MailFlash@fb-link8.com
Phone+8613631442493
ilבחר
הבית / פתרונות / תוכן

הסבר על תצורת יציאת מתג רשת

Dec 19, 2025|

תוֹכֶן
  1. מדוע המשא ומתן על מהירות הנמל נכשל (ומה אתה יכול לעשות בפועל)
  2. כניסה לתצורת ממשק
  3. הקצאת VLAN: יציאות גישה וטראנקים
    1. אי-התאמות VLAN מקוריות
  4. יסודות אבטחת הנמל
  5. Duplex Mismatches: The Quiet Performance Killer
  6. בקרת סערות שידור
  7. PortFast ו-BPDU Guard
  8. EtherChannel: קישורים מצטברים
  9. תצורת VLAN קולית
  10. אוטומטי-MDIX
  11. פקודות אימות שימושיות
  12. משחזר שגיאה-יציאות מושבתות
  13. תצפיות סיום

 

תצורת יציאת Gigabit Ethernet יושבת בלב ניהול הרשת של Layer 2-המגדירה את האופן שבו מסגרות עוברות בתשתית מיתוג, לאילו מכשירים מקבלים גישה ומה קורה כשמשהו הולך הצידה. הקפיצה מ-100 Mbps לגיגה-ביט הביאה מוזרויות תפעוליות שעדיין מעוררות אנשים: דופלקס מלא-חובה במהירות 1000 Mbps, דרישות כבלים בררניות יותר והתנהגויות משא ומתן אוטומטיות- שלא תמיד מתנהגות. מדריך זה עובר על המכניקה המעשית של הגדרת יציאות GB במתגים מנוהלים, תוך תשומת לב מיוחדת לדברים שבפועל נשברים בייצור.

info-456-283

 

מדוע המשא ומתן על מהירות הנמל נכשל (ומה אתה יכול לעשות בפועל)

 

הנה הדבר שאף אחד לא אומר לך כשאתה מתחיל: משא ומתן אוטומטי-על יציאות Gigabit עובד אחרת מאשר בממשקי 10/100. מפרט IEEE 802.3ab דורש שחיבורי 1000BASE-T יפעלו אך ורק במצב דופלקס מלא-. אין אפשרות חצי-דופלקס במהירויות גיגה-ביט. תְקוּפָה.

אז כשאתה רואה יציאה תקועה במהירות 100 Mbps ותוהה מה השתבש, האשם הוא בדרך כלל אחד משלושה דברים:

הכבל. Cat5 עשוי לתמוך טכנית בג'יגה-ביט בריצות קצרות, אבל ראיתי מהנדסים מבזבזים שעות בפתרון בעיות לפני שמישהו החליף סוף סוף ב-Cat5e או Cat6. יש לסיים את כל ארבעת הזוגות בצורה נכונה-לא רק שניים כמו שאתה יכול לברוח איתם במהירויות Ethernet מהירות.

הגדרה מאולצת בקצה אחד. אם מישהו הגדיר את המהירות ל-100 במתג ה-uplink בזמן שהיציאה שלך נמצאת במצב אוטומטי, יהיה לך יום רע. צד המשא ומתן האוטומטי- נופל בחזרה לזיהוי מקביל, והמנגנון הזה לא מסדר בחן את הפרמטרים כפי שאתה מקווה.

מודולי SFP גרועים. במיוחד עם קישורי סיבים מעלה. לא כל מקלטי המשדר משחקים טוב עם כל הספקים-חלק מהמתגים נהיים בררנים באמת לגבי מה שהם יקבלו במשבצות האלה.

 

כניסה לתצורת ממשק

 

הנתיב למצב תצורת הממשק פשוט מספיק ב-Cisco IOS. אתה מתחיל בהקלדת enable בהנחיה הראשונית, ואז נכנס ל-configuration terminal כדי להגיע למצב תצורה גלובלי. משם, ציון הממשק GigabitEthernet0/1 מכניס אותך להקשר של תצורת הממשק עבור אותה יציאה ספציפית.

ברגע שאתה שם, הגדרת המהירות והדופלקס היא פשוטה. הפקודה מהירות 1000 נועלת את היציאה לפעולת ג'יגה-ביט, בעוד דופלקס מלא מבטיח שידור דו-כיווני בו-זמני. רוב המנהלים משאירים את שני הפרמטרים במצב אוטומטי, מה שעובד מצוין עבור יציאות גישה המתחברות לתחנות עבודה של משתמשי קצה-. NICs מודרניים מטפלים במשא ומתן ללא דרמה. אבל קישורים בין-החלפת קישורים ראויים ליותר מחשבה-כמה צוותי רשת מקודדים אלה כדי לחסל משתנה אחד נוסף במהלך פתרון בעיות הפסקות.

ראוי לציין: ברגע שאתה נועל מהירות 1000, היציאה מסרבת לכל דבר איטי יותר. מחשב נייד עם NIC מתקלף לא יחזור ל-100 Mbps; זה פשוט לא יתחבר בכלל. מדי פעם זו ההתנהגות שאתה רוצה. לעתים קרובות זה לא.

 

info-465-200

 

הקצאת VLAN: יציאות גישה וטראנקים

 

זה המקום שבו התצורה נעשית מעניינת-ושם הטעויות מצטברות הכי מהר.

יציאת גישה שייכת בדיוק ל-VLAN אחד. מסגרות נכנסות מגיעות ללא תיוג; המתג משייך אותם לכל VLAN שציינת. אתה משיג זאת על ידי כניסה לממשק, הנפקת גישה למצב switchport כדי להגדיר את סוג היציאה, ואז גישה ל- Switchport vlan 10 (או כל מספר VLAN שחל) כדי לבצע את ההקצאה.

יציאות טראנק נושאות תעבורה עבור מספר רשתות VLAN בו-זמנית. כל מסגרת מקבלת כותרת 802.1Q המזהה לאיזה VLAN היא שייכת. היוצא מן הכלל הוא ה-VLAN המקורי-המסגרות שלו חוצות את הגזע ללא תיוג. התצורה כוללת הגדרת trunk של מצב switchport, לאחר מכן הגדרת ה-VLAN המקורי עם switchport trunk native vlan 99, ולבסוף הגבלת אילו רשתות VLAN חוצות את הקישור באמצעות vlan המותרת של switchport trunk ואחריה רשימה מופרדת בפסיקים של מזהי VLAN.

זה איפשר מפרט VLAN חשוב יותר ממה שאנשים מבינים. Trunks מאפשרים את כל ה-VLAN כברירת מחדל-כל אחד מ-1 עד 4094. זה מה שאתה רוצה לעתים רחוקות. לגזום באגרסיביות.

 

אי-התאמות VLAN מקוריות

כאשר המטען של מתג A משתמש ב-VLAN מקורי 1 בעוד שמתג B משתמש ב-VLAN 99 מקורי, מסגרות לא מתויגות נוחתות ב-VLAN שונים בכל צד. חישובי עצים משתרעים מתבלבלים. מכשירים מאבדים קישוריות בדרכים שנראות כמעט אקראיות.

CDP תופס את זה ומתעד אזהרה, אבל אתה צריך באמת להסתכל על היומנים. וצריך להפעיל את CDP, מה שחלק ממדיניות האבטחה אוסרת. אז חוסר ההתאמה יושב שם, גורם למוזרות לסירוגין, עד שמישהו סוף סוף חושב להשוות תצורות.

 

יסודות אבטחת הנמל

 

אבטחת יציאה מגבילה אילו כתובות MAC יכולות לשלוח תעבורה דרך ממשק. התרחיש הקלאסי: למנוע ממישהו לנתק את שולחן העבודה שהוקצה לו ולחבר במקום מכשיר אישי.

ההגדרה מתחילה בהפעלת התכונה באמצעות אבטחת יציאת switchport- בממשק. לאחר מכן אתה מגדיר כמה כתובות MAC היציאה צריכה לסבול-יציאת switchport-אבטחה מקסימלית 2 מאפשרת שני התקנים. תגובת ההפרה תצוין בשלב הבא; כיבוי של הפרת אבטחה של יציאת switchport- אומר למתג להשבית את היציאה לחלוטין כאשר מופיעים MAC לא מורשים. לבסוף, switchport port-security mac-address sticky מורה למתג ללמוד באופן דינמי כתובות ולכתוב אותן בתצורה הפועלת.

האפשרות הדביקה שימושית באמת. המתג לומד כתובות MAC באופן דינמי וכותב אותן לתצורה הפועלת. לאחר השמירה, כתובות אלו שורדות אתחולים מחדש ללא הזנה ידנית.

מצבי הפרה קובעים מה קורה כאשר מופיע MAC לא מורשה:

כיבוי מעביר את היציאה למצב-מושבת. התנועה נעצרת לחלוטין. מישהו צריך לשחזר אותו באופן ידני, או שאתה צריך סקריפט EEM המטפל בשחזור אוטומטי.

הגבל הורדת תעבורה מה-MAC הפוגע אך שומר על הנמל פעיל. הודעת syslog מתעדת את האירוע. המכשיר הלגיטימי ממשיך לעבוד.

Protect עובד כמו restrict אבל לא מייצר יומן. כישלון שקט. אני לא מעריץ-אתה לא תדע שמשהו קרה עד שמישהו יתלונן.

כאב ראש חוזר: טלפונים IP עם מחשבים דייזי-משורשרים מאחוריהם. זה שתי כתובות MAC דרך יציאה אחת. אם הגדרת את המקסימום ל-1, היציאה נכבת ברגע שהמחשב שולח מסגרת. התחשב בתרחישי VLAN קולי בעת הגדרת מגבלות אלה.

 

info-382-264

 

Duplex Mismatches: The Quiet Performance Killer

 

תצורות שגויות של דופלקס מלא-מול חצי-דופלקס אינן מנתקות את הקישוריות באופן מוחלט. הם משפילים את זה בהדרגה. מנות מתנגשות כשהן לא אמורות. מדדי התנגשות מאוחרים מטפסים. שידורים חוזרים מצטברים. משתמשים מדווחים ש"הרשת איטית", אבל הפינג עובד מצוין ושום דבר ברור לא נראה שבור.

בדוק את מוני הממשק באמצעות הפקודה show interface ואחריה מזהה היציאה הספציפי. חפש התנגשויות מאוחרות, שגיאות קלט, שגיאות CRC, ריצות. יציאת גיגה-ביט בריאה הפועלת דופלקס מלא- מציג אפסים בשדות אלה. כל דבר אחר מצריך בדיקה.

תרחיש אי ההתאמה הטיפוסי: צד אחד מקודד לדופלקס מלא-, הצד השני נותר במצב אוטומטי. הצד האוטומטי לא יכול לקבוע כראוי מצב דופלקס מכיוון שהקצה המרוחק אינו משתתף במשא ומתן. ברירת המחדל היא חצי-דו-צדדיות כפתרון בטיחותי. עכשיו יש לך צד אחד משדר ומקבל בו זמנית בעוד הצד השני חושב שהוא צריך לחכות לשקט לפני השליחה. התנגשויות קורות ללא הרף.

התיקון הוא פשוט: התאם הגדרות בשני הקצוות. או שניהם אוטומטיים, או שניהם מוגדרים במפורש לאותם ערכים.

 

בקרת סערות שידור

 

סערת שידור תשטוח רשת לחלוטין. מכשיר אחד שתצורה שגויה או לולאת מיתוג עם עץ פורש מושבת מציפים את הבד בתעבורת שידור. כל מתג משכפל אותו. כל נמל מעביר אותו. ניצול המעבד עולה על פני כל התשתית.

בקרת סערה מספקת מצערת. בתוך מצב תצורת הממשק, אתה מציין את רמת השידור של-סערה ואחריה אחוז-נניח 20.00-כדי להגביל את תנועת השידור בסף הזה. פקודות דומות קיימות עבור תעבורת מרובה שידור ותנועה חד-שידורית. הנחיית כיבוי פעולת בקרת סערה אומרת למתג להשבית את היציאה כאשר חורגים מהסף; לחלופין, trap יוצר התראת SNMP תוך שמירה על הנמל בחיים.

הרמה מייצגת אחוז מרוחב הפס של היציאה. כאשר תעבורת השידור עולה על 20% מקישור גיגה-ביט-זהו 200 Mbps של שידור-היציאה נוקטת פעולה. כיבוי הוא אגרסיבי אך יעיל.

אני לא מגדיר בקרת סערה בכל יציאה בודדת. זה מוסיף מורכבות תפעולית. אבל עבור שכבות גישה בסביבות בלתי צפויות-מרצפות ייצור, בתי מגורים של אוניברסיטאות, חדרי ישיבות-זה הוכח יותר מפעם אחת.

 

PortFast ו-BPDU Guard

 

עץ משתרע לוקח 30 עד 50 שניות במעבר של יציאה מחסימה להעברה. השהיה הזה מגן מפני לולאות במתג-כדי-להחליף חיבורים שבהם יש חשיבות לשינויים בטופולוגיה. עבור יציאות משתמש קצה- שבהן מישהו רק רוצה להתחבר ולקבל כתובת IP, זה מתסכל.

PortFast עוקף את מצבי ההאזנה והלמידה. אתה מפעיל אותו בממשק עם פורש-tree portfast, והיציאה מתחילה להעביר מיד עם יצירת הקישור.

הסיכון: אם מישהו מחבר מתג לא מנוהל ליציאה הזו, ייתכן שיצרת לולאה. PortFast לא משבית את עץ מתחם-היציאה עדיין מעבדת BPDUs. אבל זה מעביר את התנועה מיד במקום לחכות.

BPDU Guard מוסיף הגנה. הפעלתו באמצעות הפעלת-tree bpduguard בממשק פירושה שכל BPDU שהתקבל מפעיל שגיאה מיידית-השבתה. אם BPDU מגיע ליציאה הזו, משהו לא בסדר-לא אמור להיות מתג נוסף שם. תקבל התראה, אבל הרשת נשארת שלמה.

ברירות מחדל גלובליות מיישמות תכונות אלה על כל יציאות הגישה באופן אוטומטי. במצב תצורה גלובלי, מתח-tree portfast ברירת המחדל מאפשרת PortFast באופן אוניברסלי, בעוד ש-spanning-tree portfast bpduguard ברירת המחדל מפעילה את BPDU Guard באותן יציאות. יציאות מטען אינן נכללות בברירות המחדל הללו. זהו קו בסיס סביר לשכבות גישה ארגוניות.

 

info-444-279

 

 

כאשר חיבור גיגה-ביט בודד אינו מספק מספיק רוחב פס בין מתגים, EtherChannel מאגד מספר יציאות פיזיות לממשק לוגי אחד. שתיים, ארבע או שמונה יציאות מצטברות יחד, ומופיעות כקישור יחיד לחישובי עצים מתפרשים.

LACP מטפל במשא ומתן באמצעות תקן 802.3ad. אתה בוחר את הממשקים הפיזיים-באמצעות טווח הממשק GigabitEthernet0/1 - 4 כדי להגדיר מספר יציאות בו-זמנית-ואז מקצה אותם לקבוצת ערוצים עם מצב ערוץ-קבוצה 1 פעיל. לאחר יציאה מתצורת הטווח, אתה מגדיר את הממשק הלוגי עצמו על ידי כניסה לממשק Port-channel1 והחלת ההגדרות הרצויות שלך, בדרך כלל טראנק של מצב switchport עבור קישורים בין-מתגים.

הקצה המרוחק זקוק לתצורה תואמת. פעילות-פעילה פועלת. פעיל-פסיבי עובד. פסיבי-פסיבי לא-שני הצדדים מחכים לנצח עד שהשני יתחיל.

חלוקת התנועה בין קישורי חברים משתמשת באלגוריתם גיבוב, המבוסס בדרך כלל על כתובות ה-MAC או ה-IP של יעד המקור-. זרימות בודדות עדיין חוצות קישורים פיזיים בודדים; המתג אינו מפצל הפעלות TCP על פני מספר נתיבים. העברת קבצים גדולה בין שני שרתים משתמשת בקישור חבר אחד, ללא קשר לכמה שצירפת.

 

תצורת VLAN קולית

 

טלפונים IP מוסיפים מורכבות. הטלפון צריך מיקום ב-VLAN קולי לטיפול ב-QoS, בעוד שהמחשב המחובר דרך יציאת המעבר שלו אמור לנחות ב-VLAN הנתונים. שני המכשירים חולקים יציאת מתג פיזית אחת.

התצורה כוללת הגדרת היציאה כיציאת גישה עם גישה למצב switchport, הקצאת הנתונים VLAN דרך switchport access vlan 10, ולאחר מכן ציון ה-VLAN הקול בנפרד באמצעות switchport voice vlan 50. הטלפון מקבל את הקצאת ה-VLAN שלו דרך CDP או LLDP-MED ומתייגים את התעבורה שלו בהתאם. המחשב האישי שולח פריימים לא מתויגים שנוחתים ב-VLAN הנתונים. הכל עובד באמצעות כבל אחד.

המשמעות היא שתי כתובות MAC ביציאה אחת. הגדרות האבטחה של הנמל חייבות להתאים לשניהם, אחרת תבזבז זמן על שחזור ממשקים-מושבתים בכל פעם שמתקנים מזיזים שולחן.

 

אוטומטי-MDIX

 

כבלים מוצלבים לעומת ישרים-דרך פעם היו חשובים. חבר מתג למתג עם כבל ישר-דרך בציוד ישן יותר והקישור לא עלה-היית צריך מוצלב.

ממשקי Gigabit Ethernet מודרניים עם אוטומטי-MDIX מזהים את החיווט הנדרש ומפצים באופן פנימי. התכונה נשלטת באמצעות mdix auto במצב תצורת ממשק, והיא מופעלת כברירת מחדל ברוב החומרה העדכנית של Cisco. חלק מהציוד הישן וציוד מסוים שאינו-ב-Cisco חסר את התכונה. אם קישור מסרב להתבסס ואתה שללת נזק לכבלים, נסה להחליף להצלבה לפני שתניח כשל ביציאה.

 

פקודות אימות שימושיות

 

פקודות שאני מריץ כל הזמן:

פקודת הצג סטטוס ממשקים מספקת סקירה מהירה-מחוברים לעומת לא מחוברים, הקצאת VLAN, מהירות, דופלקס בכל היציאות בתצוגה אחת.

הפעלת ממשקי מופעים ואחריהם מזהה יציאה ספציפי מספקת מונים מפורטים: מנות קלט/פלט, שגיאות, ירידת תור, זמן ניקוי אחרון.

הפקודה show mac address-table interface ואחריה היציאה חושפת אילו כתובות MAC נלמדו בממשק זה.

עבור מצב עץ פורש, ממשק הצג פורש-עץ מציג את תפקיד ה-STP ואת עלות הנתיב של היציאה.

פקודת ה-show interfaces trunk מפרטת את כל הטראנקים הפעילים עם ה-VLAN המותרים והפעילים שלהם.

סטטוס אבטחת היציאה מגיע מממשק האבטחה של show port-, המדווח על ספירות של הפרות וכתובות שנלמדו כעת.

אתה יכול צינור פלט דרך include עבור סינון. הפעלת פקודת המצב עם צינור שיכלול מחוברים מציגה רק יציאות עם קישורים פעילים. חוסך גלילה בדפים של ממשקים מושבתים.

 

משחזר שגיאה-יציאות מושבתות

 

יציאה מציגה שגיאה-מושבתת. לפני שמקפיצים אותו, הבינו למה. פקודת הסטטוס של הצג ממשקים חושפת את המצב הנוכחי, בעוד ש-show errdisable recovery מציגה אילו מנגנוני שחזור מוגדרים והטיימרים שלהם.

טריגרים נפוצים כוללים הפרות אבטחה של יציאות, הפעלת BPDU Guard, תנופת קישור מופרזת וכשלי UDLD שמזהים בעיות סיבים חד-כיווניים.

שחזור אוטומטי ניתן להגדרה במצב תצורה גלובלית. פקודת שחזור שגיאה גורם לכל מאפשרת שחזור אוטומטי עבור כל סוגי הטריגרים, בעוד מרווח שחזור שגיאה 300 מגדיר את טיימר הניסיון החוזר ל-300 שניות.

ללא תצורת שחזור אוטומטי, נדרשת התערבות ידנית. הזן את ההקשר של תצורת הממשק, בצע כיבוי כדי להשבית באופן ניהולי את היציאה, ולאחר מכן אין כיבוי כדי להחזיר אותה.

הפעלה מחדש-עיוורת מבלי לחקור מבטיחה שתעשה זאת שוב בקרוב. אם BPDU Guard הופעל, מישהו חיבר מתג. אם אבטחת הנמל מופעלת, הופיע מכשיר לא מורשה. הגורם הבסיסי דורש טיפול.

 

תצפיות סיום

 

תצורת יציאת GB אינה מורכבת מבחינה רעיונית, אך הפרטים מצטברים. הקצאת VLAN שהוחמצה, הגדרת טראנק שגויה, מגבלת אבטחה של יציאות שאינה מתייחסת לטלפון ה-IP-השגחות קטנות מתגלגלות להפסקות משמעותיות.

תיעד את התצורות שלך. סמן יציאות פיזיות בצורה ברורה. בנו תבניות לתרחישים נפוצים והחל אותם באופן עקבי.

בדוק שינויים במהלך חלונות תחזוקה במידת האפשר. זו עצה ברורה. זו גם עצה שהתעלמתי ממנה ב-15:00 ביום שלישי אקראי, עם תוצאות צפויות לחלוטין.

 

זוג: פיתוח תקני מודול אופטי 100G מתחת ל-40 ק"מ
הבא: סיבי FTTX מיוצרים ברחבי העולם
שלח החקירה