ROUTING AND SWITCING
RESUME CHAPTER 5
SWITCH CONFIGURATION
Switch di gunakan untuk menghubungkan beberapa perangkat secara bersamaan.
di jaringan yang sama.Dalam jarigan yang dirancang dengan benar,switch LAN bertanggung
jawab untuk mengarahkan dan mengendalikan aliran data pada lapisan akses ke sumber daya
jaringan.
Switch Boot Sequence
Alihkan Urutan BootingSetelah sakelar Cisco dihidupkan, sakelar ini akan melalui urutan boot berikut:
1. Pertama, sakelar memuat program pengujian-mandiri (POST) power-on yang disimpan dalam ROM. POST memeriksa subsistem CPU. Ini menguji CPU, DRAM, dan bagian dari perangkat flash yang membentuk sistem file flash.
2. Selanjutnya, sakelar memuat perangkat lunak boot loader. Boot loader adalah program kecil yang disimpan dalam ROM yang dijalankan segera setelah POST berhasil selesai.
3. Boot loader melakukan inisialisasi CPU tingkat rendah. Ini menginisialisasi register CPU, yang mengontrol di mana memori fisik dipetakan, jumlah memori, dan kecepatannya.
4. Boot loader menginisialisasi sistem file flash pada board sistem.
5. Terakhir, bootloader menempatkan dan memuat gambar perangkat lunak sistem operasi IOS default ke dalam memori dan memberikan kendali peralihan ke iOS.
Boot loader menemukan gambar Cisco IOS pada sakelar sebagai berikut: sakelar mencoba mem-boot secara otomatis dengan menggunakan informasi dalam variabel lingkungan BOOT. Jika variabel ini tidak disetel, sakelar akan mencoba memuat dan mengeksekusi file yang dapat dieksekusi pertama yang dapat dilakukan dengan melakukan pencarian rekursif, kedalaman-pertama di seluruh sistem file flash. Dalam pencarian mendalam-pertama pada sebuah direktori, setiap subdirektori yang ditemui sepenuhnya dicari sebelum melanjutkan pencarian di direktori asli. Pada sakelar Catalyst 2960 Series, file gambar biasanya terkandung dalam direktori yang memiliki nama yang sama dengan file gambar (tidak termasuk ekstensi file .bin).
Sistem operasi IOS kemudian menginisialisasi antarmuka menggunakan perintah Cisco IOS yang ditemukan dalam file startup-config, yang disimpan dalam NVRAM.
Memulihkan Dari Kecelakaan Sistem
Boot loader menyediakan akses ke sakelar jika sistem operasi tidak dapat digunakan karena file sistem hilang atau rusak. Boot loader memiliki baris perintah yang menyediakan akses ke file yang disimpan dalam memori flash.
Boot loader dapat diakses melalui koneksi konsol dengan mengikuti langkah-langkah ini:
Langkah 1. Sambungkan PC dengan kabel konsol ke port konsol sakelar. Konfigurasikan perangkat lunak emulasi terminal untuk terhubung ke sakelar.
Langkah 2. Cabut kabel daya sakelar.
Langkah 3. Sambungkan kembali kabel daya ke sakelar dan, dalam waktu 15 detik, tekan dan tahan tombol Mode saat LED Sistem masih berkedip hijau.
Langkah 4. Lanjutkan menekan tombol Mode sampai LED Sistem menyala kuning sebentar dan kemudian menyala hijau; kemudian lepaskan tombol Mode.
Langkah 5. Sakelar boot loader: prompt muncul di perangkat lunak emulasi terminal pada PC.
Baris perintah boot loader mendukung perintah untuk memformat sistem file flash, menginstal ulang perangkat lunak sistem operasi, dan memulihkan kata sandi yang hilang atau terlupakan. Sebagai contoh, perintah dir dapat digunakan untuk melihat daftar file dalam direktori yang ditentukan, seperti yang ditunjukkan pada gambar
Ganti Indikator LED
Switch Cisco Catalyst memiliki beberapa lampu indikator status LED. Anda dapat menggunakan LED sakelar untuk memantau aktivitas dan kinerja sakelar dengan cepat. Sakelar model dan set fitur yang berbeda akan memiliki LED yang berbeda dan penempatannya di panel depan sakelar juga dapat bervariasi.
Angka tersebut menunjukkan LED sakelar dan tombol Mode untuk sakelar Cisco Catalyst 2960. Tombol Mode digunakan untuk beralih melalui status port, port duplex, kecepatan port, dan status PoE (jika didukung) dari LED port. Berikut ini menjelaskan tujuan indikator LED, dan arti warna mereka:
LED Sistem - Menunjukkan apakah sistem menerima daya dan berfungsi dengan baik. Jika LED mati, itu berarti sistem tidak dinyalakan. Jika LED berwarna hijau, sistem beroperasi secara normal. Jika LED berwarna kuning, sistem menerima daya tetapi tidak berfungsi dengan benar.
Redundant Power System (RPS) LED - Menunjukkan status RPS. Jika LED mati, RPS mati, atau tidak terhubung dengan benar. Jika LED berwarna hijau, RPS terhubung dan siap untuk menyediakan daya cadangan. Jika LED berkedip hijau, RPS terhubung tetapi tidak tersedia karena memberikan daya ke perangkat lain. Jika LED berwarna kuning, RPS dalam mode siaga, atau dalam kondisi salah. Jika LED berkedip kuning, catu daya internal pada sakelar gagal, dan RPS menyediakan daya.
Port Status LED - Menunjukkan bahwa mode status port dipilih ketika LED berwarna hijau. Ini adalah mode default. Saat dipilih, LED port akan menampilkan warna dengan arti berbeda. Jika LED mati, tidak ada tautan, atau port secara administratif dimatikan. Jika LED berwarna hijau, ada tautan. Jika LED berkedip hijau, ada aktivitas dan port mengirim atau menerima data. Jika LED berganti hijau-kuning, ada kesalahan tautan. Jika LED berwarna kuning, port diblokir untuk memastikan tidak ada loop dalam domain penerusan dan tidak meneruskan data (biasanya, port akan tetap dalam kondisi ini selama 30 detik pertama setelah diaktifkan). Jika LED berkedip kuning, port diblokir untuk mencegah kemungkinan loop dalam domain penerusan.
Port Duplex LED - Menunjukkan mode port duplex dipilih ketika LED berwarna hijau. Saat dipilih, LED port yang mati dalam mode setengah dupleks. Jika LED port berwarna hijau, port berada dalam mode dupleks-penuh.
Port Speed LED - Mengindikasikan mode kecepatan port dipilih. Saat dipilih, LED port akan menampilkan warna dengan arti berbeda. Jika LED mati, port beroperasi pada 10 Mb / s. Jika LED berwarna hijau, port beroperasi pada 100 Mb / s. Jika LED berkedip hijau, port beroperasi pada 1000 Mb / s.
LED Mode Power over Ethernet (PoE) - Jika PoE didukung; LED mode PoE akan hadir. Jika LED mati, ini menunjukkan mode PoE tidak dipilih dan bahwa tidak ada port yang ditolak daya atau ditempatkan dalam kondisi kesalahan. Jika LED berkedip kuning, mode PoE tidak dipilih tetapi setidaknya salah satu port telah ditolak daya, atau memiliki kesalahan PoE. Jika LED berwarna hijau, ini menunjukkan mode PoE dipilih dan LED port akan menampilkan warna dengan makna yang berbeda. Jika LED port mati, PoE mati. Jika LED port berwarna hijau, PoE menyala. Jika LED port bergantian hijau-kuning, PoE ditolak karena memberikan daya ke perangkat bertenaga akan melebihi kapasitas daya sakelar. Jika LED berkedip kuning, PoE mati karena kesalahan. Jika LED berwarna kuning, PoE untuk port telah dinonaktifkan.
Switch Cisco Catalyst memiliki beberapa lampu indikator status LED. Anda dapat menggunakan LED sakelar untuk memantau aktivitas dan kinerja sakelar dengan cepat. Sakelar model dan set fitur yang berbeda akan memiliki LED yang berbeda dan penempatannya di panel depan sakelar juga dapat bervariasi.
Angka tersebut menunjukkan LED sakelar dan tombol Mode untuk sakelar Cisco Catalyst 2960. Tombol Mode digunakan untuk beralih melalui status port, port duplex, kecepatan port, dan status PoE (jika didukung) dari LED port. Berikut ini menjelaskan tujuan indikator LED, dan arti warna mereka:
LED Sistem - Menunjukkan apakah sistem menerima daya dan berfungsi dengan baik. Jika LED mati, itu berarti sistem tidak dinyalakan. Jika LED berwarna hijau, sistem beroperasi secara normal. Jika LED berwarna kuning, sistem menerima daya tetapi tidak berfungsi dengan benar.
Redundant Power System (RPS) LED - Menunjukkan status RPS. Jika LED mati, RPS mati, atau tidak terhubung dengan benar. Jika LED berwarna hijau, RPS terhubung dan siap untuk menyediakan daya cadangan. Jika LED berkedip hijau, RPS terhubung tetapi tidak tersedia karena memberikan daya ke perangkat lain. Jika LED berwarna kuning, RPS dalam mode siaga, atau dalam kondisi salah. Jika LED berkedip kuning, catu daya internal pada sakelar gagal, dan RPS menyediakan daya.
Port Status LED - Menunjukkan bahwa mode status port dipilih ketika LED berwarna hijau. Ini adalah mode default. Saat dipilih, LED port akan menampilkan warna dengan arti berbeda. Jika LED mati, tidak ada tautan, atau port secara administratif dimatikan. Jika LED berwarna hijau, ada tautan. Jika LED berkedip hijau, ada aktivitas dan port mengirim atau menerima data. Jika LED berganti hijau-kuning, ada kesalahan tautan. Jika LED berwarna kuning, port diblokir untuk memastikan tidak ada loop dalam domain penerusan dan tidak meneruskan data (biasanya, port akan tetap dalam kondisi ini selama 30 detik pertama setelah diaktifkan). Jika LED berkedip kuning, port diblokir untuk mencegah kemungkinan loop dalam domain penerusan.
Port Duplex LED - Menunjukkan mode port duplex dipilih ketika LED berwarna hijau. Saat dipilih, LED port yang mati dalam mode setengah dupleks. Jika LED port berwarna hijau, port berada dalam mode dupleks-penuh.
Port Speed LED - Mengindikasikan mode kecepatan port dipilih. Saat dipilih, LED port akan menampilkan warna dengan arti berbeda. Jika LED mati, port beroperasi pada 10 Mb / s. Jika LED berwarna hijau, port beroperasi pada 100 Mb / s. Jika LED berkedip hijau, port beroperasi pada 1000 Mb / s.
LED Mode Power over Ethernet (PoE) - Jika PoE didukung; LED mode PoE akan hadir. Jika LED mati, ini menunjukkan mode PoE tidak dipilih dan bahwa tidak ada port yang ditolak daya atau ditempatkan dalam kondisi kesalahan. Jika LED berkedip kuning, mode PoE tidak dipilih tetapi setidaknya salah satu port telah ditolak daya, atau memiliki kesalahan PoE. Jika LED berwarna hijau, ini menunjukkan mode PoE dipilih dan LED port akan menampilkan warna dengan makna yang berbeda. Jika LED port mati, PoE mati. Jika LED port berwarna hijau, PoE menyala. Jika LED port bergantian hijau-kuning, PoE ditolak karena memberikan daya ke perangkat bertenaga akan melebihi kapasitas daya sakelar. Jika LED berkedip kuning, PoE mati karena kesalahan. Jika LED berwarna kuning, PoE untuk port telah dinonaktifkan.
Mempersiapkan Manajemen Switch Dasar
Untuk menyiapkan switch untuk akses manajemen jarak jauh, switch harus dikonfigurasi dengan alamat IP dan subnet mask. Perlu diingat, bahwa untuk mengelola sakelar dari jaringan jarak jauh, sakelar itu harus dikonfigurasikan dengan gateway default. Ini sangat mirip dengan mengkonfigurasi informasi alamat IP pada perangkat host. Pada gambar, saklar antarmuka virtual (SVI) pada S1 harus diberi alamat IP. SVI adalah antarmuka virtual, bukan port fisik di sakelar.
SVI adalah konsep yang terkait dengan VLAN. VLAN adalah grup logis bernomor yang port fisiknya dapat ditetapkan.Konfigurasi dan pengaturan yang diterapkan pada VLAN juga diterapkan ke semua port yang ditetapkan ke VLAN itu.
Secara default, switch dikonfigurasikan agar manajemen switch dikendalikan melalui VLAN 1. Semua port ditetapkan ke VLAN 1 secara default. Untuk tujuan keamanan, itu dianggap praktik terbaik untuk menggunakan VLAN selain VLAN 1 untuk VLAN manajemen
Untuk menyiapkan switch untuk akses manajemen jarak jauh, switch harus dikonfigurasi dengan alamat IP dan subnet mask. Perlu diingat, bahwa untuk mengelola sakelar dari jaringan jarak jauh, sakelar itu harus dikonfigurasikan dengan gateway default. Ini sangat mirip dengan mengkonfigurasi informasi alamat IP pada perangkat host. Pada gambar, saklar antarmuka virtual (SVI) pada S1 harus diberi alamat IP. SVI adalah antarmuka virtual, bukan port fisik di sakelar.
SVI adalah konsep yang terkait dengan VLAN. VLAN adalah grup logis bernomor yang port fisiknya dapat ditetapkan.Konfigurasi dan pengaturan yang diterapkan pada VLAN juga diterapkan ke semua port yang ditetapkan ke VLAN itu.
Secara default, switch dikonfigurasikan agar manajemen switch dikendalikan melalui VLAN 1. Semua port ditetapkan ke VLAN 1 secara default. Untuk tujuan keamanan, itu dianggap praktik terbaik untuk menggunakan VLAN selain VLAN 1 untuk VLAN manajemen
Mengkonfigurasi Akses Manajemen Switch Dasar dengan IPv4
Langkah 1. Konfigurasikan Antarmuka Manajemen
Alamat IPv4 dan subnet mask dikonfigurasikan pada SVI manajemen sakelar dari mode konfigurasi antarmuka VLAN. Seperti yang ditunjukkan pada Gambar 1, perintah antarmuka vlan 99 digunakan untuk masuk ke mode konfigurasi antarmuka. Perintah alamat ip digunakan untuk mengkonfigurasi alamat IPv4. Perintah no shutdown memungkinkan antarmuka. Dalam contoh ini, VLAN 99 dikonfigurasikan dengan alamat IPv4 172.17.99.11.
SVI untuk VLAN 99 tidak akan muncul sebagai "atas / atas" sampai VLAN 99 dibuat dan ada perangkat yang terhubung ke port switch yang terkait dengan VLAN 99. Untuk membuat VLAN dengan vlan_id dari 99, dan menghubungkannya ke antarmuka , gunakan perintah berikut:
Langkah 1. Konfigurasikan Antarmuka Manajemen
Alamat IPv4 dan subnet mask dikonfigurasikan pada SVI manajemen sakelar dari mode konfigurasi antarmuka VLAN. Seperti yang ditunjukkan pada Gambar 1, perintah antarmuka vlan 99 digunakan untuk masuk ke mode konfigurasi antarmuka. Perintah alamat ip digunakan untuk mengkonfigurasi alamat IPv4. Perintah no shutdown memungkinkan antarmuka. Dalam contoh ini, VLAN 99 dikonfigurasikan dengan alamat IPv4 172.17.99.11.
SVI untuk VLAN 99 tidak akan muncul sebagai "atas / atas" sampai VLAN 99 dibuat dan ada perangkat yang terhubung ke port switch yang terkait dengan VLAN 99. Untuk membuat VLAN dengan vlan_id dari 99, dan menghubungkannya ke antarmuka , gunakan perintah berikut:
S1(config)# vlan vlan_id
S1(config-vlan)# name vlan_name
S1(config-vlan)# exit
S1(config)# interface interface_id
S1(config-if)# switchport access vlan vlan_id
Langkah 2. Konfigurasikan Gateway Default
Switch harus dikonfigurasikan dengan gateway default jika akan dikelola dari jarak jauh dari jaringan yang tidak terhubung langsung. Gateway default adalah router yang terhubung dengan switch. Switch akan meneruskan paket IP-nya dengan alamat IP tujuan di luar jaringan lokal ke gateway default. Seperti yang ditunjukkan pada Gambar 2, R1 adalah gateway default untuk S1. Antarmuka pada R1 yang terhubung ke switch memiliki alamat IPv4 172.17.99.1. Alamat ini adalah alamat gateway default untuk S1.
Untuk mengkonfigurasi gateway default untuk switch, gunakan perintah ip default-gateway. Masukkan alamat IPv4 dari gateway default. Gateway default adalah alamat IPv4 dari antarmuka router yang terhubung dengan switch. Gunakan copy running-config startup-config perintah untuk membuat cadangan konfigurasi Anda.
Langkah 3. Verifikasi Konfigurasi
Seperti yang ditunjukkan pada Gambar 3, perintah show ip interface brief berguna ketika menentukan status dari kedua antarmuka fisik dan virtual. Output yang ditampilkan mengonfirmasi bahwa antarmuka VLAN 99 telah dikonfigurasi dengan alamat IPv4 dan subnet mask.
Komunikasi Dupleks
Gambar tersebut menggambarkan komunikasi full-duplex dan half-duplex.
Komunikasi full-duplex meningkatkan kinerja LAN yang diaktifkan. Komunikasi full-duplex meningkatkan bandwidth efektif dengan memungkinkan kedua ujung koneksi untuk mengirim dan menerima data secara bersamaan. Ini juga dikenal sebagai komunikasi dua arah. Metode mengoptimalkan kinerja jaringan ini membutuhkan segmentasi mikro. LAN segmen-mikro dibuat ketika port switch hanya memiliki satu perangkat yang terhubung dan beroperasi dalam mode dupleks-penuh. Ketika port switch beroperasi dalam mode dupleks penuh, tidak ada collision domain yang terkait dengan port tersebut.
Tidak seperti komunikasi dupleks penuh, komunikasi setengah dupleks searah. Mengirim dan menerima data tidak terjadi secara bersamaan. Komunikasi setengah dupleks menciptakan masalah kinerja karena data dapat mengalir hanya dalam satu arah pada suatu waktu, sering kali menghasilkan benturan. Koneksi setengah dupleks biasanya terlihat pada perangkat keras lama, seperti hub. Komunikasi full-duplex telah menggantikan half-duplex di sebagian besar perangkat keras.
Gigabit Ethernet dan 10Gb NIC memerlukan koneksi dupleks penuh untuk beroperasi. Dalam mode dupleks penuh, sirkuit pendeteksian benturan pada NIC dinonaktifkan. Frame yang dikirim oleh dua perangkat yang terhubung tidak dapat bertabrakan karena perangkat menggunakan dua sirkuit terpisah dalam kabel jaringan. Koneksi dupleks penuh memerlukan sakelar yang mendukung konfigurasi dupleks penuh, atau koneksi langsung menggunakan kabel Ethernet antara dua perangkat
Tidak seperti komunikasi dupleks penuh, komunikasi setengah dupleks searah. Mengirim dan menerima data tidak terjadi secara bersamaan. Komunikasi setengah dupleks menciptakan masalah kinerja karena data dapat mengalir hanya dalam satu arah pada suatu waktu, sering kali menghasilkan benturan. Koneksi setengah dupleks biasanya terlihat pada perangkat keras lama, seperti hub. Komunikasi full-duplex telah menggantikan half-duplex di sebagian besar perangkat keras.
Gigabit Ethernet dan 10Gb NIC memerlukan koneksi dupleks penuh untuk beroperasi. Dalam mode dupleks penuh, sirkuit pendeteksian benturan pada NIC dinonaktifkan. Frame yang dikirim oleh dua perangkat yang terhubung tidak dapat bertabrakan karena perangkat menggunakan dua sirkuit terpisah dalam kabel jaringan. Koneksi dupleks penuh memerlukan sakelar yang mendukung konfigurasi dupleks penuh, atau koneksi langsung menggunakan kabel Ethernet antara dua perangkat
Mengkonfigurasi Switch Ports pada Layer Fisik
Dupleks dan Kecepatan
Switch port dapat dikonfigurasikan secara manual dengan pengaturan dupleks dan kecepatan tertentu. Gunakan perintah mode konfigurasi antarmuka dupleks untuk secara manual menentukan mode dupleks untuk port switch. Gunakan perintah mode konfigurasi antarmuka kecepatan untuk secara manual menentukan kecepatan untuk port switch. Pada Gambar 1, port F0 / 1 pada sakelar S1 dan S2 dikonfigurasikan secara manual dengan kata kunci lengkap untuk perintah dupleks, dan 100 kata kunci untuk perintah kecepatan.
Pengaturan default untuk duplex dan kecepatan untuk port switch pada switch Cisco Catalyst 2960 dan 3560 adalah otomatis. Port 10/100/1000 beroperasi dalam mode setengah atau dupleks penuh ketika mereka diatur ke 10 atau 100 Mb / s, tetapi ketika mereka diatur ke 1000 Mb / s (1 Gb / s), mereka hanya beroperasi dalam mode dupleks penuh. Negosiasi otomatis berguna ketika pengaturan kecepatan dan dupleks perangkat yang terhubung ke port tidak diketahui atau dapat berubah. Saat menghubungkan ke perangkat yang dikenal, seperti server, workstation khusus, atau perangkat jaringan, praktik terbaik adalah mengatur kecepatan dan pengaturan dupleks secara manual.
Saat pemecahan masalah port switch, pengaturan dupleks dan kecepatan harus diperiksa.
Catatan: Pengaturan yang tidak cocok untuk mode dupleks dan kecepatan port switch dapat menyebabkan masalah konektivitas. Kegagalan negosiasi otomatis membuat pengaturan tidak cocok.
Semua port serat optik, seperti port 1000BASE-SX, beroperasi hanya pada satu kecepatan preset dan selalu dupleks-penuh.
Gunakan Pemeriksa Sintaks pada Gambar 2 untuk mengkonfigurasi port F0 / 1 dari saklar S1.
Pengaturan default untuk duplex dan kecepatan untuk port switch pada switch Cisco Catalyst 2960 dan 3560 adalah otomatis. Port 10/100/1000 beroperasi dalam mode setengah atau dupleks penuh ketika mereka diatur ke 10 atau 100 Mb / s, tetapi ketika mereka diatur ke 1000 Mb / s (1 Gb / s), mereka hanya beroperasi dalam mode dupleks penuh. Negosiasi otomatis berguna ketika pengaturan kecepatan dan dupleks perangkat yang terhubung ke port tidak diketahui atau dapat berubah. Saat menghubungkan ke perangkat yang dikenal, seperti server, workstation khusus, atau perangkat jaringan, praktik terbaik adalah mengatur kecepatan dan pengaturan dupleks secara manual.
Saat pemecahan masalah port switch, pengaturan dupleks dan kecepatan harus diperiksa.
Catatan: Pengaturan yang tidak cocok untuk mode dupleks dan kecepatan port switch dapat menyebabkan masalah konektivitas. Kegagalan negosiasi otomatis membuat pengaturan tidak cocok.
Semua port serat optik, seperti port 1000BASE-SX, beroperasi hanya pada satu kecepatan preset dan selalu dupleks-penuh.
Gunakan Pemeriksa Sintaks pada Gambar 2 untuk mengkonfigurasi port F0 / 1 dari saklar S1.
Auto-MDIX
Sampai saat ini, jenis kabel tertentu (straight-through atau crossover) diperlukan saat menghubungkan perangkat. Koneksi switch-to-switch atau switch-to-router diperlukan menggunakan kabel Ethernet yang berbeda. Menggunakan fitur crossover antarmuka media-tergantung otomatis (MDIX) otomatis pada antarmuka menghilangkan masalah ini. Ketika MDIX otomatis diaktifkan, antarmuka secara otomatis mendeteksi jenis koneksi kabel yang diperlukan (straight-through atau crossover) dan mengkonfigurasi koneksi dengan tepat. Saat menyambung ke sakelar tanpa fitur auto-MDIX, kabel langsung harus digunakan untuk menyambung ke perangkat seperti server, workstation, atau router. Kabel crossover harus digunakan untuk terhubung ke sakelar atau pengulang lainnya.
Dengan auto-MDIX diaktifkan, kedua jenis kabel dapat digunakan untuk menghubungkan ke perangkat lain, dan antarmuka secara otomatis menyesuaikan untuk berkomunikasi dengan sukses. Pada switch Cisco yang lebih baru, perintah mode konfigurasi antarmuka mdix otomatis mengaktifkan fitur ini. Saat menggunakan MDIX otomatis pada antarmuka, kecepatan antarmuka dan dupleks harus diatur ke otomatis agar fitur tersebut beroperasi dengan benar.
Perintah untuk mengaktifkan auto-MDIX ditunjukkan pada Gambar 1.
Catatan: Fitur auto-MDIX diaktifkan secara default pada sakelar Catalyst 2960 dan Catalyst 3560, tetapi tidak tersedia pada sakelar Catalyst 2950 dan Catalyst 3550 yang lebih lama.
Untuk memeriksa pengaturan auto-MDIX untuk antarmuka tertentu, gunakan perintah show controllers ethernet-controller dengan kata kunci phy. Untuk membatasi output ke baris yang merujuk pada auto-MDIX, gunakan filter Auto-MDIX. Seperti yang ditunjukkan pada Gambar 2, output menunjukkan On atau Off untuk fitur.
Gunakan Pemeriksa Sintaks pada Gambar 3 untuk mengkonfigurasi antarmuka FastEthernet 0/1 pada S2 untuk auto-MDIX.
Memverifikasi Konfigurasi Port Switch
Gambar 1 menjelaskan beberapa opsi untuk perintah show yang membantu dalam memverifikasi fitur switch yang dapat dikonfigurasi.
Gambar 2 menunjukkan sampel disingkat output dari perintah show running-config. Gunakan perintah ini untuk memverifikasi bahwa sakelar telah dikonfigurasi dengan benar. Seperti terlihat dalam output untuk S1, beberapa informasi penting ditampilkan:
Antarmuka Fast Ethernet 0/18 dikonfigurasi dengan manajemen VLAN 99
VLAN 99 dikonfigurasikan dengan alamat IPv4 172.17.99.11 255.255.255.0
Gateway default diatur ke 172.17.99.1
Perintah show interfaces adalah perintah lain yang umum digunakan, yang menampilkan informasi status dan statistik pada antarmuka jaringan switch. Perintah show interfaces sering digunakan ketika mengkonfigurasi dan memonitor perangkat jaringan.
Gambar 3 menunjukkan output dari show interface perintah fastEthernet 0/18. Baris pertama pada gambar menunjukkan bahwa antarmuka FastEthernet 0/18 adalah naik / naik yang berarti bahwa itu operasional. Lebih jauh ke bawah, output menunjukkan bahwa dupleks penuh dan kecepatan 100 Mb / s.
Masalah Lapisan Akses Jaringan
Output dari perintah show interface dapat digunakan untuk mendeteksi masalah media yang umum. Salah satu bagian terpenting dari output ini adalah tampilan garis dan status protokol data link. Gambar 1 menunjukkan garis ringkasan untuk memeriksa status suatu antarmuka.
Parameter pertama (FastEthernet0 / 1 sudah habis) merujuk ke lapisan perangkat keras dan menunjukkan jika antarmuka menerima sinyal pendeteksi pembawa. Parameter kedua (protokol garis naik) merujuk ke lapisan data link dan menunjukkan apakah keepalives protokol lapisan data sedang diterima.
Mengatasi Masalah Lapisan Akses Jaringan
Sebagian besar masalah yang mempengaruhi jaringan yang diaktifkan ditemui selama implementasi asli. Secara teoritis, setelah diinstal, jaringan terus beroperasi tanpa masalah. Namun, pemasangan kabel menjadi rusak, konfigurasi berubah, dan perangkat baru terhubung ke sakelar yang membutuhkan perubahan konfigurasi sakelar. Diperlukan pemeliharaan dan pemecahan masalah infrastruktur jaringan.
Untuk memecahkan masalah skenario yang melibatkan tidak ada koneksi, atau koneksi buruk, antara sakelar dan perangkat lain, ikuti proses umum ini:
Gunakan perintah show interfaces untuk memeriksa status antarmuka.
Jika antarmuka tidak aktif:
Periksa untuk memastikan bahwa kabel yang tepat sedang digunakan. Selain itu, periksa kabel dan konektor untuk kerusakan. Jika diduga ada kabel yang salah atau salah, ganti kabelnya.
Jika antarmuka masih turun, masalahnya mungkin karena ketidakcocokan dalam pengaturan kecepatan. Kecepatan antarmuka biasanya dinegosiasikan secara otomatis; oleh karena itu, bahkan jika itu dikonfigurasikan secara manual pada satu antarmuka, antarmuka penghubung harus dinegosiasikan secara otomatis. Jika ketidakcocokan kecepatan memang terjadi melalui kesalahan konfigurasi, atau masalah perangkat keras atau perangkat lunak, maka hal itu dapat menyebabkan antarmuka turun. Atur kecepatan yang sama secara manual di kedua ujung koneksi jika ada masalah yang dicurigai.
Jika antarmuka aktif, tetapi masalah dengan konektivitas masih ada:
Menggunakan perintah show interfaces, periksa indikasi noise yang berlebihan. Indikasi dapat mencakup peningkatan penghitung untuk kesalahan runt, raksasa, dan CRC. Jika ada kebisingan yang berlebihan, pertama-tama temukan dan hapus sumber kebisingannya, jika memungkinkan. Selain itu, pastikan bahwa kabel tidak melebihi panjang kabel maksimum dan periksa jenis kabel yang digunakan.
Jika kebisingan tidak menjadi masalah, periksa tabrakan yang berlebihan. Jika ada tabrakan atau tabrakan terlambat, verifikasi pengaturan dupleks di kedua ujung koneksi. Sama seperti pengaturan kecepatan, pengaturan dupleks biasanya dinegosiasikan secara otomatis. Jika tampaknya ada ketidakcocokan dupleks, atur dupleks secara penuh pada kedua ujung koneksi.
Secure Shell (SSH) adalah protokol yang menyediakan koneksi manajemen yang aman (terenkripsi) ke perangkat jarak jauh. SSH harus mengganti Telnet untuk koneksi manajemen. Telnet adalah protokol yang lebih lama yang menggunakan transmisi plaintext tidak aman dari kedua otentikasi login (nama pengguna dan kata sandi) dan data yang dikirimkan antara perangkat yang berkomunikasi. SSH menyediakan keamanan untuk koneksi jarak jauh dengan memberikan enkripsi yang kuat ketika suatu perangkat diautentikasi (nama pengguna dan kata sandi) dan juga untuk data yang ditransmisikan antara perangkat yang berkomunikasi. SSH ditugaskan ke port TCP 22. Telnet ditugaskan ke port TCP 23.
Mengkonfigurasi SSHSebelum mengonfigurasi SSH, sakelar harus dikonfigurasi secara minimal dengan nama host unik dan pengaturan konektivitas jaringan yang benar.
Langkah 1. Verifikasi dukungan SSH.
Gunakan perintah show ip ssh untuk memverifikasi bahwa sakelar mendukung SSH. Jika sakelar tidak menjalankan iOS yang mendukung fitur kriptografis, perintah ini tidak dikenali.
Langkah 2. Konfigurasikan domain IP.
Konfigurasikan nama domain IP jaringan menggunakan perintah mode konfigurasi global ip domain-name domain-name. Pada Gambar 1, nilai nama domain adalah cisco.com.
Langkah 3. Hasilkan pasangan kunci RSA.
Tidak semua versi standar IOS untuk SSH versi 2, dan SSH versi 1 memiliki kelemahan keamanan. Untuk mengkonfigurasi SSH versi 2, jalankan perintah mode konfigurasi global ip ssh versi 2. Membuat pasangan kunci RSA secara otomatis memungkinkan SSH. Gunakan kunci kripto menghasilkan perintah mode konfigurasi global untuk mengaktifkan server SSH pada sakelar dan menghasilkan pasangan kunci RSA. Saat membuat kunci RSA, administrator diminta untuk memasukkan panjang modulus. Konfigurasi sampel pada Gambar 1 menggunakan ukuran modulus 1.024 bit. Panjang modulus yang lebih panjang lebih aman, tetapi membutuhkan waktu lebih lama untuk menghasilkan dan menggunakan.
Catatan: Untuk menghapus pasangan kunci RSA, gunakan perintah crypto key zeroize rsa mode konfigurasi global. Setelah pasangan kunci RSA dihapus, server SSH secara otomatis dinonaktifkan.
Langkah 4. Konfigurasikan otentikasi pengguna.
Server SSH dapat mengautentikasi pengguna secara lokal atau menggunakan server otentikasi. Untuk menggunakan metode autentikasi lokal, buat pasangan nama pengguna dan kata sandi menggunakan perintah mode konfigurasi global kata sandi nama pengguna. Dalam contoh ini, admin pengguna diberikan kata sandi ccna.
Langkah 5. Konfigurasikan baris vty.
Mengaktifkan protokol SSH pada baris vty menggunakan perintah mode konfigurasi input transportasi ssh baris. Catalyst 2960 memiliki jalur vty mulai dari 0 hingga 15. Konfigurasi ini mencegah koneksi non-SSH (seperti Telnet) dan membatasi sakelar untuk hanya menerima koneksi SSH. Gunakan perintah mode konfigurasi global baris vty dan kemudian login perintah mode konfigurasi lokal untuk meminta otentikasi lokal untuk koneksi SSH dari database nama pengguna lokal.
Langkah 6. Aktifkan SSH versi 2.
Secara default, SSH mendukung kedua versi 1 dan 2. Ketika mendukung kedua versi, ini ditampilkan dalam show ip ssh output sebagai mendukung versi 1.99. Versi 1 memiliki kerentanan yang diketahui. Untuk alasan ini, disarankan untuk hanya mengaktifkan versi 2. Aktifkan versi SSH menggunakan perintah konfigurasi global ip ssh versi 2
Memverifikasi SSHPada PC, klien SSH seperti Putty, digunakan untuk terhubung ke server SSH. Untuk contoh pada Gambar 1 hingga 3, berikut ini telah dikonfigurasi:
SSH diaktifkan pada saklar S1
Antarmuka VLAN 99 (SVI) dengan alamat IPv4 172.17.99.11 pada saklar S1
PC1 dengan alamat IPv4 172.17.99.21
Keamanan Pelabuhan: Operasi/security kemamanan
Keamanan Pelabuhan
Semua port switch (antarmuka) harus diamankan sebelum switch digunakan untuk produksi. Salah satu cara untuk mengamankan port adalah dengan mengimplementasikan fitur yang disebut keamanan port. Keamanan port membatasi jumlah alamat MAC yang valid yang diizinkan pada port. Alamat MAC dari perangkat yang sah diizinkan mengakses, sementara alamat MAC lainnya ditolak.
Keamanan port dapat dikonfigurasi untuk mengizinkan satu atau lebih alamat MAC. Jika jumlah alamat MAC yang diizinkan pada port terbatas pada satu, maka hanya perangkat dengan alamat MAC tertentu yang dapat berhasil terhubung ke port tersebut.
Keamanan Port: Mode Pelanggaran/port security
Antarmuka dapat dikonfigurasi untuk salah satu dari tiga mode pelanggaran, menentukan tindakan yang akan diambil jika terjadi pelanggaran. Gambar ini menunjukkan jenis lalu lintas data mana yang diteruskan ketika salah satu mode pelanggaran keamanan berikut ini dikonfigurasi pada port:
Proteksi - Ketika jumlah alamat MAC yang aman mencapai batas yang diizinkan pada port, paket dengan alamat sumber yang tidak dikenal dijatuhkan sampai sejumlah alamat MAC yang aman dihapus, atau jumlah alamat maksimum yang diijinkan bertambah. Tidak ada pemberitahuan bahwa pelanggaran keamanan telah terjadi.
Batasi - Ketika jumlah alamat MAC yang aman mencapai batas yang diizinkan pada port, paket dengan alamat sumber yang tidak dikenal dijatuhkan sampai sejumlah alamat MAC yang aman dihapus, atau jumlah alamat maksimum yang diijinkan bertambah. Dalam mode ini, ada pemberitahuan bahwa pelanggaran keamanan telah terjadi.
Shutdown - Dalam mode (default) ini, pelanggaran keamanan port menyebabkan antarmuka langsung menjadi cacat-kesalahan dan mematikan LED port. Itu menambah konter pelanggaran. Ketika port aman berada dalam kondisi cacat-kesalahan, port itu dapat dibawa keluar dari status ini dengan memasukkan perintah mode konfigurasi antarmuka shutdown diikuti oleh perintah no shutdown.
Keamanan Port: Mengkonfigurasi
Gambar 1 merangkum pengaturan keamanan port default pada switch Cisco Catalyst.
Gambar 2 menunjukkan perintah Cisco IOS CLI yang diperlukan untuk mengkonfigurasi keamanan port pada port Fast Ethernet F0 / 18 pada saklar S1. Perhatikan bahwa contoh tersebut tidak menentukan mode pelanggaran. Dalam contoh ini, mode pelanggaran adalah shutdown (mode default).
Gambar 3 menunjukkan cara mengaktifkan alamat MAC aman lengket untuk keamanan port pada Fast Ethernet port 0/19 dari saklar S1. Seperti yang dinyatakan sebelumnya, jumlah maksimum alamat MAC aman dapat dikonfigurasi secara manual. Dalam contoh ini, sintaks perintah Cisco IOS digunakan untuk mengatur jumlah maksimum alamat MAC menjadi 10 untuk port 0/19. Mode pelanggaran diatur ke shutdown, secara default.
Verifikasi Pengaturan Keamanan Port
Untuk menampilkan pengaturan keamanan port untuk sakelar, atau untuk antarmuka yang ditentukan, gunakan perintah show port-security interface [interface-id]. Output untuk konfigurasi keamanan port dinamis ditunjukkan pada Gambar 1. Secara default, ada satu alamat MAC yang diizinkan pada port ini.
Output yang ditunjukkan pada Gambar 2 menunjukkan nilai untuk pengaturan keamanan port sticky. Jumlah maksimum alamat diatur ke 10, seperti yang dikonfigurasi.
Catatan: Alamat MAC diidentifikasi sebagai MAC yang lengket.
Alamat MAC yang lengket ditambahkan ke tabel alamat MAC dan ke konfigurasi yang sedang berjalan. Seperti yang ditunjukkan pada Gambar 3, MAC lengket untuk PC2 telah ditambahkan ke konfigurasi yang sedang berjalan untuk S1.
Verifikasi Alamat MAC yang Aman
Untuk menampilkan semua alamat MAC aman yang dikonfigurasi pada semua antarmuka sakelar, atau pada antarmuka tertentu dengan masing-masing informasi lanjut usia, gunakan perintah show port-security address. Seperti yang ditunjukkan pada Gambar 4, alamat MAC aman terdaftar bersama dengan tipenya.
Ports in Error Disabled State
Komentar
Posting Komentar