Routing & Switching
Theorie, dus geen commando’s!
Chapter 4: Switched Networks
De richtlijnen voor het ontwerp van grensloos geschakelde netwerken zijn gebaseerd op de volgende principes:
Hiërarchisch - Vergemakkelijkt het begrip van de rol van elk apparaat op elk niveau, vereenvoudigt de
implementatie, de werking en het beheer en vermindert de storingsdomeinen op elk niveau.
Modulariteit - Maakt naadloze netwerkuitbreiding en geïntegreerde servicevrijgave op aanvraag mogelijk
Veerkracht (Robuust) - Voldoet aan de verwachtingen van de gebruiker om het netwerk altijd aan te houden
Flexibiliteit - Maakt intelligente verkeersdeling mogelijk door gebruik te maken van alle netwerkbronnen
Kernlaag , Distributielaag en Toegangslaag
Kernlaag
de ruggengraat van het netwerk
primair doel: het bieden van foutisolatie en snelle backbone-connectiviteit
Distributielaag
interface tussen de toegangslaag en de kernlaag
Intelligente schakel-, routerings- en netwerktoegangspolitiek bieden
Toegangslaag
de rand van het netwerk, waar het verkeer het campusnetwerk binnenkomt of verlaat
primaire functie: de gebruiker netwerktoegang bieden
aansluiten op distributielaagschakelaars
Een geschakeld LAN:
Maakt meer flexibiliteit mogelijk
Maakt meer verkeersmanagement mogelijk
Ondersteunt de kwaliteit van de dienstverlening, extra beveiliging, draadloos, IP-telefonie en mobiliteitsdiensten
Verschillende vormen van Switches Configuratie’s
Vast platform
geen andere functies of opties ondersteunen dan de functies of opties die oorspronkelijk bij de schakelaar werden
geleverd.
het specifieke model bepaalt de beschikbare kenmerken en opties
Modulair platform
bieden meer flexibiliteit in hun configuratie
De lijnkaarten bevatten in feite de poorten De lijnkaart past in het switchchassis zoals uitbreidingskaarten in een PC
passen. Hoe groter het chassis, hoe meer modules het kan ondersteunen.
Stackable Platform
kan worden verbonden met behulp van een speciale kabel die zorgt voor een hoge bandbreedte doorvoer tussen de
schakelaars. De Cisco StackWise-technologie maakt de onderlinge verbinding van maximaal negen switches mogelijk.
De switches kunnen op elkaar worden gestapeld met kabels die de switches met elkaar verbinden. De gestapelde
switches werken effectief als één grotere schakelaar.
Stapelbare schakelaars maken gebruik van een speciale poort voor onderlinge verbindingen.
,Switching in het algemeen
De term ingress wordt gebruikt om aan te geven waar een frame het apparaat binnenkomt op een poort.
De term egress wordt gebruikt om frames te beschrijven die het apparaat vanuit een bepaalde poort verlaten.
Een LAN-schakelaar houdt een tabel bij die gebruikt wordt om te bepalen hoe het verkeer via de schakelaar wordt
doorgestuurd.
Een schakelaar moet eerst leren welke apparaten er op elke poort aanwezig zijn voordat hij een frame kan
verzenden. Hij bouwt een tabel op die een MAC-adres of een CAM-tabel (Content Addressable Memory) wordt
genoemd.
CAM is een speciaal type geheugen dat wordt gebruikt in snelle zoekapplicaties.
Wanneer een schakelaar een inkomend frame ontvangt met een MAC-adres dat niet in de CAM-tabel wordt
gevonden, wordt het naar alle poorten overspoeld, maar naar degene die het frame heeft ontvangen.
Switch forwarding methodes
Store-and-forwarding
neemt een beslissing over het doorsturen
van een frame nadat het volledige frame is
ontvangen en het frame is gecontroleerd
op fouten.
Cut-Trough Switching
De schakelaar begint het doorstuurproces
nadat het MAC-adres van een inkomend
frame is vastgesteld en de egress poort is
bepaald.
Beslissing nemen zodra hij het MAC-adres van het frame heeft opgezocht in zijn MAC-adrestabelSwitch en
hoeft niet te wachten tot de rest van het frame de ingangspoort binnengaat voordat hij zijn forwarding
beslissing neemt.
Wacht tot het botsingsvenster (64 bytes) is gepasseerd alvorens het frame door te sturen.
Colllusion Domains/broadcast domains
Een botsingsdomein is het segment waar
apparaten moeten concurreren om te kunnen
communiceren.
Collision domain
Broadcast domain
, Chapter 5: Switch Configuration
Opstarten van een Switch
1. De schakelaar laadt een zelftestprogramma (POST) dat in ROM is opgeslagen.
2. Voer de opstartladersoftware uit. De opstartlader is een klein programma dat is opgeslagen in ROM en dat
direct na POST wordt uitgevoerd.
3. De bootloader voert een low-level CPU-initialisatie uit. Hij initialiseert de CPU-registers en het fysieke
geheugen
4. Bootlader initialiseert het flashbestandssysteem
5. Bootlader lokaliseert en laadt een standaard IOS-besturingssoftwarebeeld in het geheugen en regelt de
overstap naar het IOS met de hand.
Om een geschikt IOS-beeld te vinden, doorloopt de schakelaar de volgende stappen:
1. Hij probeert automatisch op te starten door gebruik te maken van informatie in de BOOT-
omgevingsvariabele
2. Als deze variabele niet is ingesteld, zoekt de schakelaar van boven naar beneden in het
flashbestandssysteem. Het zal het eerste uitvoerbare bestand laden en uitvoeren, als het kan.
3. Het IOS-besturingssysteem initialiseert vervolgens de interfaces met behulp van de Cisco IOS-opdrachten in
het configuratiebestand, opstartconfiguratie, dat is opgeslagen in NVRAM.
Opmerking: het opdrachtopstartsysteem kan worden gebruikt om de BOOT-omgevingsvariabele in te stellen.
Herstellen van een systeemcrash
De bootloader kan ook worden gebruikt om de schakelaar te beheren als het IOS niet kan worden geladen.
De bootloader is toegankelijk via een console-aansluiting door:
1. Verbind een PC via de consolekabel met de switch-consolepoort. Trek de stekker uit het stopcontact.
2. Sluit het netsnoer weer aan op de schakelaar en houd de Mode-knop ingedrukt.
3. De systeem-LED wordt kort ambergeel en daarna continu groen. Laat de modusknop los.
De schakelaar van de opstartlader: prompt verschijnt in de terminal-emulatiesoftware op de PC. De opdrachtregel
van de opstartlader ondersteunt opdrachten om het flashbestandssysteem te formatteren, de software van het
besturingssysteem opnieuw te installeren en te herstellen van een verloren of vergeten wachtwoord.
Elke poort op de Cisco Catalyst-switches heeft status-LED-indicatielampjes.
Standaard geven deze LED-lampjes de activiteit van de poort weer, maar ze
kunnen ook andere informatie over de schakelaar geven via de modusknop
De volgende LED's zijn beschikbaar op Cisco Catalyst 2960-switches:
Systeem LED
Redundant Power System (RPS) LED (indien ondersteund)
Poortstatus-LED
Poort Duplex-LED
Poortsnelheid LED
Power over Ethernet (PoE) Mode LED
MDIX Auto Feature
Bij het aansluiten van apparaten waren bepaalde kabeltypes nodig.
De automatische medium-afhankelijke interface-crossover (auto-MDIX) functie elimineert dit probleem.
Wanneer auto-MDIX is ingeschakeld, detecteert en configureert de interface automatisch de juiste verbinding.
Bij gebruik van auto-MDIX op een interface, moet de interface snelheid en duplex worden ingesteld op auto.
SSH operatie
,Secure Shell (SSH) is een protocol dat zorgt voor een veilige (versleutelde) opdrachtregelgebaseerde verbinding
met een extern apparaat.
SSH wordt vaak gebruikt in UNIX-gebaseerde systemen
Cisco IOS ondersteunt ook SSH
Een IOS-bestandsnaam die de combinatie "k9" bevat, ondersteunt cryptografische (versleutelde) functies en
mogelijkheden.
Omdat de sterke versleutelingsfuncties, SSH zou Telnet moeten vervangen voor managementverbindingen
SSH gebruikt standaard TCP-poort 22.
Port Security: Operation
beperkt het aantal geldige MAC-adressen dat op 1 poort is toegestaan
De MAC-adressen van legitieme apparaten zijn toegestaan, terwijl andere MAC-adressen worden geweigerd.
Eventuele extra pogingen om verbinding te maken met onbekende MAC-adressen zullen een beveiligingsinbreuk
veroorzaken.
Veilige MAC-adressen kunnen op verschillende manieren worden geconfigureerd:
Statische beveiligde MAC-adressen
o handmatig geconfigureerd op een poort
o opgeslagen in de adrestabel en
o toegevoegd aan het running configuratiebestand
Dynamisch beveiligde MAC-adressen
o dynamisch geleerd
o alleen opgeslagen in de adrestabel.
Sticky beveiligde MAC-adressen
o dynamisch geleerd (of handmatig geconfigureerd)
o opgeslagen in de adrestabel
o toegevoegd aan de running configuratie
o ! Verloren wanneer de stroom is uitgeschakeld
Port Security: Violation Modes
In deze situaties doet zich een veiligheidsovertreding voor:
Het maximum aantal veilige MAC-adressen voor die interface is toegevoegd aan de CAM, en een station
waarvan het MAC-adres niet in de adrestabel staat, probeert toegang te krijgen tot de interface.
Een adres dat op de ene beveiligde interface is ingeleerd of geconfigureerd, wordt gezien op een andere
beveiligde interface in hetzelfde VLAN.
Er zijn drie mogelijkheden om actie te ondernemen wanneer een overtreding wordt geconstateerd:
De standaard port security settings zijn:
Maximum number van veilige MAC addressen: 1
Violation Mode: Shutdown
Stikcy address Learning Disabled
, Chapter 6: VLAN’s
VLAN defenitie
Elk VLAN wordt beschouwd als een afzonderlijk logisch netwerk
VLAN's bieden een manier om apparaten binnen een LAN te groeperen.
VLAN's zijn van elkaar geïsoleerd en pakketten kunnen alleen via een router tussen de apparaten worden geplaatst.
Elk VLAN is een uitzenddomein, meestal met een eigen IP-netwerk.
De opdeling in VLAN's vindt plaats binnen een layer 2 apparaat, meestal een schakelaar.
! Elke schakelpoort kan slechts aan één VLAN worden toegewezen.
Voordelen van VLAN’s
Maken het eenvoudiger om een netwerk te ontwerpen ter ondersteuning van de doelstellingen van een organisatie.
1. Security: Groepen met gevoelige gegevens worden gescheiden van de rest van het netwerk, waardoor de
kans op inbreuken op vertrouwelijke informatie afneemt.
2. Kostenreductie
3. Betere prestaties: Verdeling van platte Layer 2 netwerken in meerdere logische werkgroepen
(omroepdomeinen) vermindert onnodig verkeer op het netwerk en verhoogt de prestaties
4. Kleinere broadcastdomeinen: Het verdelen van een netwerk in VLAN's vermindert het aantal apparaten in
het broadcastdomein.
5. Eenvoudiger project- en applicatiebeheer: Het hebben van aparte functies maakt het beheer van een
project of het werken met een gespecialiseerde applicatie eenvoudiger.
Er zijn 4 soorten VLAN's die in moderne netwerken worden gebruikt.
Sommige VLAN-types worden gedefinieerd op basis van verkeersklassen.
Andere soorten VLAN's worden gedefinieerd door de specifieke functie die ze dienen.
Standaard VLAN
= de standaard VLAN na het opstarten van een switch die de standaardconfiguratie laadt De standaard VLAN voor
Cisco-switches is VLAN 1. Standaard zijn alle switchpoorten toegewezen aan VLAN 1. VLAN 1 heeft alle kenmerken
van een VLAN, behalve dat het niet hernoemd of verwijderd kan worden.
Data VLAN
= een VLAN dat geconfigureerd is om door de gebruiker gegenereerd verkeer te vervoeren. draagt geen spraak- of
managementverkeer met de naam gebruiker VLAN.
Native VLAN= ongelabeld verkeer Trunk ports
= de koppelingen tussen de schakelaars die de overdracht van het verkeer dat met meer dan één VLAN is
verbonden, ondersteunen.
Management VLAN
= elke VLAN geconfigureerd om toegang te krijgen tot de beheersmogelijkheden van een switch VLAN 1 is standaard
het beheer VLAN. Om het beheer VLAN, de switch virtuele interface (SVI) van die VLAN is toegewezen aan een IP-
adres en subnetmasker, waardoor de switch te worden beheerd via HTTP, Telnet, SSH, of SNMP.
Voice VLANs
VoIP-verkeer is tijdgevoelig en vereist:
Verzekerde bandbreedte om de spraakkwaliteit te garanderen
Transmissieprioriteit op andere soorten netwerkverkeer
Mogelijkheid om te worden gerouteerd rond overbelaste gebieden op het netwerk
Vertraging van minder dan 150 ms in het netwerk
