GB Võrgulüliti pordi konfiguratsiooni selgitus
Dec 19, 2025|
Gigabit Etherneti pordi konfiguratsioon on 2. kihi võrguhalduse keskmes,{1}}mis juhib kaadrite liikumist kommuteeritud infrastruktuuris, millised seadmed saavad juurdepääsu ja mis juhtub, kui midagi läheb kõrvale. Hüpe kiiruselt 100 Mbit/s gigabitile tõi kaasa tööveidrusi, mis ikka veel inimesi segavad: kohustuslik täis-dupleks kiirusega 1000 Mb/s, nõudlikumad kaablid ja automaatse-läbirääkimiste käitumine, mis alati ei käitu. Selles juhendis tutvustatakse hallatavate lülitite GB-portide konfigureerimise praktilist mehhanismi, pöörates erilist tähelepanu asjadele, mis tootmises tegelikult katkevad.

Miks sadama kiiruse läbirääkimised ebaõnnestuvad (ja mida saate tegelikult teha)
Siin on asi, mida keegi teile alustades ei ütle: automaatne{0}}läbirääkimine Gigabiti portide puhul toimib teisiti kui 10/100 liideste puhul. IEEE 802.3ab spetsifikatsioon nõuab, et 1000BASE-T-ühendused töötaksid ainult täis-dupleksrežiimis. Gigabiti kiirusel pole pool{9}}dupleksi võimalust. Periood.
Nii et kui näete 100 Mbps-i kinni jäänud porti ja mõtlete, mis läks valesti, on tavaliselt süüdi üks kolmest asjast:
Kaabel. Cat5 võib tehniliselt toetada gigabaiti lühikeste jooksudega, kuid olen jälginud, kuidas insenerid raiskavad tõrkeotsingule tunde, enne kui keegi lõpuks Cat5e või Cat6 vastu vahetas. Kõik neli paari tuleb korrektselt lõpetada-mitte ainult kaks, nagu kiire Etherneti kiirusega pääseks.
Ühes otsas sunnitud seadistus. Kui keegi seadistas üleslingi lüliti kiiruseks 100, kui teie port on automaatrežiimis, on teil halb päev. Automaatne-läbirääkimiste pool taandub paralleeltuvastusele ja see mehhanism ei sorteeri parameetreid nõtkelt nii, nagu võiksite loota.
Halvad SFP moodulid. Eriti kiudoptiliste üleslinkide puhul. Kõik transiiverid ei tööta kõigi müüjatega hästi{2}}mõned lülitid valivad tõeliselt, mida nad nendes pesades vastu võtavad.
Liidese konfiguratsiooni sisenemine
Liidese konfigureerimisrežiimi tee on Cisco IOS-is piisavalt lihtne. Alustuseks tippige esmasele viibale luba, seejärel sisestage globaalse konfiguratsioonirežiimi jõudmiseks configure terminal. Sealt liidese GigabitEthernet0/1 määramine viib teid selle konkreetse pordi liidese konfiguratsiooni konteksti.
Kui olete kohal, on kiiruse ja dupleksi seadistamine lihtne. Kiiruse 1000 käsk lukustab pordi gigabitiseks tööks, samas kui duplex full tagab kahesuunalise samaaegse edastuse. Enamik administraatoreid jätab mõlemad parameetrid automaatseks, mis sobib hästi ka lõppkasutajate tööjaamadega -ühendavate juurdepääsuportide jaoks. Kaasaegsed võrgukaardid saavad läbirääkimistega hakkama ilma draamata. Kuid lülititevahelised lingid väärivad rohkem mõtlemist-mõned võrgumeeskonnad kodeerivad need kõvasti, et kõrvaldada katkestuste tõrkeotsingu käigus veel üks muutuja.
Väärib märkimist: kui lukustate kiiruse 1000, keeldub port kõigest aeglasemast. Katkeva NIC-iga sülearvuti kiirus ei lange tagasi 100 Mbps-ni; see lihtsalt ei ühendu üldse. See on aeg-ajalt käitumine, mida soovite. Sageli ei ole.

VLAN-i määramine: juurdepääsu pordid ja magistraalid
Siin muutub konfigureerimine huvitavaks{0}}ja vigu koguneb kõige kiiremini.
Pöördusport kuulub täpselt ühele VLAN-ile. Sissetulevad kaadrid saabuvad märgistamata; lüliti seostab need teie määratud VLAN-iga. Selle saavutamiseks sisestate liidese, väljastades pordi tüübi määramiseks juurdepääsu pordi režiimile ja seejärel määramise tegemiseks switchport juurdepääsu vlan 10 (või mis tahes VLAN-i number kehtib).
Magistraalpordid edastavad liiklust korraga mitme VLAN-i jaoks. Iga kaader saab 802.1Q päise, mis tuvastab, millisesse VLAN-i see kuulub. Erandiks on natiivne VLAN{3}}selle kaadrid läbivad pagasiruumi sildimata. Seadistamine hõlmab switchport mode magistraalide seadistamist, seejärel natiivse VLAN-i määratlemist switchport magistraalvõrgu loomuliku vlan-iga 99 ja lõpuks piiramist, millised VLAN-id linki läbivad, kasutades switchport trunk lubatud vlan-i, millele järgneb teie komadega eraldatud VLAN-i ID-de loend.
See võimaldas VLAN-i spetsifikatsioonil olla rohkem tähtsust, kui inimesed aru saavad. Magistraalvõrgud lubavad vaikimisi kõiki VLAN-e{1}}igaüks neist vahemikus 1 kuni 4094. See on harva see, mida soovite. Kärpige agressiivselt.
Native VLAN-i mittevastavused
Kui lüliti A pagasiruum kasutab natiivset VLAN 1, samas kui lüliti B kasutab natiivset VLAN 99, maanduvad märgistamata kaadrid mõlemal küljel erinevatesse VLAN-idesse. Ulatuspuude arvutused lähevad segadusse. Seadmed kaotavad ühenduvuse viisil, mis tundub peaaegu juhuslik.
CDP saab selle kinni ja logib hoiatuse, kuid peate logisid tegelikult vaatama. Ja CDP peab olema lubatud, mida mõned turvapoliitikad keelavad. Seega jääb ebakõla sinnapaika, põhjustades vahelduvaid veidrusi, kuni keegi lõpuks mõtleb konfiguratsioone võrrelda.
Sadama turvalisuse alused
Pordi turvalisus piirab, millised MAC-aadressid võivad liidese kaudu liiklust saata. Klassikaline stsenaarium: takistatakse kellelgi määratud töölaua lahtiühendamist ja selle asemel isikliku seadme ühendamist.
Seadistamine algab funktsiooni lubamisega liidese switchporti pordi{0}}turvalisuse kaudu. Seejärel määrate, mitu MAC-aadressi peaks port taluma-lülituspordi pordi-turvalisus, maksimaalne 2 lubab kahte seadet. Rikkumise vastus täpsustatakse järgmisena; switchport port-turvarikkumise sulgemine käsib lülitil pordi täielikult keelata, kui ilmuvad volitamata MAC-id. Lõpuks annab switchport port-security mac-address sticky käsu lülitil dünaamiliselt aadresse õppida ja need töötavasse konfiguratsiooni kirjutada.
Kleepuv valik on tõeliselt mugav. Lüliti õpib MAC-aadresse dünaamiliselt ja kirjutab need jooksvasse konfiguratsiooni. Pärast salvestamist säilivad need aadressid taaskäivitamise ajal ilma käsitsi sisestamata.
Rikkumisrežiimid määravad, mis juhtub, kui ilmub volitamata MAC:
Väljalülitamine paneb pordi err{0}}keelatud olekusse. Liiklus seiskub täielikult. Keegi peab selle käsitsi taastama või vajate EEM-i skripti, mis käsitleb automaatset taastamist.
Piiramine vähendab liiklust rikkuvast MAC-ist, kuid hoiab pordi töökorras. Sündmuse salvestab syslogi teade. Seade jätkab töötamist.
Protect töötab nagu piiramine, kuid logi ei genereeri. Vaikne ebaõnnestumine. Ma ei ole fänn-te ei saa teada, et midagi juhtus enne, kui keegi kaebab.
Korduv peavalu: IP-telefonid, mille taga on arvutid{0}}aheldatud. See on kaks MAC-aadressi ühe pordi kaudu. Kui olete määranud maksimumi 1-le, lülitub port välja hetkel, kui arvuti saadab kaadri. Nende piirangute määramisel võtke arvesse VLAN-i hääle stsenaariume.

Dupleksi ebakõlad: vaikse jõudluse tapja
Täi Nad halvendavad seda järk-järgult. Paketid põrkuvad, kui nad ei peaks. Hiliste kokkupõrgete loendurid tõusevad. Kordusedastused kogunevad. Kasutajad teatavad, et "võrk on aeglane", kuid ping töötab hästi ja midagi ilmselget ei paista olevat katki.
Kontrollige liidese loendureid, kasutades käsku show interface, millele järgneb konkreetne pordi identifikaator. Otsige hilinenud kokkupõrkeid, sisestusvigu, CRC vigu, jookse. Tervislik gigabitine port, mis töötab täis-dupleksiga, näitab nendel väljadel nulle. Kõik muu vajab uurimist.
Tüüpiline mittevastavuse stsenaarium: üks külg on kõvakodeeritud täis-dupleksseks, teine pool jäetakse automaatseks. Automaatne pool ei saa dupleksrežiimi õigesti määrata, kuna kaugots ei osale läbirääkimistel. See vaikimisi on pool-dupleks turvalisuse tagavaraks. Nüüd on teil nii, et üks pool edastab ja võtab vastu samaaegselt, samal ajal kui teine pool arvab, et peab enne saatmist ootama vaikust. Kokkupõrkeid juhtub pidevalt.
Parandus on lihtne: sobitage sätted mõlemas otsas. Mõlemad on automaatsed või mõlemad on otseselt konfigureeritud samadele väärtustele.
Saate tormijuhtimine
Saatetorm teeb võrgu täiesti lamedaks. Üks valesti konfigureeritud seade või lülitusahel, mille ulatuspuu on keelatud, ujutab kanga üle edastusliiklusega. Iga lüliti kordab seda. Iga port saadab selle edasi. Protsessori kasutuse hüpped kogu infrastruktuuris.
Tormijuhtimine tagab gaasi reguleerimise. Liidese konfiguratsioonirežiimis saate määrata tormi-kontrolli edastuse taseme, millele järgneb protsent-näiteks 20,00-, et piirata edastusliiklust sellel lävel. Sarnased käsud on olemas multisaadete ja unicast-liikluse jaoks. Tormikontrolli tegevuse väljalülitamise käskkiri käsib lülitil pordi keelata, kui läved on ületatud; alternatiivselt genereerib trap SNMP-teate, hoides samal ajal pordi elus.
Tase tähistab protsenti pordi ribalaiusest. Kui edastusliiklus ületab 20% gigabitisest lingist-see on 200 Mbit/s-edastust, tegutseb port. Väljalülitamine on agressiivne, kuid tõhus.
Ma ei konfigureeri tormikontrolli igas pordis. See lisab töö keerukust. Kuid juurdepääsukihtide jaoks ettearvamatutes keskkondades-tootmiskorrused, ülikoolide elamud, konverentsiruumid- on end tõestanud rohkem kui üks kord.
PortFast ja BPDU Guard
Ulatuspuu võtab 30–50 sekundit pordi üleminek blokeerimiselt edastamisele. See viivitus kaitseb silmuste eest lülitus-to-lülitusühendustes, kus topoloogia muutused on olulised. Lõppkasutaja-portide puhul, kus keegi soovib lihtsalt ühendada ja saada IP-aadressi, on see masendav.
PortFast möödub kuulamis- ja õppimisolekutest. Lubate selle liideses spanning-tree portfastiga ja port alustab edastamist kohe pärast lingi loomist.
Risk: kui keegi ühendab sellesse porti haldamata lüliti, olete potentsiaalselt loonud ahela. PortFast ei keela hõlmavat puud-port töötleb endiselt BPDU-sid. Kuid see suunab liiklust ootamise asemel kohe edasi.
BPDU Guard lisab kaitset. Selle lubamine liideses spanning-tree bpduguard enable abil tähendab, et iga vastuvõetud BPDU käivitab kohese vea-deaktiveerimise. Kui sellesse porti saabub BPDU, on midagi valesti-seal ei tohiks olla teist lülitit. Saate hoiatuse, kuid võrk jääb puutumata.
Globaalsed vaikeseaded rakendavad neid funktsioone automaatselt kõigis juurdepääsuportides. Globaalses konfiguratsioonirežiimis lubab spanning-tree portfast vaikimisi PortFast universaalselt, samas kui spanning-tree portfast bpduguard default aktiveerib BPDU Guard nendel samadel portidel. Magistraalpordid on nendest vaikeseadetest välja jäetud. See on ettevõtte juurdepääsukihtide jaoks mõistlik lähtepunkt.

EtherChannel: linkide koondamine
Kui üks gigabitine ühendus ei paku lülitite vahel piisavalt ribalaiust, koondab EtherChannel mitu füüsilist porti üheks loogiliseks liideseks. Kaks, neli või kaheksa porti koondatakse kokku, mis kuvatakse ühe lingina ulatuva puu arvutuste juurde.
LACP haldab läbirääkimisi 802.3ad standardi abil. Valite füüsilised liidesed, -kasutades liidesevahemikku GigabitEthernet0/1 - 4, et konfigureerida korraga mitu porti,-ja määrate need kanalirühmale, mille kanali-rühma 1 režiim on aktiivne. Pärast vahemiku seadistamisest väljumist konfigureerite loogilise liidese enda, sisestades liidese Port-channel1 ja rakendades soovitud sätteid, tavaliselt pordi režiimi magistraal{11}}vaheliste linkide jaoks.
Kaugots vajab sobivat konfiguratsiooni. Aktiivsed-aktiivsed tööd. Aktiivsed-passiivsed teosed. Passiivne-passiivne ei-oota igavesti, et teine pool algataks.
Liikluse jaotus liikmete linkide vahel kasutab räsialgoritmi, mis põhineb tavaliselt allika{0}}sihtkoha MAC- või IP-aadressil. Üksikud vood läbivad endiselt üksikuid füüsilisi linke; lüliti ei jaga TCP-seansse mitme tee vahel. Suur failiedastus kahe serveri vahel kasutab ühte liikmelinki, olenemata sellest, kui palju olete komplekteerinud.
Voice VLAN konfiguratsioon
IP-telefonid lisavad keerukust. Telefon vajab QoS-i töötlemiseks paigutamist hääl-VLAN-i, samas kui selle läbipääsupordi kaudu ühendatud arvuti peaks maanduma andmeside VLAN-i. Mõlemad seadmed jagavad ühte füüsilist lülitiporti.
Konfigureerimine hõlmab pordi seadistamist pääsupordiks lülituspordi režiimi juurdepääsuga, andme-VLAN-i määramist kommutatsioonipordi juurdepääsu vlan-i 10 kaudu ja seejärel hääl-VLAN-i eraldi määramist, kasutades kommutatsioonipordi kõne vlan-i 50. Telefon saab VLAN-i määrangu CDP või LLDP-MED kaudu ja märgistab selle liikluse vastavalt. Arvuti saadab märgistamata kaadreid, mis maanduvad andmete VLAN-i. Kõik toimib ühe kaabli kaudu.
See tähendab kahte MAC-aadressi ühes pordis. Pordi turvaseaded peavad hõlmama mõlemat, vastasel juhul kulutate aega err-keelatud liideste taastamiseks iga kord, kui rajatised töölauda teisaldavad.
Automaatne-MDIX
Ristkaablid ja sirged{0}}kaablid olid varem olulised. Ühendage lüliti, et lülituda sirge-kaabliga vanematel seadmetel ja link ei ilmunud-vajasite ristlülitit.
Kaasaegsed automaatse{0}}MDIX-iga Gigabit Etherneti liidesed tuvastavad vajaliku juhtmestiku ja kompenseerivad seda sisemiselt. Seda funktsiooni juhitakse liidese konfiguratsioonirežiimis mdix auto kaudu ja see on enamikus praeguses Cisco riistvaras vaikimisi lubatud. Mõnel pärandvarustusel ja teatud mitte--Cisco seadmetel puudub see funktsioon. Kui link keeldub loomisest ja olete välistanud kaabli kahjustuse, proovige enne pordi rikke eeldamist vahetada ristmiku vastu.
Kasulikud kinnituskäsud
Käsud, mida ma pidevalt käivitan:
Käsk näita liideste olekut annab kiire ülevaate-ühendatud versus mitteühendatud, VLAN-i määramisest, kiirusest, kahepoolsest kõigist portidest ühes vaates.
Näituse liideste käivitamine, millele järgneb konkreetne pordi identifikaator, annab üksikasjalikud loendurid: sisend-/väljundpaketid, vead, järjekorra langus, viimane tühjendusaeg.
Käsk show mac address{0}}table interface, millele järgneb port, näitab, millised MAC-aadressid on sellel liidesel õpitud.
Kattepuu oleku korral kuvab spanning{0}}puu liides pordi STP rolli ja tee maksumust.
Show interfaces trunk käsk loetleb kõik aktiivsed magistraalvõrgud koos nende lubatud ja aktiivsete VLAN-idega.
Pordi turvalisuse olek pärineb näitamise pordi{0}}turvaliidest, mis teatab rikkumiste arvust ja hetkel õpitud aadressidest.
Filtreerimiseks saate väljundi toru kaudu lisada. Olekukäsu käivitamine toruga ühendatud kaasamiseks kuvab ainult aktiivsete linkidega pordid. Salvestab keelatud liideste lehtede kerimise.
Keelatud pordide taastamine-
Port näitab veateadet -keelatud. Enne selle põrgatamist mõistke, miks. Käsk näita liideste olekut näitab hetkeolekut, samas kui tõrketaaste näitamine näitab, millised taastemehhanismid on konfigureeritud ja nende taimerid.
Levinud käivitajad hõlmavad pordi turvalisuse rikkumisi, BPDU valve aktiveerimist, liigset lingi libisemist ja UDLD-tõrkeid, mis tuvastavad ühesuunalisi kiuprobleeme.
Automaatne taastamine on konfigureeritav globaalses konfiguratsioonirežiimis. Veatava taastamise põhjus kõik käsk lubab automaatse taastamise kõigi päästikutüüpide jaoks, samas kui vigase taastamise intervall 300 seab korduskatse taimeri 300 sekundi peale.
Ilma automaatse taastamiseta on vaja käsitsi sekkumist. Sisestage liidese konfiguratsiooni kontekst, käivitage pordi administratiivseks keelamiseks väljalülitamine, seejärel ärge sulgege seda, et see uuesti üles tuua.
Pimesi uuesti{0}}lubamine ilma uurimiseta garanteerib, et teete seda varsti uuesti. Kui BPDU valvur käivitus, ühendas keegi lüliti. Kui sadama turvalisus käivitus, ilmus volitamata seade. Algpõhjus vajab käsitlemist.
Lõppvaatlused
GB pordi konfiguratsioon ei ole kontseptuaalselt keeruline, kuid üksikasjad kogunevad. VLAN-i määramata jätmine, vale magistraalseade, pordi turvapiirang, mis ei võta arvesse IP-telefoni{1}}väikesi möödalaskmisi, põhjustavad märkimisväärseid katkestusi.
Dokumenteerige oma konfiguratsioonid. Märgistage füüsilised pordid selgelt. Looge tavaliste stsenaariumide jaoks malle ja rakendage neid järjepidevalt.
Võimalusel katsetage muudatusi hooldusakende ajal. See on ilmselge nõuanne. See on ka nõuanne, mida olen juhuslikul teisipäeval kell 15.00 ignoreerinud ja mille tulemused on täiesti prognoositavad.


