GB hálózati kapcsoló port konfiguráció magyarázata
Dec 19, 2025|
A Gigabit Ethernet port konfigurációja a 2. rétegű hálózati adminisztráció középpontjában áll,{1}} amely azt szabályozza, hogy a keretek hogyan mozognak a kapcsolt infrastruktúrán, mely eszközök férhetnek hozzá, és mi történik, ha valami oldalra kerül. A 100 Mb/s-ról a gigabitre való ugrás olyan működési furcsaságokat hozott, amelyek még mindig megzavarják az embereket: kötelező full-duplex 1000 Mb/s-nál, válogatósabb kábelkövetelmények és nem mindig viselkedő automatikus-egyeztetési viselkedés. Ez az útmutató végigvezeti a GB-portok felügyelt kapcsolókon történő konfigurálásának gyakorlati mechanikáját, különös tekintettel azokra a dolgokra, amelyek ténylegesen megszakadnak a gyártás során.

Miért nem sikerülnek a kikötősebesség-tárgyalások (és mit tehetsz valójában)
A következőt senki nem mondja el, amikor elkezdi: az automatikus egyeztetés a Gigabites portokon másképp működik, mint a 10/100-as interfészeken. Az IEEE 802.3ab specifikáció megköveteli, hogy az 1000BASE-T kapcsolatok kizárólag full-duplex módban működjenek. Gigabites sebességnél nincs fél-duplex lehetőség. Időszak.
Tehát amikor azt látja, hogy egy port 100 Mbps-on elakadt, és azon tűnődik, hogy mi történt, a bűnös általában a három dolog egyike:
A kábel. Lehet, hogy a Cat5 technikailag támogatja a gigabitet rövid távon, de láttam, hogy a mérnökök órákat vesztegetnek a hibaelhárítással, mielőtt valaki végül Cat5e-re vagy Cat6-ra cserélt. Mind a négy párt megfelelően kell lezárni-nem csak kettőt, mint ahogy azt Fast Ethernet-sebességgel megúszná.
Egyik végén kényszerbeállítás. Ha valaki 100-ra állította be a sebességet az uplink switchen, miközben a portod az auto állásban van, akkor rossz napod lesz. Az automatikus -tárgyalási oldal a párhuzamos észlelésre esik vissza, és ez a mechanizmus nem kecsesen rendezi a paramétereket úgy, ahogyan azt Ön remélné.
Rossz SFP modulok. Különösen az üvegszálas felfelé irányuló kapcsolatokkal. Nem minden adó-vevő működik jól minden gyártónál-egyes kapcsolók valóban válogatósak, hogy mit fogadnak el ezeken a helyeken.
Belépés az interfész konfigurációjába
Az interfész konfigurációs módjához vezető út elég egyszerű a Cisco IOS rendszeren. Először írja be az engedélyezést a kezdeti promptba, majd írja be a configure terminal parancsot a globális konfigurációs mód eléréséhez. Innentől kezdve a GigabitEthernet0/1 interfész megadásával az adott porthoz tartozó interfész konfigurációs környezetébe kerül.
Ha már ott van, a sebesség és a duplex beállítása egyszerű. A speed 1000 parancs a portot gigabites működésre zárja, míg a duplex full kétirányú egyidejű átvitelt biztosít. A legtöbb adminisztrátor mindkét paramétert auto-ra hagyja, ami jól működik a végfelhasználói munkaállomásokhoz csatlakozó hozzáférési portoknál-. A modern hálózati kártyák dráma nélkül kezelik a tárgyalásokat. De az inter-kapcsolók linkjei alaposabban átgondolást érdemelnek,-egyes hálózati csapatok keménykódolják ezeket, hogy a kimaradások hibaelhárítása során még egy változót kiküszöböljenek.
Érdemes megjegyezni: ha az 1000-es sebességet bezárja, a port elutasít minden lassabbat. A repedezett hálózati kártyával rendelkező laptopok sebessége nem esik vissza 100 Mbps-ra; egyszerűen nem kapcsolódik össze. Időnként ez a kívánt viselkedés. Gyakran nem az.

VLAN hozzárendelés: hozzáférési portok és fővonalak
Itt válik érdekessé a konfiguráció,{0}}és itt halmozódnak fel leggyorsabban a hibák.
Egy hozzáférési port pontosan egy VLAN-hoz tartozik. A bejövő keretek címkézetlenül érkeznek; a kapcsoló az Ön által megadott VLAN-hoz társítja őket. Ezt úgy érheti el, hogy belép az interfészbe, kiadja a switchport módú hozzáférést a port típusának meghatározásához, majd a kapcsolóport hozzáférési vlan 10-et (vagy bármilyen VLAN-számot) a hozzárendeléshez.
A fővonali portok több VLAN-hoz szállítanak egyidejű forgalmat. Minden keret kap egy 802.1Q fejlécet, amely azonosítja, hogy melyik VLAN-hoz tartozik. A kivétel a natív VLAN,{3}}a keretei címkézetlenül keresztezik a törzset. A konfigurálás magában foglalja a switchport mód trunk beállítását, majd a natív VLAN meghatározását a switchport trunk natív vlan 99-el, végül pedig annak korlátozását, hogy mely VLAN-ok menjenek át a linken a switchport trunk enabled vlan, majd a VLAN-azonosítók vesszővel elválasztott listájával{6}}.
Ez lehetővé tette, hogy a VLAN specifikáció sokkal fontosabb legyen, mint azt az emberek gondolják. A fővonalak alapértelmezés szerint engedélyezik az összes VLAN-t-1-től 4094-ig. Ezt ritkán akarja. Agresszív metszéssel.
Natív VLAN eltérések
Ha az A kapcsoló törzse natív VLAN 1-et, míg B kapcsoló natív VLAN 99-et használ, a címkézetlen keretek mindkét oldalon különböző VLAN-okban landolnak. A feszítőfa számítások összezavarodnak. Az eszközök szinte véletlenszerűnek tűnő módon elveszítik a kapcsolatot.
A CDP elkapja ezt, és naplóz egy figyelmeztetést, de valójában meg kell nézni a naplókat. A CDP-t pedig engedélyezni kell, amit egyes biztonsági szabályzatok tiltanak. Tehát az eltérés ott van, és időszakos furcsaságokat okoz, míg végül valakinek eszébe jut a konfigurációk összehasonlítása.
A kikötőbiztonság alapjai
A portbiztonság korlátozza, hogy mely MAC-címek küldhetnek forgalmat egy interfészen keresztül. A klasszikus forgatókönyv: meg kell akadályozni, hogy valaki kihúzza a hozzárendelt asztali számítógépét, és helyette egy személyes eszközt csatlakoztasson.
A beállítás azzal kezdődik, hogy engedélyezi a funkciót a switchport port{0}}biztonságán keresztül az interfészen. Ezután határozza meg, hogy hány MAC-címet fogadjon el a port-switchport port-security maximum 2 engedélyez két eszközt. A szabálysértésre adott válasz a következő; switchport port-a biztonsági megsértés leállítása arra utasítja a switchet, hogy teljesen tiltsa le a portot, ha jogosulatlan MAC-k jelennek meg. Végül a switchport port-security mac-address sticky arra utasítja a switchet, hogy dinamikusan tanulja meg a címeket, és írja be azokat a futó konfigurációba.
A ragadós lehetőség valóban praktikus. A kapcsoló dinamikusan tanulja meg a MAC-címeket, és beírja azokat a futó konfigurációba. Mentés után ezek a címek kézi bevitel nélkül túlélik az újraindítást.
A szabálysértési módok határozzák meg, hogy mi történik, ha illetéktelen MAC jelenik meg:
A leállítás a portot err{0}}letiltott állapotba helyezi. A forgalom teljesen leáll. Valakinek manuálisan kell helyreállítania, vagy szüksége van egy EEM-szkriptre, amely kezeli az automatikus helyreállítást.
A korlátozás csökkenti a forgalmat a sértő MAC-ról, de a port működőképes marad. Egy syslog üzenet rögzíti az eseményt. A törvényes eszköz továbbra is működik.
A Protect úgy működik, mint a korlátozás, de nem generál naplót. Csendes kudarc. Nem vagyok rajongó-nem fogod tudni, hogy bármi történt, amíg valaki nem panaszkodik.
Visszatérő fejfájás: IP-telefonok, amelyek mögött a számítógépek{0}}láncolva vannak. Ez két MAC-cím egy porton keresztül. Ha a maximumot 1-re állította, a port leáll, amint a PC keretet küld. E korlátok beállításakor vegye figyelembe a hang VLAN forgatókönyveket.

Duplex Mismatches: The Quiet Performance Killer
A teljes-duplex és a fél{1}}duplex hibás konfiguráció nem szakítja meg végképp a kapcsolatot. Fokozatosan rontják le. A csomagok akkor ütköznek, amikor nem kellene. A késői ütközések számlálói emelkednek. Az újraadások felhalmozódnak. A felhasználók arról számolnak be, hogy "a hálózat lassú", de a ping jól működik, és semmi nyilvánvaló nem hibás.
Ellenőrizze az interfészszámlálókat a show interface paranccsal, majd az adott portazonosítóval. Keresse a késői ütközéseket, a beviteli hibákat, a CRC-hibákat, a lefutásokat. Egy egészséges gigabites port, amely full-duplexen fut, nullákat mutat ezeken a mezőkön. Minden mást ki kell vizsgálni.
A tipikus eltérési forgatókönyv: az egyik oldal merevkódolású teljes-duplexre, a másik oldal automatikusra hagyva. Az automatikus oldal nem tudja megfelelően meghatározni a duplex módot, mert a távoli vég nem vesz részt az egyeztetésben. Alapértelmezés szerint a fél-duplex biztonsági tartalék. Most már az egyik oldal egyszerre küld és fogad, míg a másik oldal úgy gondolja, hogy várnia kell a csendre, mielőtt küldené. Az ütközések folyamatosan történnek.
A javítás egyszerű: a beállításokat egyezzen meg mindkét oldalon. Vagy mindkettő automatikus, vagy mindkettő kifejezetten azonos értékekre van konfigurálva.
Broadcast Storm Control
Egy sugárzott vihar teljesen lelapítja a hálózatot. Egy rosszul konfigurált eszköz vagy egy kapcsolóhurok, amelyben a feszítőfa le van tiltva, elárasztja a hálózatot a sugárzott forgalommal. Minden kapcsoló megismétli. Minden port továbbítja. CPU-kihasználtsági kiugrások a teljes infrastruktúrában.
A viharvezérlés fojtást biztosít. Az interfész konfigurációs módjában megadhatja a vihar-vezérlési sugárzási szintet, majd egy százalékot,-például 20,00-, hogy korlátozza a sugárzott forgalmat ezen a küszöbértéken. Hasonló parancsok léteznek a multicast és az unicast forgalomhoz. A viharvezérlési művelet leállítási direktívája utasítja a kapcsolót, hogy tiltsa le a portot a küszöbértékek túllépése esetén; vagy a trap SNMP riasztást generál, miközben életben tartja a portot.
A szint a port sávszélességének százalékát jelenti. Ha a sugárzott forgalom meghaladja a gigabites kapcsolat 20%-át,-ez 200 Mb/s átvitel-, a port intézkedik. A leállítás agresszív, de hatékony.
Nem konfigurálok viharvezérlést minden egyes porton. Ez növeli a működési bonyolultságot. De a kiszámíthatatlan környezetekben lévő hozzáférési rétegek esetében-gyártópadlók, egyetemi rezidenciák, konferenciatermek-ez többször is bebizonyosodott.
PortFast és BPDU Guard
A feszítőfa 30-50 másodpercet vesz igénybe, amíg a port blokkoltról továbbításra vált át. Ez a késleltetés védelmet nyújt a hurkok ellen a kapcsoló-to-kapcsoló kapcsolatokban, ahol a topológia változásai számítanak. A végfelhasználói-portok esetében, ahol valaki csak csatlakoztatni szeretne, és IP-címet szeretne kapni, ez elkeserítő.
A PortFast megkerüli a hallgatási és tanulási állapotokat. Engedélyezi a spanning-tree portfast interfészen, és a port azonnal megkezdi a továbbítást a hivatkozás létrehozása után.
A kockázat: ha valaki nem felügyelt kapcsolót csatlakoztat ehhez a porthoz, akkor potenciálisan hurkot hozott létre. A PortFast nem tiltja le a feszítőfát,{1}}a port továbbra is feldolgozza a BPDU-kat. De várakozás helyett azonnal továbbítja a forgalmat.
A BPDU Guard védelmet nyújt. Ha engedélyezi a spanning-tree bpduguard enable funkcióval az interfészen, az azt jelenti, hogy minden fogadott BPDU azonnali hiba-letiltást vált ki. Ha BPDU érkezik erre a portra, akkor valami nem stimmel,{4}}nem lehet ott másik kapcsoló. Értesítést kap, de a hálózat érintetlen marad.
A globális alapértelmezések automatikusan alkalmazzák ezeket a szolgáltatásokat az összes hozzáférési porton. Globális konfigurációs módban a spanning-tree portfast default engedélyezi a PortFast univerzálisan, míg a spanning-tree portfast bpduguard default aktiválja a BPDU Guard funkciót ugyanezeken a portokon. A fővonali portok ki vannak zárva ezekből az alapértelmezett értékekből. Ez egy ésszerű alap a vállalati hozzáférési rétegekhez.

EtherChannel: Linkek összesítése
Ha egyetlen gigabites kapcsolat nem biztosít elegendő sávszélességet a kapcsolók között, az EtherChannel több fizikai portot egyetlen logikai interfészbe köt össze. Két, négy vagy nyolc port összesítve, egyetlen hivatkozásként jelennek meg az átívelő fa számításokhoz.
Az LACP a 802.3ad szabvány használatával kezeli az egyeztetést. Kiválasztja a fizikai interfészeket-a GigabitEthernet0/1 - 4 interfésztartomány használatával, hogy egyszerre több portot konfigurálhasson,-majd hozzárendelje azokat egy csatornacsoporthoz, ahol az 1. csoport mód aktív csatorna-. A tartománykonfigurációból való kilépés után magát a logikai interfészt konfigurálja az interfész Port-channel1 megadásával, és alkalmazza a kívánt beállításokat, jellemzően a switchport mód trönjét a kapcsolók közötti{11}}kapcsolatokhoz.
A távoli végnek megfelelő konfigurációra van szüksége. Aktív-aktív művek. Aktív-passzív munkák. A passzív-passzív nem-mindkét fél várja örökké, hogy a másik kezdeményezzen.
A taglinkek közötti forgalom elosztása hash algoritmust használ, jellemzően a forrás{0}}cél MAC- vagy IP-címein. Az egyéni áramlások továbbra is egyetlen fizikai linken haladnak át; a kapcsoló nem osztja fel a TCP-munkameneteket több útvonalra. A két szerver közötti nagyméretű fájlátvitel egy taghivatkozást használ, függetlenül attól, hogy hányat köt össze.
Hang VLAN konfiguráció
Az IP-telefonok bonyolultabbá teszik. A telefont hang VLAN-on kell elhelyezni a QoS kezeléshez, míg a passthrough porton keresztül csatlakoztatott PC-nek az adat VLAN-on kell landolnia. Mindkét eszköz egy fizikai kapcsolóporton osztozik.
A konfigurálás során be kell állítani a portot hozzáférési portként switchport módú hozzáféréssel, az adat VLAN hozzárendelését a switchport hozzáférési vlan 10-en keresztül, majd a hang VLAN-t külön kell megadni a switchport voice vlan 50 használatával. A telefon CDP-n vagy LLDP-MED-en keresztül kapja meg a VLAN-hozzárendelést, és ennek megfelelően címkézi a forgalmát. A PC címkézetlen kereteket küld, amelyek az adat VLAN-ban landolnak. Minden egyetlen kábelen keresztül működik.
Ez két MAC-címet jelent egy porton. A portbiztonsági beállításoknak mindkettőt figyelembe kell venniük, különben időt kell fordítania a letiltott interfészek helyreállítására, valahányszor a létesítmény áthelyezi az asztalt.
Auto-MDIX
A keresztezett kábelek és az egyenes{0}}vezetékek korábban számítottak. Csatlakoztassa a kapcsolót egy egyenes-átmenő kábellel való kapcsoláshoz a régebbi berendezéseken, és a link nem jön létre,-keresztezésre volt szüksége.
A modern Gigabit Ethernet interfészek automatikus{0}}MDIX-szel felismerik a szükséges vezetékeket, és belsőleg kompenzálják. A funkció vezérlése az mdix auto segítségével történik interfész konfigurációs módban, és alapértelmezés szerint a legtöbb jelenlegi Cisco hardveren engedélyezve van. Egyes régebbi eszközökből és bizonyos nem-Cisco-berendezésekből hiányzik ez a funkció. Ha egy kapcsolat nem jön létre, és kizárta a kábelsérülést, próbálja meg keresztezésre cserélni, mielőtt porthibát feltételezne.
Hasznos ellenőrző parancsok
Folyamatosan futtatott parancsok:
A show interfaces status parancs egy nézetben gyors áttekintést nyújt a -csatlakozott versus nem kapcsolódik, VLAN-hozzárendelésről, sebességről, duplexről az összes porton keresztül.
A futó show-interfészek, amelyeket egy adott portazonosító követ, részletes számlálókat szolgáltat: bemeneti/kimeneti csomagok, hibák, sorkiesések, utolsó törlési idő.
A show mac address{0}}table interface parancs, majd a port felfedi, mely MAC-címeket tanulta meg az adott felületen.
Átfogó faállapot esetén a show spanning{0}}tree interfész megjeleníti a port STP szerepkörét és az útvonal költségét.
A show interfaces trunk parancs felsorolja az összes aktív fővonalat a megengedett és aktív VLAN-okkal együtt.
A port biztonsági állapota a port{0}}megjelenítési biztonsági felületről származik, amely jelenti a szabálysértések számát és a jelenleg tanult címeket.
A kimenetet az include-on keresztül tudja átvezetni a szűréshez. Az állapotparancs csővel történő futtatása a csatlakoztatott csatlakozáshoz csak az aktív hivatkozásokkal rendelkező portokat jeleníti meg. Menti a letiltott interfészek oldalainak görgetését.
Hiba{0}}Letiltott portok helyreállítása
A port azt mutatja, hogy az err{0}}disabled. Mielőtt feldobná, értse meg, miért. A show interfaces status parancs megmutatja az aktuális állapotot, míg a show errdisable recovery a konfigurált helyreállítási mechanizmusokat és azok időzítőit jeleníti meg.
A gyakori triggerek közé tartozik a portbiztonság megsértése, a BPDU Guard aktiválása, a túlzott linklebegtetés és az egyirányú szálproblémákat észlelő UDLD hibák.
Az automatikus helyreállítás globális konfigurációs módban konfigurálható. A hibás helyreállítási ok minden parancs lehetővé teszi az automatikus helyreállítást az összes triggertípushoz, míg a 300-as hibás helyreállítási intervallum az újrapróbálkozási időzítőt 300 másodpercre állítja be.
Az automatikus helyreállítás konfigurálása nélkül manuális beavatkozásra van szükség. Adja meg az interfész konfigurációs kontextusát, adja meg a leállítást a port adminisztratív letiltásához, majd a leállítást a port visszaállításához.
A vak{0}}újraaktiválás vizsgálat nélkül garantálja, hogy hamarosan újra megteszi. Ha a BPDU Guard kioldott, valaki bedugta a kapcsolót. Ha a portbiztonság működésbe lép, egy illetéktelen eszköz jelent meg. A kiváltó ok kezelést igényel.
Záró megfigyelések
A GB-port konfigurációja fogalmilag nem bonyolult, de a részletek felhalmozódnak. Egy elmulasztott VLAN-hozzárendelés, egy hibás fővonal-beállítás, egy portbiztonsági korlát, amely nem veszi figyelembe az IP-telefont{1}}
Dokumentálja a konfigurációkat. A fizikai portokat egyértelműen címkézze fel. Készítsen sablonokat a gyakori forgatókönyvekhez, és alkalmazza azokat következetesen.
Lehetőség szerint tesztelje a változtatásokat a karbantartási ablakok során. Ez nyilvánvaló tanács. Ez egy olyan tanács is, amelyet figyelmen kívül hagytam egy véletlenszerű kedden délután 3 órakor, és teljesen megjósolható eredménnyel.


