2950#erase startup-config
Erasing the nvram filesystem will remove all files ! Continue? [confirm]
(Enter)
[OK]
Erase of nvram: complete
Switch_2950#reload
system configuration을 factory default로 Reset 시킨다.
“erase” 라는 명령어를 사용하여 NVRAM에 저장돼 있는 내용을 삭제한다.
“reload”를 해서 재 부팅을 하면 삭제가 완료된다.
5_47
참고자료 (1)
Bridge Protocol Data Unit (BPDU)
Bytes
2
1
1
1
8
4
8
2
2
2
2
2
Field
Protocol ID
Version
Message Type
Flags
Root ID
Cost of Path
Bridge ID
Port ID
Message Age
Maximum Time
Hello Time
Forward Delay
BPDU는
• Root Bridge를 선출한다.
• Loop의 발생여부를 판정한다.
• Loop 방지를 위해 Blocking한다.
• 네트워크 변화를 알린다.
• Spanning Tree의 상태를 모니터링 한다.
Default Timer Values
Hello Time : 2 secs
Maximum Time(Max Age) : 20 secs
Forward Delay : 15 secs
• Timer는 임시적으로 발생할 수 있는 Bridging Loop을 방지하는 데 사용된다.
• Timer는 Link Failure 후에 Spanning Tree Convergence Time을 결정한다.
5_48
참고자료 (2)
브리지와 스위치
Bridging
Switching
•Primarily hardware based (ASIC)
•
•
•
Primarily software based
One spanning-tree instance per
bridge
Usually up to 16 ports per bridge
•Many spanning-tree instances per switch
•More ports on a switch
스위치는 multiport bridge( bridges with more ports)라 할 수 있다.
브리지가 소프트웨어 베이스라 한다면 스위치는 하드웨어 베이스 (ASIC :Application
Specific Integrated Circuit)로 지연시간이 작다. (Low Latency)
브리지는 하나의 Spanning Tree만을 갖을 수 있으나 스위치는 여러 개의 Spanning
Tree를 가질 수 있다.
브리지는 최대 16개의 포트를 가질 수 있으나 스위치는 수백개의 포트를 가질 수 있다.
스위치는 포트간 통신에 있어, Multiple Connection이 가능하나 브리지는 동시에
하나의 포트간 통신이 가능하다.
성능대비 가격이 저렴하다.(Low cost)
5_49