basé sur le port - Catalyst 2950 Configuration du Contrôle de Trafic basé sur le port - Catalyst 2950 ccnp_cch
Sommaire le port - Valider le contrôle de tempête ● Introduction ● Configuration du contrôle de Tempête (Storm) - Valider le contrôle de tempête - Dévalider le contrôle de tempête ● Configuration des ports protégés ● Configuration de la sécurité de port - Définir le nombre maximum d'adresses sécurisées - Valider la sécurité de port - Dévalider la sécurité de port - Configuration et validation de la durée de vie de la sécurité de port ● Affichage des paramètres de contrôle de trafic basés sur le port ccnp_cch
Configuration du contrôle de Tempête (Storm) Introduction Ce document décrit comment configurer la fonctionnalité de contrôle de trafic basé sur le port sur votre commutateur. Ce document contient les sections suivantes: ● Configuration du contrôle de Tempête (Storm) ● Configuration des ports protégés ● Configuration de la sécurité de port ● Configuration et validation de la durée de vie de la sécurité de port ● Affichage des paramètres de contrôle de trafic basés sur le port Configuration du contrôle de Tempête (Storm) Une tempête de paquets (Storm) se produit quand un grand nombre de paquets broad- cast, unicast ou multicast sont reçus sur un port. L'acheminement de ces paquets peut entrainer un ralentissement du réseau ou même un arrêt. Le contrôle de "tempête" est configuré globalement pour le commutateur mais opère sur la base du port. Par défaut le contrôle de "tempête" de paquets est dévalidé. Le contrôle de "tempête" de paquets utilise des seuils haut et bas pour bloquer et res- taurer l'acheminement de paquets broadcast, unicast ou multicast. Vous pouvez éga- lement configuer le commutateur pour qu'il bloque le port quand le seuil haut est at- teint. Le contrôle de "tempête" utilise une méthode basée sur la bande passante pour mesu- rer l'activité du trafic. Les seuils sont exprimés en pourcentage de la bande passante totale disponible qui peut être utilisée pour le trafic broadcast, unicast et multicast. Le seuil haut est le pourcentage de la bande passante totale disponible associée au tra- fic broadcast, unicast et multicast avant que l'acheminement soit bloqué. Le seuil bas est le pourcentage de bande passante totale en dessous duquel le commutateur re- prend l'acheminement des paquets. En général plus le seuil est haut plus basse est la protection contre des tempêtes de broadcast. ccnp_cch
ccnp_cch Valider le contrôle de tempête En débutant en mode EXEC privilégié, suivre ces étapes pour valider le contrôle de "tempête" de paquets. Commande But configure terminal Entrée en mode de configuration global interface interface-id Entrée en mode de configuration interface et entre le numéro de port à configurer. storm-control {broadcast | multicast | unicast} level level [level-low] Configure le contrôle de tempête broadcast, uni- cast et multicast. Spécifie le seuil haut pour le trafic broadcast, unicast et multicast. L'action de contrôle de tem- pête se produit quand le trafic atteint ce seuil. (Optionnel) Spécifie le seuil bas. La transmission normale reprend (si l'action est le filtrage) quand le trafic passe en dessous de ce seuil. storm-control action {shutdown | trap} Spécifie l'action à prendre quand une tempête est détectée. L'action par défaut est d'éliminer le trafic et de ne pas transmettre de traps. Sélectionner le mot-clé shutdown pour bloquer le port pendant une tempête. Sélectionner le mot-clé trap pour générer un trap SNMP quand une tempête est détectée. end Retour en mode EXEC privilégié. show storm-control [interface] [{broadcast| multicast | unicast | history}] Vérifiez votre configuration. copy running-config startup-config (Optionnel) Sauvegarder votre configuration. ccnp_cch
Configuration des ports protégés Dévalider le contrôle de tempête En débutant en mode EXEC privilégié, suivre ces étapes pour dévalider le contrôle de "tempête" de paquets. Commande But configure terminal Entrée en mode de configuration global interface interface-id Entrée en mode de configuration interface et entre le numéro de port à configurer. no storm-control {broadcast | multicast |unicast} level Dévalide le contrôle de tempête. no storm-control action {shutdown | trap} Dévalide l'action de contrôle spécifiée. end Retour en mode EXEC privilégié. show storm-control [interface] [{broadcast| multicast | unicast | history}] Vérifiez votre configuration. copy running-config startup-config (Optionnel) Sauvegarder votre configuration. Configuration des ports protégés Quelques applications requièrent qu'aucun trafic ne soit acheminé par la couche 2 en- tre les ports du même commutateur. Dans un tel environnement, il n'y a pas d'échan- ge de trafic unicast, broadcast et multicast entre les ports du commutateur et le trafic entre ces ports du même commutateur est aiguillé vers un routeur de couche 3. Pour satisfaire cette exigence, vous pouvez configurer les ports du Catalyst 2950 com- me ports protégés (également référencés comme ports d'entrée de VLAN privé). Les ports protégés n'acheminent aucun trafic vers ports protégés du même commutateur. Cela signifie que tout le trafic passant entre les ports protégés - unicast, broadcast, multicast - doit être acheminé au travers d'un équipement de couche 3. Les ports pro- tégés peuvent acheminer tout type de trafic vers des ports non-protégés et ils achemi- nent normalement vers tous les autres ports situés sur d'autres commutateurs. Les adresses apprises dynamiquement ne sont pas sauvegardées si le commutateur est rechargé. Note : Quand des ports SPAN source et destination sont des ports protégés, le trafic est acheminé du port source SPAN vers le port SPAN destination. Par conséquent ne configurez pas des ports SPAN source et destination comme ports protégés. ccnp_cch
Configuration de la sécurité de port En débutant en mode EXEC privilégié, suivre ces étapes pour définir un port comme port protégé. Commande But configure terminal Entrée en mode de configuration global interface interface-id Entrée en mode de configuration interface et entre le numéro de port à configurer. switchport protected Valide l'option port protégé sur le port end Retour en mode EXEC privilégié. show interfaces switchport Vérifiez que l'option port protégé est validée. copy running-config startup-config (Optionnel) Sauvegarder votre configuration. Utilisez la version no de la commande switchport protected en mode de configuration interface pour dévalider l'option de port protégé. Configuration de la sécurité de port Les ports sécurisés restreignent un port à un groupe de stations défini par l'utilisateur. Quand vous affectez des adresses sécurisées à un port sécurisé, le commutateur n'a- cheminera pas les paquets dont l'adresse source n'est pas dans le groupe d'adresses défini. Si vous définissez la table d'adresses d'un port sécurisé pour qu'elle contienne une seule adresse, la station ou le serveur attaché à ce port dispose de la bande pas- sante totale de ce port. Comme partie de la sécurité de port, vous pouvez également définir la taille de la table d'adresses pour le port. Note : La sécurité de port peut être configurée uniquement sur les ports d'accès stati- ques. Les ports sécurisés génèrent des violations d'adresse sécurisée dans ces condi- tions: ● Lorsque table d'adresses d'un port sécurisé est pleine et que l'adresse du paquet entrant n'est pas trouvée dans la table. ● Un paquet entrant a une adresse source affectée comme adresse sécurisée sur un autre port. Limiter le nombre d'équipements qui peuvent se connecter à un port sécurisé a ces avantages: ● Bande passante dédiée - Si la taille de la table d'adresses est fixée à 1, l'équipement attaché a la garantie d'avoir la totalité de la bande passante du port. ● Sécurité supplémentaire - Les équipements inconnus ne peuvent pas se connecter au port. ccnp_cch
Définir le nombre maximum d'adresses sécurisées Ces options valident la sécurité de port ou montrent les violations de sécurité. Interface Port à sécuriser. Security Valide la sécurité de port sur ce port. Trap Génère un trap quand une violation d'adresse sécurisée se produit. Shutdown Port L'interface est mise dans l'état "error-disabled" quand des violations de sécurité se produisent. Note : Quand un port sécurisé est dans l'état "error-disabled", vous pouvez le sortir de cet état en entrant la commande error disable recovery cause psecure-violation en mode de configuration global ou vous pouvez le revalider ma- nuellement en entrant les commandes shutdown et no shutdown en mode de configuration interface. Secure Adresses Nombre d'adresses dans la table d'adresses sécurisées pour ce port. Les ports sécurisés ont au moins une adresse. Max Adresses Nombre d'adresses que la table d'adresses sécurisées de ce port peut contenir. Security Rejects Nombre d'adresses non autorisées vues sur ce port. Définir le nombre maximum d'adresses sécurisées Un port sécurisé peut avoir de 1 à 132 adresses sécurisées associées. Fixer une seule adresse dans la table d'adresses MAC pour le port assure que l'équipement attaché au port dispose de toute la bande passante. Si le nombre maximum d'adresses sécurisées est fixé entre 1 et 132 et qu'un certain nombre d'adresses sécurisées n'ont pas été ajoutées par l'utilisateur, les adresses res- tantes sont apprises dynamiquement et deviennent des adresses sécurisées. Note : Si la liaison d'un port passe hors service, toutes les adresses apprises dynami- quement sont retirées. ccnp_cch
ccnp_cch Valider la sécurité de port En débutant en mode EXEC privilégié, suivre ces étapes pour valider la sécurité de port. Commande But configure terminal Entrée en mode de configuration global interface interface-id Entrée en mode de configuration interface et entre le numéro de port à configurer. switchport port-security Valide la sécurité de port sur l'interface switchport port-security maximum max_addrs Fixe le nombre maximum d'adresses MAC allouées sur cette interface. L'intervalle est 1 à 132; 1 par défaut. switchport port-security violation {shutdown | restrict | protect} Fixe le mode de violation de sécurité pour cette in- terface. La valeur par défaut est shutdown. Pour mode sélectionnez un de ces mots-clés: ● shutdown - L'interface est dans l'état "error-disabled" quand une violation de sécurité se produit. Note : Quand un port sécurisé est dans l'état "error-disabled", vous pouvez le sortir de cet état en entrant la commande error disable recovery cause psecure- violation en mode de configuration global ou vous pouvez le revalider manuellement en entrant les commandes shutdown et no shutdown en mode de configuration interface. ● restrict - Une violation de sécurité génère un trap à destination de la station de gestion du réseau. ● protect - Quand le nombre d'adresses sécuri- sées du port atteint son maximum, tous les pa- quets avec des adresses inconnues sont éliminés. end Retour en mode EXEC privilégié show port security [interface interface-id] [address] Affiche la configuration entrée. copy running-config startup-config (optionnel) Sauvegarde de la configuration courante. ccnp_cch
ccnp_cch Dévalider la sécurité de port En débutant en mode EXEC privilégié, suivre ces étapes pour dévalider la sécurité de port. Commande But configure terminal Entrée en mode de configuration global interface interface-id Entrée en mode de configuration interface et entre le numéro de port à configurer. no switchport port-security Valide la sécurité de port sur l'interface end Retour en mode EXEC privilégié show port security [interface interface-id] [address] Affiche la configuration entrée. copy running-config startup-config (Optionnel) Sauvegarde de la configuration courante. Configurer et valider la durée de vie de la sécurité de port Vous pouvez utiliser la durée de vie de sécurité de port pour fixer la durée de vie de la sécurité de port pour toutes les adresses MAC sécurisées du port. Deux types de durée de vie sont supportés par port : ● Absolu - Les adresses sécurisées sur ce port sont effacées après un temps de durée de vie spécifié. ● Inactivité - Les adresses sécurisées sur ce port sont effacées uniquement si les adresses source sont inactives pendant une durée spécifiée. Utilisez cette fonctionnalité pour retirer et ajouter des PCs sur un port sécurisé sans effacer manuellement les adresses MAC sécurisées existantes tout en limitant le nom- bre d'adresses sécurisées sur un port. Vous pouvez valider ou dévalider la durée de vie des adresses sécurisées configurées statiquement sur la base du port. ccnp_cch
En débutant en mode EXEC privilégié, suivre ces étapes pour configurer la durée de vie de la sécurité de port. Commande But configure terminal Entrée en mode de configuration global interface interface-id Entrée en mode de configuration interface et entre le numéro de port à configurer. switchport port-security aging {static | time time | type {absolute |inactivity}} Fixe le temps de durée de vie, le type et valide ou dévalide la durée de vie statique pour le port sécu- risé. Entrez static pour valider la durée de vie pour les adresses source configurées statiquement sur ce port. Pour time, spécifiez le temps de durée de vie pour ce port. L'intervalle valide va de 0 à 1440 minutes. Si le temps est égal à 0, la durée de vie est dévali- dée sur ce port. Pour type, sélectionnez un de ces mots-clés : ● absolute - Fixe le type de durée de vie à absolu. La durée de vie de toutes les adresses sécuri- sées sur ce port expirera après le temps spécifié et seront retirées de la liste des adresses sécu- risées. ● inactivity - Fixe le type de durée de vie à inacti- vité. La durée de vie de toutes les adresses sé- curisées sur ce port expirera après le temps d'inactivité spécifié (pas de trafic issu des adresses source sécurisées). end Retour en mode EXEC privilégié show port security [interface interface-id] [address] Affiche la configuration entrée. copy running-config startup-config (Optionnel) Sauvegarde de la configuration courante. Pour dévalider la durée de vie de sécurité de port pour toutes les adresses sécurisées sur un port, utilisez la commande no switchport port-security aging time en mode de configuration interface. Pour dévalider la durée de vie pour les adresses configurées de manière statique utilisez la commande no switchport port-security aging static en mode de configuration interface. Cet exemple montre comment fixer le temps de durée de vie à 2 heures pour les adres- ses sécurisées sur l'interface FastEthernet 0/1. Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport port-security aging time 120 ccnp_cch
Cet exemple montre comment fixer le temps de durée de vie à 2 minutes pour l'inacti- vité pour les adresses sécurisées sur l'interface. Switch(config-if)# switchport port-security aging time 2 Switch(config-if)# switchport port-security aging type inactivity Switch(config-if)# switchport port-security aging static Vous pouvez vérifier l'exécution des commandes précédentes en entrant la commande show port-security interface interface-id en mode EXEC privilégié. Affichage des paramètres de contrôle de trafic basés sur le port La commande show interfaces interface-id switchport en mode EXEC privilégié affi- che (parmi d'autres caractéristiques) la configuration du contrôle et de la supervision de trafic. La commande show interfaces counters en mode EXEC privilégié affiche le nombre de paquets éliminés. Les commandes show storm control et show port-secu rity en mode EXEC privilégié affichent ces caractéristiques. Pour afficher l'information de contrôle de trafic, utilisez une ou plusieurs de ces com- mandes en mode EXEC privilégié. Commande But show interfaces [interface-id] switchport Affiche l'état administratif et opérationnel de tous les ports de commutation (non-routés) ou le port spécifié y compris les paramètres de protection de port. show storm-control [interface-id] [broadcast |multicast | unicast] [history] Affiche les niveaux de suppression de contrôle de tem- pête fixés sur toutes les interfaces ou l'interface spé- cifiée pour le type de trafic spécifié ou pour le trafic broadcast si aucun type de trafic n'est spécifié ou pour afficher l'historique du contrôle de tempête. counters broadcast Affiche le compteur d'élimination pour la suppression des broadcast par le contrôle de tempête avec le nom- bre de paquets éliminés pour toutes les interfaces ou l'interface spécifiée. show interfaces [interface-id counters multicast Affiche le compteur d'élimination pour la suppression des multicast par le contrôle de tempête avec le nom- bre de paquets éliminés pour toutes les interfaces ou l'interface spécifiée. counters unicast Affiche le compteur d'élimination pour la suppression des unicast par le contrôle de tempête avec le nombre de paquets éliminés pour toutes les interfaces ou l'in- terface spécifiée. show port-security [interface interface-id] Affiche les paramètres de sécurité de port pour le com- mutateur ou pour l'interface spécifiée, y compris le nombre maximum d'adresses MAC sécurisées par in- terface, le nombre d'adresses MAC source sur l'inter- face, le nombre de violations de sécurité ainsi que le mode. interface-id] address Affiche toutes les adresses MAC sécurisées configurées sur toutes les interfaces du commutateur ou sur une interface spécifiée avec les informations de durée de vie pour chaque adresse. ccnp_cch
Ceci est un exemple de sortie de la commande show interfaces switchport en mode EXEC privilégié. Switch# show interfaces gigabitethernet0/2 switchport Name:Gi0/2 Switchport:Enabled Administrative Mode:dynamic desirable Operational Mode:down Administrative Trunking Encapsulation:dot1q Negotiation of Trunking:On Access Mode VLAN:1 (default) Trunking Native Mode VLAN:1 (default) Trunking VLANs Enabled:ALL Pruning VLANs Enabled:2-1001 Protected:false Voice VLAN:none (Inactive) Appliance trust:none Ceci est un exemple de sortie de la commande show interfaces counters broadcast en mode EXEC privilégié. Switch# show interfaces counters broadcast Port BcastSuppDiscards Fa0/1 0 Fa0/2 0 Fa0/3 0 Fa0/4 0 < sortie tronquée> Ceci est un exemple de sortie de la commande show port-security en mode EXEC privilégié quand vous n'entrez pas d'interface. Switch# show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) ---------------------------------------------------------------------------- Fa0/1 11 11 0 Shutdown Fa0/5 15 5 0 Restrict Fa0/11 5 4 0 Protect Total Addresses in System :21 Max Addresses limit in System :1024 ccnp_cch
Ceci est un exemple de sortie de la commande show port-security interface FastEthernet0/1 en mode EXEC privilégié pour une interface particulière. Switch# show port-security interface fastethernet0/1 Port Security :Enabled Port status :SecureUp Violation mode :Shutdown Maximum MAC Addresses :11 Total MAC Addresses :11 Configured MAC Addresses :3 Aging time :20 mins Aging type :Inactivity SecureStatic address aging :Enabled Security Violation count :0 Ceci est un exemple de sortie de la commande show port-security address en mode EXEC privilégié pour une interface particulière. Switch# show port-security address Secure Mac Address Table ------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 1 0001.0001.0001 SecureDynamic Fa0/1 15 (I) 1 0001.0001.0002 SecureDynamic Fa0/1 15 (I) 1 0001.0001.1111 SecureConfigured Fa0/1 16 (I) 1 0001.0001.1112 SecureConfigured Fa0/1 - 1 0001.0001.1113 SecureConfigured Fa0/1 - 1 0005.0005.0001 SecureConfigured Fa0/5 23 1 0005.0005.0002 SecureConfigured Fa0/5 23 1 0005.0005.0003 SecureConfigured Fa0/5 23 1 0011.0011.0001 SecureConfigured Fa0/11 25 (I) 1 0011.0011.0002 SecureConfigured Fa0/11 25 (I) Total Addresses in System :10 Max Addresses limit in System :1024 ccnp_cch
Ceci est un exemple de sortie de la commande show storm-control quand aucun mot-clé n'a été entré. Comme aucun mot-clé de type de trafic n'a été entré, les para- mètres du contrôle de tempête de broadcast sont affichés. Switch# show storm-control Interface Filter State Trap State Upper Lower Current Traps Sent --------- ------------- ------------- ------- ------- ------- ---------- Fa0/1 inactive inactive 100.00% 100.00% 0.00% 0 Fa0/2 inactive inactive 100.00% 100.00% 0.00% 0 Fa0/3 inactive inactive 100.00% 100.00% 0.00% 0 Fa0/4 inactive inactive 100.00% 100.00% 0.00% 0 Fa0/5 inactive inactive 100.00% 100.00% 0.00% 0 Fa0/6 inactive inactive 100.00% 100.00% 0.00% 0 Fa0/7 inactive inactive 100.00% 100.00% 0.00% 0 Fa0/8 inactive inactive 100.00% 100.00% 0.00% 0 Fa0/9 inactive inactive 100.00% 100.00% 0.00% 0 Fa0/10 inactive inactive 100.00% 100.00% 0.00% 0 Fa0/11 inactive inactive 100.00% 100.00% 0.00% 0 Fa0/12 inactive inactive 100.00% 100.00% 0.00% 0 Gi0/1 inactive inactive 100.00% 100.00% 0.00% 0 Gi0/2 inactive inactive 100.00% 100.00% 0.00% 0 <sortie tronquée> Ceci est un exemple de sortie de la commande show storm-control pour une inter- face particulière. Comme aucun mot-clé de type de trafic n'a été entré, les para- mètres du contrôle de tempête de broadcast sont affichés. Switch# show storm-control fastethernet0/3 Fa0/3 inactive inactive 100.00% 100.00% 0.00% 0 Ceci est un exemple de sortie de la commande show storm-control pour une inter- face particulière et un type de trafic sans seuil de contrôle de tempête fixé pour ce type de trafic ou cette interface particulière. Switch# show storm-control fastethernet0/4 multicast ccnp_cch