sybex cisco ccna reader datacom ict4 - …members.home.nl/rjcasteel/datacom niv4.pdf · de volgende...

Sybex

Cisco CCNA Reader

Datacom ICT4 H2 – Laag-2 switchen, H6 – Virtuele LANs (VLANs)

Appendix B De Catalyst 1900 switch configureren

H7 – Een Cisco-internetwerk

beheren, H9 – Verkeer met toegangslijsten beheren & H10 – WAN-protocollen

Hoofdstuk

2Laag-2 switchen

DIT HOOFDSTUK BEHANDELT ONDER MEERDE VOLGENDE CCNA EXAMEN-ONDERWERPEN:

✓ Bridging/switching

• Benoemen en beschrijven van twee switchmethodes.

• Uitleggen van het verschil tussen cut-through en store-and-forward LAN-switchen.

• Beschrijven van de werking van het Spanning Tree Proto-col en de voordelen hiervan.

Wanneer Cisco het over switching heeft, is dit altijd laag-2 switchen, tenzijdit anders wordt aangegeven. Laag-2 switchen is het proces waarbij men hethardware-adres van apparaten op een LAN gebruikt om een netwerk te segmenteren.Omdat u de grondbeginselen hiervan al kent, richt dit hoofdstuk zich op de detailsvan laag-2 switchen en wordt uitgelegd hoe het werkt.

U weet dat switchen grote collision-domeinen in kleinere delen opsplitst. U weetook dat een collision-domein een netwerksegment is met twee of meer apparaten diedezelfde bandbreedte (bandwidth) delen. Een typisch voorbeeld van deze technologieis een hub-netwerk. Maar omdat iedere poort op een switch in feite zijn eigencollision-domein is, is het mogelijk een veel beter Ethernet-LAN-netwerk te makendoor de hubs door switches te vervangen.

Switches hebben de manier waarop netwerken worden ontworpen en toegepastradicaal veranderd. Een correct geïmplementeerd zuiver geswitcht ontwerp resulteertin een vlekkeloos, rendabel en flexibel internetwerk. In dit hoofdstuk bekijkt envergelijkt u het ontwerp van netwerken vóór en na de introductie van switching-technologie.

Route-protocollen (bijvoorbeeld RIP, zie hoofdstuk 5) bevatten processen dieverhinderen dat netwerklussen in de netwerklaag voorkomen. Echter, als er tussen deswitches redundante fysieke links zitten, verhinderen route-protocollen niet dat er opde gegevens Link-laag lussen voorkomen. Daarom werd het Spanning Tree Protocolontwikkeld – om lussen in laag-2 geswitchte internetwerken te verhinderen. Dithoofdstuk zal grondig ingaan op de essentiële punten van dit onmisbare protocol enook uitleggen hoe het binnen een geswitcht netwerk functioneert.

Wanneer een frame een geswitcht fabric (of geswitcht internetwerk) passeertbepaalt het type LAN-switch hoe een frame naar een uitgangspoort op een switchwordt doorgestuurd. Er zijn drie verschillende soorten LAN-switch-methoden, die elkanders met het frame omgaan wanneer een switch het doorstuurt. Dit hoofdstuk sluitaf met een discussie van de drie methodes die door Cisco-switches gebruikt worden.

63Studiegids Cisco CCNA

2.1 Het tijdperk vóór laag-2 switchenEven terug in de tijd en kijken naar de opzet van netwerken vóór de introductie vanswitches en hoe switches bij het segmenteren van de gemeenschappelijke LANgeholpen hebben. Vóór LAN-switchen zag een typisch netwerkontwerp eruit als infiguur 2.1.

Figuur 2.1 Het tijdperk vóór switchen

Centrale router

Router op nevenvestiging

Server-park (server farm)

Token Ring

Hubs

(Lokaal ringnetwerk)

Het ontwerp in figuur 2.1 heette een ‘collapsed backbone’ omdat – en dit goldvoor LAN’s en ook voor mainframes – alle hosts naar de gemeenschappelijke‘ruggengraat’ moesten gaan om de netwerkservices te bereiken.

Vóór netwerken van het type in figuur 2.1 fysieke segmentatieapparaten zoalsrouters en hubs hadden, was er het mainframe-netwerk. Dit netwerk bestond uit hetmainframe (IBM, Honeywell, Sperry Univac, Dec, enzovoort) controllers en dommeterminals aangesloten op de controller. Andere vestigingen waren door middel vanbridges op het mainframe aangesloten.

Door de opkomst van de pc werd het mainframe later aangesloten op hetEthernet- of een Token Ring LAN. Binnen dit LAN werden de servers geïnstalleerd.Op deze servers draaide meestal O/S 2 of LAN Manager, omdat NT nog niet wasuitgevonden. Op iedere verdieping van het gebouw lagen coaxiaal- of getwisteaderpaarkabels, aangesloten op het gemeenschappelijke backbone en dan aangeslotenop een router. Op deze pc’s draaide een emulatieprogramma waarmee ze op de

64 Hoofdstuk 2 • Laag-2 switchen

mainframe-services waren aansloten. Hierdoor konden de pc’s tegelijkertijd toegangkrijgen tot de services op het mainframe en het LAN. De pc ontwikkelde zichuiteindelijk tot een robuust systeem, waardoor de systeemontwikkelaars de kanskregen om toepassingen effectiever dan ooit te porten. Door deze vooruitgangdaalden de netwerkprijzen en konden bedrijven veel sneller groeien.

Eind 1980 en begin negentiger jaren was Novell in opkomst en NetWare-servicesvervingen meestal de O/S 2- en LAN Manager-servers. Hierdoor werd het Ethernet-netwerk nog populairder, want Novell 3.x-servers gebruiken het om met client/server-software te communiceren.

In het kort is dit hoe het netwerk in figuur 2.1 ontstond. Er was echter éénprobleem: de gemeenschappelijke backbone groeide gestaag door, en denetwerkservices werden hierdoor steeds langzamer. De belangrijkste reden hiervoorwas dat tijdens deze enorme groei de LAN-services tegelijkertijd snellere servicevereisten en het netwerk helemaal verzadigd raakte. Men verving de Macs en dedomme terminals, die altijd voor de mainframe-service gebruikt werden, door nieuwepc’s. Het voordeel hiervan is dat ze makkelijker op het gemeenschappelijke backboneen de netwerkservices aansloten.

Dit voltrok zich vóór het Internet zo enorm populair werd. Dit betekent datiedereen in het bedrijf toegang nodig had tot de gemeenschappelijke netwerk-services.Waarom? Omdat zonder Internet alle netwerk-services intern waren – dus uitsluitendvoor het bedrijfsnetwerk. Het was daarom nodig om het gigantische, zwoegendegemeenschappelijke netwerk, aangesloten op oude en langzame routers, tesegmenteren. Eerst ontwikkelde Cisco alleen snellere routers, maar er was vooral opde Ethernet-LAN’s meer segmentatie nodig. De uitvinding van FastEthernet was eengoede zaak, maar deed niets aan de nodige netwerksegmentatie.

Bridges losten dit probleem wel op. Zij werden eerst in netwerken gebruikt omcollision-domeinen op te splitsen, maar konden maar een beperkt aantal poorten ennetwerk-services verschaffen. Laag-2 switches maakten een eind aan dezebeperkingen. Deze switches konden de collision-domeinen op iedere poort splitsen enkonden er honderden bieden. In dit vroege stadium zag een geswitcht LAN eruit alshet netwerk in figuur 2.2.

Iedere hub was aangesloten op een switch-poort, een uitvinding die het netwerkdrastisch verbeterde. Niet langer maakte ieder gebouw deel uit van hetzelfde collision-domein. In plaats daarvan werd iedere hub een apart collision-domein. Er was echteréén probleem – switch-poorten waren splinternieuw en daarom ongelofelijk duur.Vandaar dat het nog niet mogelijk was om simpelweg op iedere verdieping een switchte installeren. De prijs van switches is nu echter sterk gedaald. Het is nu economischverantwoord om iedere gebruiker op een switchpoort aan te sluiten.

De conclusie is dan ook: als u een netwerk wilt ontwerpen en het wilt realiseren, ishet onontbeerlijk dat u hierin switching services gebruikt. Figuur 2.3 is een voorbeeldvan een toegepast compleet, modern, geswitcht netwerkontwerp.


Switches

Centrale router Router op nevenvestiging

Server-park (server farm)

Token Ring

Hubs

(Lokaal ringnetwerk)

Figuur 2.2 Het eerste geswitchte LAN

Figuur 2.3 Het karakteristieke ontwerp van een geswitcht netwerk

U zult zeggen dat u nog steeds een router ziet. Dat klopt, deze router bestaat nogsteeds, maar de functie ervan is veranderd. De router realiseert niet langer de fysiekesegmentatie maar zorgt voor en beheert logische segmentatie. Deze logischesegmenten heten VLANs. Deze VLANs worden in dit hoofdstuk en hoofdstuk 6grondig uitgelegd.


2.2 Switching servicesLaag-2 switching is hardware-based. Dit betekent dat laag 2 het MAC-adres van deNIC-kaarten van de host gebruikt om het netwerk te filteren. In tegenstelling totbridges, die hardware gebruiken om een filtertabel te maken en beheren, gebruikenswitches Application-Specific Integrated Circuits (ASICs, toepassingsspecifiekegeïntegreerde circuits) voor het opstellen en onderhouden van de filtertabellen. Ditbetekent niet dat het onjuist is om een laag-2 switch als een multipoort bridge tebeschouwen. Zij bestaan namelijk allebei om dezelfde reden – het splitsen vancollision-domeinen.

Laag-2 switches en bridges zijn sneller dan routers omdat ze geen tijd in verdoenaan het bekijken van de header-informatie van de netwerklaag. In plaats daarvankijken ze naar de hardware-adressen van het frame, waarna ze besluiten om het framedoor te sturen of het te negeren.

Laag-2 switching biedt het volgende:

• Hardware-based bridging (MAC)

• Draadsnelheid (wire speed)

• Lage wachttijd (latency)

• Lage kosten

Laag-2 is zo efficiënt omdat de inhoud van het datapakket niet wordt gewijzigd.Het apparaat leest alleen het frame dat het pakket inkapselt, waardoor hetswitchproces duidelijk sneller wordt en er minder fouten voorkomen dan bij route-processen.

En als u laag-2 switchen voor werkgroepaansluitbaarheid en netwerksegmentatie(het splitsen van collision-domeinen) gebruikt, kunt u een platter netwerkontwerpmaken met meer netwerksegmenten dan met traditionele gedeelde 10BaseT-netwerken.

Laag-2 switchen verhoogt ook de bandbreedte (bandwidth) per gebruiker omdatiedere aansluiting (interface) in de switch een eigen collision-domein vormt. Dezefunctie maakt het mogelijk om op elke interface meer apparaten aan te sluiten.

2.2.1 Beperkingen van laag-2 switching

Omdat laag-2 switching gewoonlijk in dezelfde categorie als overbrugde (‘bridged’)netwerken ingedeeld wordt, denkt men ook vaak dat deze dezelfde karakteristiekenen problemen heeft. Men moet niet vergeten dat bridges nuttig en effectief zijnwanneer men het netwerk goed ontworpen heeft, met de functies en beperkingenhiervan in gedachten. Bij het ontwerpen van een netwerk met bridges moet rekeninggehouden worden met het volgende:


• De collision-domeinen moeten absoluut correct worden opgesplitst.

• Bij het realiseren van een functioneel bridged netwerk moeten de gebruikers 80procent van de tijd op het locale segment doorbrengen.

Ondanks het feit dat bridged netwerken collision-domeinen opsplitsen, moet u nietvergeten dat een netwerk toch één groot broadcast-domein is. Laag-2 switches enbridges mogen een broadcast-domein nooit opsplitsen. Dit beperkt de netwerkgrootteen de groeimogelijkheid ervan, plus het algemene prestatievermogen. Samen met detrage convergence (samenkomst) tijd van Spanning Tree kunnen broadcasts enmulticasts aanzienlijke problemen veroorzaken wanneer het netwerk groeit. Dit zijnde belangrijkste redenen waarom switches en bridges (apparaten op laag-2) routers(apparaten op laag-3) in het internetwerk nooit helemaal kunnen vervangen.

2.2.2 Bridging versus LAN-switchen

Het is waar dat laag-2 switches eigenlijk gewoon bridges zijn die meer poortenbieden, maar er zijn een paar belangrijke verschillen die u niet moet vergeten:

• Bridges zijn software-based, maar switches zijn hardware-based omdat ze eenASICs-chip gebruiken bij het maken van filter-beslissingen.

• Bridges mogen per bridge maar één Spanning Tree-record in de database hebben,terwijl switches er veel meer kunnen hebben. (Het principe van Spanning Treewordt later uitgelegd).

• Bridges kunnen niet meer dan 16 poorten hebben. Een switch kan honderdenpoorten hebben.

2.2.3 De drie switchfuncties van laag-2

Laag-2 switches hebben drie verschillende functies:

‘Address learning’ (adres-registratie)Laag-2 switches en bridges onthouden het hardware-bronadres (source address)van ieder frame dat door de interface ontvangen wordt. Zij slaan deze informatieop in een MAC-database die een forward/filtertabel heet.

Forward/filter-beslissingenWanneer een interface een frame ontvangt kijkt de switch naar het hardware-doeladres (destination address) en zoekt deze de uitgangsinterface op in de MAC-database. Het frame wordt alleen naar de gespecificeerde doelpoort doorgestuurd(‘geforward’).


Het vermijden van lussen (loop avoidance)Als ervoor redundantiedoeleinden meer aansluitingen tussen switches wordengemaakt, kunnen er netwerklussen ontstaan. Het Spanning Tree Protocol (STP)wordt gebruikt om netwerklussen te voorkomen en toch redundantie mogelijk temaken.

De volgende paragrafen behandelen address learning, forward/filter-beslissingen enhet vermijden van lussen uitvoerig.

Address learning

Als een switch voor het eerst wordt aangezet is de MAC-forward/filtertabel leeg (ziefiguur 2.4).

Figuur 2.4 Lege forward/filtertabel op een switch

Wanneer een apparaat een broadcast zendt en een interface een frame ontvangt,plaatst de switch het bronadres van het frame in de MAC-forward/filtertabel. Dezeonthoudt dan op welke interface het zendende apparaat zich bevindt. Hierna moet deswitch het netwerk met dit frame ‘flooden’ (flooden: het over alle poorten versturen)omdat het geen idee heeft waar het doelapparaat zich bevindt.

Wanneer een apparaat deze broadcast beantwoordt en een frame terugstuurt neemtde switch het bronadres van dat frame en zet deze het MAC-adres ook in de database.Bij het MAC-adres van de bron wordt ook de interface dat het frame ontvangen heeftvastgelegd. Omdat de switch nu beide relevante MAC-adressen in de filtertabel heeftkunnen de twee apparaten een point-to-point-verbinding maken. De switch hoeft nuniet meer op dezelfde manier als de eerste keer te broadcasten omdat de frames nu

Forward/Filter-tabelE0/0:E0/1:E0/2:E0/3:

E0/0 E0/3

E0/2E0/1


alleen tussen die twee apparaten heen en weer gestuurd (‘geforward’) kunnen worden.Daarom zijn laag-2 switches beter dan hubs. In een hub-netwerk worden alle frameselke keer naar alle poorten gestuurd – wat er ook gebeurt. Figuur 2.5 toont welkeprocessen er bij het opbouwen van een MAC-database komen kijken.

Figuur 2.5 Hoe switches de locaties van de host leren

Forward/Filter-tabelE0/0: 0000.8c01.000A stap 2E0/1: 0000.8c01.000B stap 4E0/2:E0/3:

E0/0 E0/3

E0/2E0/1Stap 1

3 3 34

Host A Host B Host C Host D

In dit figuur zijn vier hosts met een switch verbonden. Wanneer de switch aangezetwordt staat er, net zoals in figuur 2.4, niets in de MAC-adres forward/filtertabel.Maar wanneer de host begint te communiceren plaatst de switch het hardware-bronadres van elk frame in deze tabel, samen met de poort die bij het frameadreshoort.

Dit is een voorbeeld van de manier waarop een forward/filtertabel wordt ingevuld:

1. host A stuurt een frame naar host B. Het MAC-adres van host A is0000.8c01.000A en het MAC-adres van host B is 0000.8c01.000B.

2. De switch ontvangt het frame op interface E0/0 (het adresseren van switch-interfaces wordt in appendix B behandeld) en plaatst het bronadres in de MAC-adrestabel.

3. Omdat het doeladres niet in de MAC-database staat, wordt het frame naar alleinterfaces gestuurd.

4. Host B ontvangt het frame en beantwoordt host A. De switch ontvangt ditframe op interface E0/2 en plaatst het hardware-bronadres in de MAC-database.


5. Host A en host B kunnen nu een point-to-point-verbinding maken. Nuontvangen alleen deze twee apparaten de frames. hosts C en D zien de framesniet, en hun MAC-adressen staan niet in de database omdat ze nog geen framenaar de switch hebben gestuurd.

Als host A en host B binnen een bepaalde tijd niet weer met de switchcommuniceren zal de switch de invoer uit de database verwijderen zodat het zoactueel mogelijk blijft.

Forward/filter-beslissingen

Wanneer een frame bij een switch-interface arriveert vergelijkt deze het hardware-doeladres met de forward/filter MAC-database. Als het hardware-doeladres bekend isen in de database voorkomt, stuurt de switch het frame alleen naar de juiste interface.De switch stuurt het frame alleen uit de doelinterface. Dit bespaart bandbreedte(bandwidth) op de andere netwerksegmenten en heet frame filteren.

Als het hardware-doeladres niet in de MAC-database staat wordt er door de switchnaar alle actieve interfaces een broadcast verzonden, behalve naar de interface waarophet frame ontvangen werd. Als een apparaat de broadcast beantwoordt, wordt delocatie van het apparaat (interface) in de MAC-database geregistreerd.

Als een host of server een broadcast op het LAN uitzendt zal de switch hetbroadcast-bericht standaard naar alle actieve poorten versturen. Vergeet niet dat deswitch alleen kleinere collision-domeinen maakt, en dat het nog steeds één grootbroadcast-domein is.

Lussen vermijden (loop avoidance)

Redundante links tussen switchen zijn nuttig omdat ze voorkomen dat een heelnetwerk het laat afweten als één link niet meer werkt.

Ondanks dat redundante links erg effectief kunnen zijn veroorzaken ze meestalmeer problemen dan ze oplossen. Dit komt doordat frames allemaal tegelijk over alleredundante links gestuurd kunnen worden, en daarmee netwerklussen en andereproblemen veroorzaken. Hier is een lijst met de grootste problemen:

• Als er geen lusvermijding (lus avoidance) bestaat zullen de switches hetinternetwerk voortdurend met broadcasts overspoelen (‘flooden’). Dit wordtook wel een broadcast-storm genoemd. Figuur 2.6 illustreert hoe een broadcastover een heel netwerk verspreid kan worden. U ziet hoe een frame continu overde fysieke netwerk-media van het internetwerk gebroadcast wordt.


Figuur 2.6 Broadcast-storm

Segment 1

Segment 2

BroadcastSwitch A Switch B

• Een apparaat kan meer kopieën van hetzelfde frame ontvangen omdat dit frametegelijkertijd vanuit verschillende segmenten ontvangen kan worden. Figuur 2.7laat zien hoe het mogelijk is dat een hele groep frames vanuit meer segmentenontvangen wordt. De server in deze figuur stuurt een unicast-frame naar routerC. Omdat het een broadcast is, stuurt switch A het frame door. Switch B doethetzelfde – ook deze stuurt de broadcast door. Dit is ongunstig, omdat router Chet unicast-frame twee keer ontvangt en het netwerk hiermee extra belast.

Figuur 2.7 Meer framekopieën

Segment 1

Segment 2

Unicast

Unicast Unicast

Router C

Switch ASwitch B

• Het volgende is ook mogelijk: de MAC-filtertabel weet niet wat de locatie vanhet apparaat is omdat de switch het frame van meer dan één link kan ontvangen.Hierbij kan de verwarde switch zó bezig raken met het continu bijwerken van deMAC-filtertabel van de bron locatie hardware dat deze vergeet het frame door testuren. Dit heet het thrashing (toetakelen) van de MAC-tabel.


• Één van de meest onaangename dingen die er kunnen gebeuren is dat er doorhet hele internetwerk heen meer lussen worden gegenereerd. Dit houdt in dat erlussen binnen lussen voorkomen. Als er zich dan ook nog een broadcast-stormvoordoet, kan het netwerk niet langer frame-switchen.

Deze problemen zullen het netwerk bijna of helemaal platleggen, en veroorzakendus situaties die men moet vermijden of, indien nodig, op de één of ander maniermoet repareren. Hierbij komt het Spanning Tree Protocol kijken. Dit protocol isspeciaal ontworpen om de problemen die hierboven genoemd zijn op te lossen.

2.3 Spanning Tree Protocol (STP)Voor het verkocht werd en de naam werd veranderd in Compaq, ontwikkelde DigitalEquipment Corporation (DEC) de oorspronkelijke versie van Spanning Tree Protocol(STP). De IEEE stelde later een eigen versie van STP op, die 802.1d heette. Op alleCisco-switches staat de IEEE 802.1d-versie van STP, die niet compatibel is met deDEC-versie.

Het is de hoofdtaak van STP te verhinderen dat er lussen in het laag-2 netwerk(bridges of switches) voorkomen. Het controleert alle links in het netwerk zorgvuldigen zorgt er door de redundante links op te heffen voor dat er geen lussen ontstaan.Het Spanning Tree Protocol (STP) gebruikt het spanning-tree-algoritme (STA) omeerst een topologiedatabase te maken en dan redundante links te vinden en tevernietigen. Wanneer STP draait worden frames alleen naar de belangrijkste, doorSTP gekozen links gestuurd.

2.3.1 STP-terminologie

Vóór wordt uitgelegd hoe STP binnen het netwerk werkt, is het belangrijk om debasisideeën en –termen en de manier waarop deze binnen het laag-2 geswitchtenetwerk onderling samenhangen, toe te lichten:

Spanning Tree ProtocolSTP is een bridge-protocol dat de STA gebruikt om redundante links dynamisch tevinden en daarmee een Spanning Tree topologie-database te maken. Bridgeswisselen BPDU-berichten uit met andere bridges om lussen te vinden en deze dante verwijderen door bepaalde bridge-interfaces stop te zetten.

Root-bridgeEen root-bridge is de bridge met het hoogste ID. De grondgedachte achter STP isdat alle switches in het netwerk een root-bridge kiezen. Die root-bridge komtcentraal te staan in het netwerk. Alle andere beslissingen in het netwerk –


bijvoorbeeld welke poort moet worden geblokkeerd en welke in forwarding mode(doorstuurmodus) moet worden gezet – worden vanuit het perspectief van dezeroot-bridge gemaakt.

Bridge-protocol gegevens Unit (BPDU)Alle switches wisselen gegevens uit om de root-switch te kunnen kiezen en ookvoor latere configuratie van het netwerk. Iedere switch vergelijkt de parameters inde BPDU die het naar een naburige switch stuurt met de parameters die het vaneen andere ontvangt.

Bridge-IDHiermee houdt de STP de switches in het netwerk bij. Het bridge-ID wordtbepaald door een combinatie van de bridge-prioriteit (standaard 32.768 voor alleswitches) en het basis MAC-adres. Het laagste bridge-ID wordt de root-bridge inhet netwerk.

Non-root-bridgeDit zijn alle bridges die geen root-bridge zijn. Ze wisselen BPDU uit met allebridges en werken de STP topologie-database van alle switches bij. De non-root-bridges verhinderen hiermee het ontstaan van lussen en vormen een gedeeltelijkeoplossing voor de gevolgen van het uitvallen van links.

Root-poortDit is altijd de link die direct met de root-bridge verbonden is, of het kortste pad isnaar de root-bridge. Als er meer dan één link met de root-bridge verbonden is,worden de poortkosten (port cost) bepaald door de bandbreedte van iedere link tecontroleren. De poort met de laagste kosten wordt de root-poort.

Aangewezen poort (designated port)Een root-poort of een poort waarvan bepaald is dat deze de laagste kosten heeft –dit zal de forwarding poort (doorstuurpoort) worden.

Poortkosten (port cost)Poortkosten worden bepaald wanneer er tussen twee switches meer links gebruiktworden en geen hiervan een root-poort is. De bandbreedte van een link bepaalt dekosten van een link.

Niet-aangewezen poort (non-designated port)Dit is een poort met lagere kosten dan de aangewezen poort die in de blocking-modus gezet zal worden.

Forwarding-poort (doorstuurpoort)Poort die frames doorstuurt.

Geblokkeerde poort (forwarding port)Poort die om lussen te voorkomen geen frames doorstuurt.


2.3.2 Wat doet de Spanning Tree?

U weet inmiddels dat het de taak van STP is om alle links in het netwerk te vinden, deredundante op te heffen, en netwerklussen te verhinderen. STP kiest hiervoor eersteen root-bridge die het voortouw neemt bij het tot stand komen van beslissingen ophet terrein van de netwerk topologie. Deze beslissingen bepalen welke ‘wegen’ deframes het beste kunnen nemen en welke wegen gereserveerd moeten worden alsback-up-routes voor het geval dat de hoofd‘wegen’ het begeven.

Zaken lopen vlotter wanneer slechts één persoon beslissingen over de navigatieneemt. Daarom mag er maar een netwerk dus maar één root-bridge hebben. Deverkiezing van de root-bridge wordt in de volgende paragraaf uitgebreiderbeschreven.

Het kiezen van de root-bridge

Het ID wordt gebruikt om de root-bridge in het netwerk te kiezen en ook om de root-poort te bepalen. Dit ID is acht bytes lang, en bevat de prioriteiten het MAC-adresvan het apparaat. De standaard prioriteit op alle apparaten met de IEEE STP-versie is32.768.

Om de root-bridge te bepalen worden de prioriteiten van de bridge en het MAC-adres gecombineerd. Als twee switches of bridges dezelfde prioriteit hebben bepaalthet MAC-adres welke switch het laagste ID heeft. Dit werkt als volgt: als tweeswitches – noem ze A en B – allebei de standaardprioriteit 32.768 gebruiken wordt inplaats daarvan gebruikt het MAC-adres. Als het MAC-adres van switch A0000.0c00.1111.1111 is en het MAC-adres van switch B is 0000.0c00.2222.2222wordt switch A de root-bridge. Vergeet niet dat bij het kiezen van een root-bridge eenlagere waarde beter is.

BPDU’s worden iedere twee seconden naar alle actieve poorten op een bridge/switch gezonden. De bridge met het laagste bridge-ID wordt de root-bridge. Het IDvan de bridge kan veranderd worden zodat het automatisch een root-bridge wordt.Het is bij een groot geswitcht netwerk belangrijk dat u dit kunt doen – hierdoorworden de beste paden (paths) gekozen.

Het veranderen van STP-parameters valt buiten de scope van dit boek, maar het wordtbehandeld in CCNP: Switching Study Guide (Sybex, 2000).


Het kiezen van de aangewezen poort (designated port)

Als er meer dan één link met de root-poort verbonden is worden de poortkostengebruikt om te bepalen welke poort de root-poort wordt. Als men dus wil bepalenwelke poort of poorten gebruikt worden om met de root-bridge te communiceren,moet men eerst bepalen wat de kosten van het pad zijn. De STP-kosten zijn het totaalvan de pad-kosten gebaseerd op de beschikbare bandbreedte van iedere link. Tabel 2.1toont een karakteristiek van de kosten die aan verschillende Ethernet-netwerkenverbonden zijn.

Tabel 2.1 Karakteristiek van de kosten van verschillende Ethernet-netwerken

Snelheid Nieuwe IEEE kosten Oorspronkelijke IEEE kosten

10Gbps 2 1

1Gbps 4 1

100Mbps 19 10

10Mbps 100 100

De IEEE-specificatie 802.1d is onlangs herzien en kan nu overweg met de nieuwelinks, die een hogere snelheid hebben. De 1900-switches gebruiken de oorspronkelijkeIEEE 802.1d specificaties.

Spanning Tree poortstatussen

De poorten op een bridge of een switch met STP kunnen in vier verschillende modiwerken:

Blocking (blokkeren)Een geblokkeerde poort zal geen frames doorsturen. Een poort in deze modusluistert alleen naar BPDU’s. Alle poorten zijn standaard geblokkeerd wanneer deswitch aangezet wordt.

Listening (luisteren)De poort luistert naar BPDU’s om ervoor te zorgen dat er geen lussen op hetnetwerk voorkomen. Pas als de poort heeft vastgesteld dat er geen lussen zijn,worden de dataframes doorgestuurd.

Learning (leren)De poort leert MAC-adressen en bouwt een filtertabel op, maar stuurt geen framesdoor.


Forwarding (doorsturen)De poort verzendt en ontvangt alle gegevens op de bridged poort.

Switch-poorten staan meestal in de status ‘blocking’ (geblokkeerd) of de‘forwarding’ (doorstuur). Een forwarding-poort (doorstuurpoort) is een poortwaarvan bepaald is dat het de laagste kosten naar de root-bridge heeft. Echter, als hetnetwerk van topologie verandert (omdat er een link uitvalt of omdat iemand eennieuwe switch toevoegt) staan de poorten op een switch in de status listening enlearning.

Zoals al eerder is gezegd, is het blokkeren van poorten een strategie voor hetverhinderen van netwerklussen. Wanneer een switch eenmaal het beste pad naar deroot-bridge bepaald heeft, staan alle poorten in de modus blocking. Geblokkeerdepoorten kunnen nog steeds BPDU’s ontvangen, ze zenden alleen geen frames uit.

Als een switch bepaalt dat een geblokkeerde poort een aangewezen poort moetworden, zal deze overgaan naar de modus listening en alle ontvangen BPDU’scontroleren. Op die manier zorgt de switch ervoor dat er geen lus ontstaat wanneerde poort overschakelt naar de modus forwarding.

Convergence (samenkomst)

Convergence vindt plaats wanneer bridges en switches naar de modus forwarding ofblocking zijn overgegaan. Gedurende deze tijd worden er geen gegevensdoorgestuurd. Vóór er weer gegevens doorgestuurd worden, moeten de apparaten eenupdate ondergaan. Convergence is nodig om ervoor te zorgen dat alle apparatendezelfde database hebben. Dit kost echter wel wat tijd. Normaal duurt het 50seconden om over te schakelen van de modus blocking naar de modus forwarding. Ukunt deze tijd wijzigen, maar het veranderen van de standaard STP-timers wordt nietaanbevolen. De ‘doorstuurvertraging’ van een poort is de tijd die een overgang van demodus listening naar de modus learning (of andersom) in beslag neemt.

2.3.3 Voorbeeld van een Spanning Tree

Nu is het tijd om het geleerde in de praktijk toe te passen. Het is belangrijk om tebekijken hoe de Spanning Tree in een internetwerk werkt, omdat het dan makkelijkerte begrijpen is. In de volgende paragraaf kunt u zien wat u geleerd hebt, omdat hetgetoonde voorbeeld uit een echt netwerk afkomstig is. Bestudeer figuur 2.8, waarin ukunt zien dat alle vijf switches dezelfde prioriteit hebben: 32.768. Kijk dan naar hetMAC-adres van iedere switch. Door naar de prioriteit en de MAC-adressen van iederapparaat te kijken kunt u als het goed is de root-bridge bepalen.


Figuur 2.8 Voorbeeld van een Spanning Tree

SwitchD

MAC = 0000.8c00.2101

SwitchE

MAC = 0000.8c00.9870

SwitchB

MAC = 0000.8c00.8955

SwitchC

MAC = 0000.8c00.1202

SwitchA

MAC = 0000.8c00.1201

Wanneer u hebt bepaald welke switch de root-bridge moet zijn, kijk dan nog eenkeer naar het figuur en probeer te bepalen wat de root-poort op iedere aparte switchis. Probeer hierna te bepalen welke poort in de modus blocking (blokkeer) staat.

Tip: Root-poorten zijn altijd aangewezen (designated) poorten. Deze zullen dus altijd inde modus forwarding staan.

Figuur 2.9 laat de poortstatussen van iedere switch zien.Omdat switch A het laagste MAC-adres heeft, en alle vijf switches de standaard

prioriteit gebruiken, is switch A de root-bridge. Vergeet niet dat alle poorten op eenroot-bridge altijd in de modus forwarding staan (aangewezen poorten).

U bepaalt de root-poorten op switch B en switch C door de verbinding naar deroot-bridge te volgen. Iedere directe verbinding naar de root-bridge zal een root-poort– en dus aangewezen – zijn. Op de switches D en E zijn de poorten die met deswitches B en C verbonden zijn dichtstbijzijnde poorten van de switches D en E naarde root-bridge (laagste kosten), en dus zijn deze poorten root-poorten en staan ze inde modus forwarding (aangewezen).


Figuur 2.9 Antwoorden bij het voorbeeld van een Spanning Tree

Root-bridgeAlle poorten aangewezen

(forwarding)

Aangewezen (forwarding)

Root-poort

Root-poort

Root-poort

Root-poort



Niet aangewezen(blokkerend)Switch D

MAC = 0000.8c00.2101

Switch E

MAC = 0000.8c00.9870

Switch B

MAC = 0000.8c00.8955

Switch C

MAC = 0000.8c00.1202

Kijk nu weer naar figuur 2.9. Kunt u zien welke poorten tussen switch D en Euitgezet moeten worden om te verhinderen dat er een netwerklus voorkomt? Werk ditals volgt uit: omdat de verbindingen van de switches D en E naar de switches B en Croot-poorten zijn, kunnen deze niet uitgeschakeld worden. Het bridge-ID wordtgebruikt om aangewezen en niet-aangewezen poorten te bepalen. Dus, omdat switchE het laagste bridge-ID heeft, wordt de poort van switch D naar switch E niet-aangewezen (blokkerend) en de aansluiting van switch E op switch D aangewezen(forwarding).

2.4 Het type LAN-switchHet type LAN-switch bepaalt hoe een frame wordt behandelt wanneer het door eenswitch-poort ontvangen wordt. Wachttijd – latency: de tijd die verstrijkt tussen deontvangst van een frame op een switch en het moment dat dit naar een uitgangspoortgestuurd wordt – hangt af van de gekozen switchmodus. Er zijn drie switch-modi:


Cut-throughWanneer een switch in deze modus staat, wacht deze op de ontvangst van hethardware-doeladres vóór de switch het doeladres in de MAC-filtertabel opzoekt.

FragmentFree (gemodificeerde cut-through)Dit is de standaardmodus voor de Catalyst 1900-switch, ook wel gemodificeerdecut-through genoemd. In deze modus controleert de switch de eerste 64 bytes vaneen frame vóór deze het doorstuurt voor fragmentatie. Hierdoor voorkomt deswitch mogelijke botsingen (collisions).

Store-and-forwardIn deze modus wordt het hele data frame in de buffer van de switch ontvangen. Erwordt een CRC uitgevoerd. Vervolgens zoekt de switch het doeladres op in deMAC-filtertabel.

Figuur 2.10 toont de verschillende punten waarop de switchmodus in het frameplaatsvindt.

Hieronder worden de details van de drie switchmodi besproken.

Figuur 2.10 Verschillende switchmodi in een frame

Preamble SFD

Destination hardware addresses (hardware-

doeladressen)

Store-and-forward: alle fouten gefilterd;

heeft langste wachttijd

FragmentFree: controleert op

collisions

Cut-through: geen foutcontrole

Source hardware addresses (hardware-

bronadressen)

Lengte DATA FCS

6 bytes 1 byte 6 bytes 6 bytes 2 bytesTot

1.500 bytes 4 bytes

2.4.1 Cut-through (real time)

Bij de cut-through switch-methode kopieert de LAN-switch alleen het doeladres (deeerste zes bytes die op de preambule volgen) in de buffers. Hierna vindt de switch hethardware-doeladres in de MAC-switchtabel en bepaalt de uitgaande interface.Vervolgens stuurt de switch het frame door naar het doel.

Een cut-through switch is erg nuttig voor het verminderen van wachttijd (latency)omdat deze met het doorsturen van het frame begint zodra de switch het doeladresleest en dan de uitgaande interface bepaalt. Nadat de switch de doelpoort heeftbepaald, worden de daaropvolgende frames meteen naar deze poort doorgestuurd.

Sommige switches hebben een extra functie: de flexibiliteit om cut-throughswitching per poort uit te voeren tot er een door de gebruiker ingestelde aantal fouten


(error threshold) is bereikt. Op het moment dat deze grens wordt bereikt gaan depoorten automatisch in de modus store-and-forward over zodat ze de fouten nietlanger doorsturen. En wanneer het aantal fouten op de poort weer tot onder de grensdaalt, gaat de poort automatisch weer terug in de modus cut-through.

2.4.2 FragmentFree (gemodificeerde cut-through)

FragmentFree is een gemodificeerde vorm van cut-through switching. De switch wachttot de collision-window (64 bytes) voorbij is vóór deze met doorsturen begint. Dereden hiervoor is dat als een pakket een fout bevat, deze fout bijna altijd in de eerste64 bytes zit. Dus zal elk frame in het dataveld gecontroleerd worden om vast testellen dat er geen fragmentatie is opgetreden.

De modus FragmentFree biedt betere controle op fouten dan de modus cut-through. Een groot voordeel, zonder ernstige nadelen: er treedt geen merkbaarlangere wachttijd op. Dit is de standaard switch-methode voor de 1900-switches.

2.4.3 Store-and-Forward

Store-and-forward switching is Cisco’s belangrijkste LAN-switchmethode. Wanneerdeze in store-and-forward staat kopieert de LAN-switch het hele frame in de buffersen voert dan de ‘cyclic redundancy check’ (CRC, cyclische redundantiecontrole) uit.Omdat de switch het hele frame kopieert is de wachttijd (latency) op de switchafhankelijk van de lengte van het frame.

Het frame wordt verwijderd als het een CRC-fout bevat, als het te kort is (minderdan 64 bytes inclusief de CRC) of als het te lang is (meer dan 1.518 bytes inclusief deCRC). Als het frame geen fouten bevat, zoekt de LAN-switch het hardware-doeladresop in de forwarding- of switch-tabel om de juiste uitgaande interface te vinden. Als deswitch deze vindt, stuurt deze het frame naar het doel. Dit is de modus die deCatalyst-switches uit de 5000-serie gebruiken. Het is niet mogelijk deze modus aan tepassen.

2.5 SamenvattingDit hoofdstuk beschrijft de achtergrond van het laag-2 switchen. Als het goed is hebtu nu alle kennis die nodig is om met de rest van dit boek verder te gaan. Debelangrijkste punten zijn:


• Laag-2 switching en het verschil tussen switches en bridges.

• Address learning en hoe de MAC-adres filtertabel wordt opgebouwd.

• Forward/filtering- (doorstuur/filter-)beslissingen die de laag-2 switches kunnennemen en de manier waarop ze deze nemen.

• Het vermijden van lussen (loop-avoidance) en de problemen die ontstaan als ergeen maatregelen voor lusvermijding in het netwerk genomen worden.

• Spanning Tree Protocol en hoe STP het ontstaan van lussen verhindert.

• LAN-switch-types die op Cisco-routers gebruikt worden en de verschillenertussen.

Als er onderwerpen in deze lijst staan die u niet helemaal begrijpt, kijk dan nogeens in de desbetreffende paragraaf. Deze concepten zijn fundamenteel en progressief.Als u op dit moment niet alles begrijpt zult u alleen maar gefrustreerd raken als umeteen doorgaat naar hoofdstuk 3 en de daaropvolgende hoofdstukken. Het kost nietveel tijd, en het loont de moeite om een deel van de stof opnieuw door te nemen. Derest van de cursus wordt op die manier duidelijker en makkelijker te begrijpen.

2.6 KernbegrippenVóór u het examen doet, moet u ervoor zorgen dat u de volgende termen kent:

address learning

bridge-protocol data units (BPDU’s)

cut-through aangewezen poort (designated port)

FragmentFree

niet-aangewezen poort (nondesignated port)

root-bridge

Spanning Tree Protocol (STP)

store-and-forward

Hoofdstuk

6Virtuele LANs (VLANs)

DE VOLGENDE ONDERWERPEN UIT HETCCNA-EXAMEN WORDEN IN DIT HOOFD-STUK BEHANDELD:

✓ Bridging/Switching

• Beschrijf de voordelen van virtuele LANs.

Ik weet dat ik het al veel vaker gezegd heb, maar ik wil zeker weten dat u ditnooit meer vergeet, dus zeg ik het nog maar een keer: switches scheiden collision-domeinen en routers scheiden broadcast-domeinen. Goed, ik voel me een stuk beter!Nu kunnen we doorgaan.

Vroegere netwerken waren gebaseerd op collapsed backbones, maar de huidigenetwerken hebben een plattere architectuur – dankzij switches. En nu? Hoe scheidenwe broadcast-domeinen in een puur geswicht internetwerk? Door het maken vanvirtuele LANs. Een virtueel LAN ()een VLAN) is een logische groepnetwerkgebruikers en systeemcomponenten die verbonden is aan administratiefgedefinieerde poorten op een switch. Met VLANs krijgt u de mogelijkheid omkleinere broadcast-domeinen te maken binnen een laag-2 geswicht internetwerk doorverschillende poorten op de switch toe te wijzen aan verschillende subnetwerken. EenVLAN wordt behandeld als zijn eigen subnet of broadcast-domein. Dit houdt in datframes die gebroadcast worden op het netwerk alleen geswicht worden tussen depoorten die logisch gegroepeerd zijn binnen dezelfde VLAN. Een sterk staaltje!

Betekent dit dat we geen routers meer nodig hebben? Misschien wel, misschienniet. Het hangt er helemaal vanaf wat u precies wilt doen. Hosts in een VLAN kunnenniet communiceren met hosts die lid zijn van een andere VLAN, dus als u inter-VLANcommunicatie wilt, is het antwoord: ja, u hebt nog steeds een router nodig.

In dit hoofdstuk leert u precies wat een VLAN is, en hoe VLAN-lidmaatschappengebruikt worden in een geswicht internetwerk. Ook vertel ik u hoe Virtual TrunkProtocol (VTP) gebruikt wordt om switch-databases met VLAN-gegevens aan tepassen, en hoe trunking gebruikt wordt om alle VLAN-gegevens over een link testuren. Dan sluit ik af door uit te leggen hoe u inter-VLAN-communicatie mogelijkmaakt door een router te introduceren in uw geswicht internetwerk.

6.1 Introductie Virtuele LANs (VLANs)Zoals u in figuur 6.1 ziet, worden laag-2 geswichte netwerken meestal ontworpen alseen plat netwerk. Elk apparaat op het netwerk ziet alle broadcast pakketten dieverzonden worden, of het die gegevens nou wel of niet nodig heeft.


Host A

Routers staan alleen broadcasts toe in het netwerk waar ze vandaan komen, maarswitches sturen broadcasts naar alle segmenten. Het wordt een plat netwerk genoemdomdat het één broadcast-domein is, niet omdat het fysiek plat is.

Figuur 6.1 Platte netwerk structuur

In figuur 6.1 zien we dat Host A een broadcast stuurt en dat alle poorten op alleswitches deze broadcast doorsturen, behalve de poort die het als eerste ontving. Kijknu eens goed naar het geswichte netwerk in iguur 6.2. Host A stuurt een frame naarHost D, en zoals u ziet, wordt dat frame alleen maar doorgestuurd via de poort waarHost D op staat. Dit is een enorme verbetering van de vroegere hub-netwerken, tenziju natuurlijk per se standaard een collision-domein wilt.

Nu kent u het grootste voordeel van een laag-2 geswicht netwerk al: apartecollision-domein segmenten ondersteunen elk apparaat dat op de switch aangeslotenwordt. We kunnen nu grotere netwerken bouwen omdat de afstandsbeperkingen vanEthernet wegvallen. Maar elk voordeel heeft een nadeel – hoe groter het aantalgebruikers en apparaten, hoe meer broadcasts en pakketten elke switch aan moetkunnen!

Figuur 6.2 Het voordeel van een geswicht netwerk

Host A Host D

284 Hoofdstuk 6 • Virtuele LANs

En hier is nog een probleem – beveiliging! Dit is een groot probleem. In eennormaal laag-2 geswicht internetwerk kunnen alle gebruikers alle apparaten zien. En ukunt niet verhinderen dat de apparaten een broadcast sturen, of dat gebruikers opbroadcasts reageren. De beveiligingsmogelijkheden zijn jammer genoeg beperkt tot hetinstellen van wachtwoorden (passwords) op servers en apparaten.

Maar niet als u VLANs maakt, beste vriend! Jawel, u kunt veel van de problemenmet laag-2 switching met VLANs oplossen – zoals u snel zult zien!

VLANs vergemakkelijken het netwerkbeheer op een aantal manieren:

• Een VLAN kan verscheidene broadcast-domeinen in meerdere logischesubnetten groeperen.

• Netwerkuitbreidingen, -verhuizingen en -wijzigingen worden uitgevoerd dooreen poort te configureren in het juiste VLAN.

• Een groep gebruikers die een hoge mate van beveiliging nodig heeft, kan in eenapart VLAN gezet worden, zodat gebruikers van buiten dat VLAN niet met zekunnen communiceren.

• Omdat VLANs logische groeperingen van gebruikers zijn, worden ze beschouwdals onafhankelijk van de fysieke of geografische locatie van de gebruikers.

6.1.1 Broadcast-beheer

Broadcasts komen in elk protocol voor, maar hoe vaak ze voorkomen hangt af vandrie dingen:

• Type protocol.

• De toepassing(en)/diensten die op het internetwerk gebruikt worden.

• Hoe die diensten gebruikt worden.

Sommige oudere toepassingen zijn herschreven zodat ze minder bandbreedtegebruiken, maar er is een nieuwe generatie toepassingen die ongelofelijk veelbandbreedte nodig hebben en alles gebruiken wat ze kunnen vinden. Deze veelvratenzijn ondermeer multimedia-toepassingen die intensief gebruik maken van broadcastsen multicasts. De problemen die deze veeleisende broadcast-toepassingenveroorzaken, worden verergerd door falende apparatuur, ontoereikende segmentatie,en slecht ontworpen firewalls. Dit alles heeft de manier waarop netwerken wordenontworpen, ingrijpend veranderd. Het is ook de oorzaak geweest voor nieuweuitdagingen voor de beheerder. Goed segmenteren is voor een netwerk erg belangrijk.Alleen zo blijven problemen van een segment geïsoleerd en verspreiden ze zich nietdoor het hele internetwerk. De meest effectieve manier is het toepassen vanstrategische switching en routing.


Nu switches veel betaalbaarder geworden zijn, vervangen veel bedrijven hun plattehub-netwerken door een puur geswicht netwerk en VLANs-omgeving. Alle apparatenin een VLAN zijn leden van hetzelfde broadcast-domein en ontvangen alle broadcasts.Een switch houdt broadcasts tegen van alle poorten die geen lid zijn van hetzelfdeVLAN. Dit is geweldig, want het biedt u alle voordelen van een geswicht ontwerpzonder de aanzienlijke ellende die u zou meemaken als al uw gebruikers in hetzelfdebroadcast-domein zaten!

6.1.2 Beveiliging

Maar er schijnt altijd wel een addertje onder het gras te moeten zitten, dus we komenterug op de beveiliging. Meestal wordt een plat internetwerk beveiligd door hubs enswitches te verbinden met routers. Het kwam er dus op neer dat een router deveiligheid moest garanderen. Dat werkte om meerdere redenen niet: Ten eerste,iedereen die verbinding maakt met het fysieke netwerk, krijgt toegang tot denetwerkcomponenten van dat fysieke LAN. Ten tweede, het enige dat daarna hoeft tegebeuren om al het verkeer op dat netwerk te observeren, is het simpel op de hubaansluiten van een netwerkanalysator. En op dezelfde wijze konden gebruikers lidworden van een werkgroep door gewoon hun werkplekken op de bestaande hub aante sluiten. Eigenlijk was er dus geen beveiliging!

Daarom zijn VLANs zo mooi. Ze geven de systeembeheerder volledige macht overelke poort en elke gebruiker! Omdat de beheerder nu de macht heeft over elke poorten alle systeemcomponenten die via die poort benaderd kunnen worden, kunnengebruikers niet langer hun werkplekken op een willekeurige switchpoort aansluiten enzo toegang krijgen tot alle netwerkcomponenten.

En omdat VLANs rekening kunnen houden met de netwerkcomponenten die eengebruiker nodig heeft, kunt u switches zo configureren dat ze hetnetwerkmanagementstation waarschuwen zodra iemand ongeoorloofde toegang totnetwerkcomponenten probeert te krijgen. En als u inter-VLAN-communicatie wilt,kunt u beperkingen implementeren op een router. U kunt ook beperkingen instellendie gebaseerd zijn op hardware-adressen, protocollen, en toepassingsprogramma’s –dat is pas beveiliging!

6.1.3 Flexibiliteit en Schaalbaarheid

Als u hebt opgelet, weet u dat laag-2 switches de frames alleen lezen om ze te filteren– ze kijken niet naar het protocol op de Netwerk-laag. En switches sturen allebroadcasts door. Maar als u VLANs maakt en toepast, bent u eigenlijk bezig met hetmaken van kleinere broadcast-domeinen op laag-2.

Dit betekent dat broadcasts, die gezonden worden vanuit een node in een VLAN,niet doorgestuurd worden naar poorten die geconfigureerd zijn voor een ander


VLAN. Dus door het toewijzen van switchpoorten of gebruikers aan VLAN-groepenop een switch of groep van verbonden switches, (switch fabric), heeft u de flexibiliteitom alleen de gebruikers toe te voegen die u in dat broadcast-domein wilt hebben,ongeacht hun fysieke locatie! Deze opzet blokkeert broadcast-stormen die veroorzaaktworden door een defecte netwerk-interfacekaart (NIC), en voorkomt dat eentoepassing deze stormen door het hele internetwerk stuurt. Dit onheil kan nog steedsvoorkomen op het VLAN waar het probleem begon, maar de ziekte blijft beperkt totdat ene getroffen VLAN.

Een ander voordeel is dat als een VLAN te groot wordt, u meer VLANs kuntmaken om te voorkomen dat de broadcasts teveel bandbreedte opslokken – hoeminder gebruikers in een VLAN, hoe minder gebruikers beïnvloed worden doorbroadcasts. Dit is allemaal wel leuk en aardig, maar als u een VLAN maakt, moet uuiteraard wel de netwerkdiensten (network services) in het achterhoofd houden enbegrijpen hoe gebruikers verbinding leggen met deze diensten. Het is verstandig om,als dat enigszins mogelijk is, te proberen alle diensten lokaal te houden voor allegebruikers, met uitzondering van de e-mail en de Internet-toegang die iedereen nodigheeft.

Om te begrijpen hoe een VLAN eruitziet vanuit het oogpunt van een switch,moeten we eerst kijken naar het traditionele netwerk. Figuur 6.3 toont hoe eennetwerk gemaakt werd door fysieke LANs te verbinden met hubs en een router.

Figuur 6.3 Fysieke LANs verbonden met een router

Tekenkamer

Hubs

Verkoop

Marketing

Management Financieëleadministratie

Expeditie

Hier ziet u dat elk netwerk op een hubpoort naar de router was aangesloten (elksegment had ook zijn eigen logische netwerknummer, hoewel dit niet duidelijk te zienis in de figuur). Elke node die verbonden was aan een bepaald fysiek netwerk moesteen netwerkadres gebruiken dat paste bij dat netwerknummer. Alleen als aan dievoorwaarde was voldaan, kon de node met het internetwerk kon communiceren. Elke


afdeling had zijn eigen LAN, dus nieuwe gebruikers bij Verkoop werden gewoon opde Verkoop LAN aangesloten en daarmee automatisch onderdeel van het collision- enbroadcast-domein van Verkoop. Dit ontwerp werkte jarenlang bijzonder goed.

Maar er was een groot nadeel: wat gebeurt er als de hub voor Verkoop vol is en umoet een nieuwe gebruiker toevoegen aan de Verkoop LAN? Of, wat doen we als ergeen fysieke ruimte meer is voor de nieuwe medewerker in de locatie waar hetverkoopteam zich bevindt? Laten we aannemen dat er toevallig voldoende vrijeruimte is op het etage waar de afdeling Financiën is gehuisvest. De nieuweverkoopmedewerker moet noodgedwongen op dezelfde etage gaan zitten als definanciële mensen, en we sluiten de arme ziel gewoon aan op de hub voor Financiën.

Als u dit doet, wordt de nieuwe gebruiker onderdeel van de Financiële LAN. Dit isom meer dan één reden geen goed idee. De eerste (en belangrijkste) reden is debeveiliging: deze nieuwe gebruiker is lid van het Financiële broadcast-domein en zietdus dezelfde servers en netwerkdiensten als de medewerkers van Financiën. Tentweede, als deze nieuwe gebruiker toegang wil tot de netwerkdiensten van Verkoopdie hij/zij voor zijn/haar werk nodig heeft, moet die persoon door de router naar delogin van de Verkoopserver gaan – niet bepaald efficiënt!

Kijk nu eens wat een switch kan doen. Figuur 6.4 laat zien dat switches de fysiekebeperkingen van onze problemen weghalen.

Figuur 6.4 Switches nemen de fysieke beperking weg

VLAN2 VLAN3 VLAN4 VLAN2 VLAN7 VLAN3 VLAN3 VLAN6 VLAN5 VLAN5 VLAN6 VLAN4

Verzorgt inter-VLAN-communicatie

en WAN-servicesMarketing VLAN2 172.16.20.0/24Expeditie VLAN3 172.16.20.0/24Tekenkamer VLAN4 172.16.20.0/24Financiëëèele adm. VLAN5 172.16.20.0/24Management VLAN6 172.16.20.0/24Verkoop VLAN7 172.16.20.0/24

Figuur 6.4 laat zien hoe zes VLANs (genummerd twee tot en met zeven) gebruiktwerden om een broadcast-domein voor elke afdeling te maken. Elke switchpoort is


daarna administratief toegewezen aan een VLAN-lidmaatschap, afhankelijk van dehost en van het broadcast-domein waarin deze poort moet komen.

En als ik nu een nieuwe gebruiker wil toevoegen aan de Verkoop VLAN (VLAN7), wijs ik gewoon de benodigde poort toe aan VLAN 7, waar de nieuweverkoopmedewerker zich fysiek ook bevindt – leuk! Dit illustreert een van de leukstevoordelen van het ontwerpen van netwerken met VLANs in plaats van volgens hetoude collapsed backbone-architectuur. Nu wijst u eenvoudigweg elke host die tot deVerkoop VLAN moet behoren, toe aan VLAN 7.

U hebt vast wel gemerkt dat ik begonnen bent met nummer 2 toen ik VLANsnummers toewees. Het nummer doet er niet toe, maar u vraagt zich natuurlijk af water met VLAN 1 gebeurd is. Dit VLAN is een administratieve VLAN, en hoewel hij welvoor een werkgroep gebruikt kan worden, raadt Cisco u aan deze alleen vooradministratieve doelen te gebruiken. U kunt de naam van VLAN 1 niet wijzigen ofverwijderen, en alle poorten op een switch zijn standaard lid van VLAN 1 totdat u zewijzigt.

Elk VLAN wordt gezien als een broadcast-domein dus moet het ook zijn eigensubnetnummer hebben, zoals figuur 6.4 laat zien. En als u ook IPX gebruikt, moet elkVLAN ook zijn eigen IPX-netwerknummer toegewezen krijgen.

Laten we nu eens terugkomen op de misvatting dat we “dankzij de komst van deswitches geen routers meer nodig hebben”. In figuur 6.4, ziet u dat, als we VLAN 1meetellen, er zeven VLANs of broadcast-domeinen zijn. De nodes binnen elke VLANkunnen met elkaar communiceren, maar niet met een apparaat in een ander VLAN,omdat de nodes in elke willekeurig VLAN ‘denken’ dat zij eigenlijk in een collapsedbackbone zijn, zoals figuur 6.3 laat zien.

En welk handig hulpmiddeltje hebben we nodig om de hosts in figuur 6.3 met eennode of host op een ander netwerk te laten communiceren? U raadt het al – eenrouter! Deze nodes moeten hun gegevensverkeer absoluut door een router of eenander laag-3 apparaat naar een ander netwerksegment laten overzetten, net alswanneer deze nodes in VLAN’s zijn opgenomen (Figuur 6.4). Het is net of weverschillende fysieke netwerken aan elkaar proberen te hangen. Communicatie tussenVLANs moet ook door een laag-3 apparaat. Dus denk maar niet dat routers snelzullen verdwijnen!

6.2 VLAN-lidmaatschapVLANs worden meestal door een beheerder gemaakt die daarna switchpoortentoewijst aan de VLANs. Dit worden statische VLANs genoemd. Als de beheerdervooraf iets meer werk van te voren doet en voor alle host-apparaten in een databasede hardware-adressen toewijst aan een VLAN, kunnen de switches zo geconfigureerdworden dat VLANs dynamisch kunnen worden toegewezen als een host op een switchaangesloten wordt.


6.2.1 Statische VLANs

Statische VLANs zijn de meest gebruikelijke en meest veilige manier om VLANs temaken. De switchpoort die u aan een VLAN toewijst, blijft aan die VLAN toegewezentotdat een beheerder die instelling met de hand verandert.

Een dergelijke VLAN-configuratie is relatief makkelijk op te zetten en in de gatente houden. Het werkt goed in een netwerk waarin gebruikers niet voortdurend naareen andere plek in het netwerk verhuizen. En hoewel het nuttig kan zijn poorten teconfigureren met behulp van software voor netwerkbeheer, is het niet verplicht.

In figuur 6.4. heeft de beheerder elke switchpoort geconfigureerd met een VLAN-lidmaatschap, uitgaande van de VLAN waarvan de host lid moest zijn – de fysiekelocatie van het apparaat doet er niet toe. Het broadcast-domein waar de hosts lid vanworden is een administratieve keuze. Onthoud dat elke host ook het juiste IP-adresmoet hebben. Bijvoorbeeld, elke host in VLAN 2 moet geconfigureerd worden in hetnetwerk 172.16.20.0/24.

6.2.2 Dynamische VLANs

Dynamische VLANs bepalen de toewijzing van een VLAN aan een node automatisch.Met behulp van intelligente beheerssoftware kunnen we op basis van hardware-(MAC-) adressen, protocollen, of zelfs applicaties dynamische VLANs maken. De keusis aan u! Ga er even van uit dat MAC-adressen in een gecentraliseerde VLAN-beheerstoepassing ingevoerd zijn. Als een node dan op een niet-toegewezenswitchpoort aangesloten wordt, kan de VLAN-management database het hardware-adres opzoeken en de switchpoort aan de juiste VLAN toewijzen en configureren. Ditis geweldig – het maakt beheer en configuratie gemakkelijker omdat de switch eengebruiker automatisch op het juiste VLAN zal indelen als hij of zij verhuist. Maar uzult vooraf een hoop meer werk moeten doen, bij het opzetten van de database.

Cisco-beheerders kunnen de service (dienst) VLAN Management Policy Server (VMPS) gebruiken om een database van MAC-adressen op te zetten. Deze databasewordt gebruikt bij het dynamische adresseren van VLANs. Een VMPS-database legt derelatie tussen MAC-adressen en VLANs.

6.3 VLANs identificerenOmdat frames door het hele internetwerk geswicht zijn, moeten switches in staat zijnalle verschillende soorten frames in de gaten te houden. Switches moeten ookbegrijpen wat er met die frames moet gebeuren. U weet: dit is afhankelijk van hethardware-adres. Bedenk bovendien dat niet alle frames altijd op dezelfde manier


moeten worden behandeld. Dit is weer afhankelijk van de soort link die deze framesmoeten oversteken.

Er zijn twee verschillende soorten links in een geswichte omgeving:

Access link (toegangslink)Dit soort links is altijd deel van één VLAN. Ze worden de native VLAN van depoort genoemd. Elk apparaat dat aan een access link gehangen wordt weet nietsvan een VLAN-lidmaatschap – het apparaat neemt gewoon aan dat het deel is vaneen broadcast-domein, maar weet niets van het fysieke netwerk.

Switches verwijderen alle VLAN-gegevens uit het frame voordat dit naar een accesslink gestuurd wordt. Access links kunnen niet communiceren met apparaten buitenhun eigen VLAN, tenzij het pakket door een router overgezet wordt.

Trunk linksTrunks kunnen frames van meerdere VLANs doorgeven en ontleendenoorspronkelijk hun naam aan de hoofdkabels die in de telefonie worden gebruiktom meer telefoongesprekken tegelijk te kunnen doorgeven.

Trunk links zijn 100- of 1000Mbps point-to-point verbindingen tussen tweeswitches, tussen een switch en router, of tussen een switch en server. Ze geven hetverkeer van meerdere VLANs tegelijk door – van 1 tot wel 1005 per keer. Zulketrunks kun je niet draaien op 10Mbps links.

Trunking stelt u in staat één poort deel uit te laten maken van meerdere VLANs.Dit kan een echt voordeel zijn. U kunt het bijvoorbeeld zo regelen dat u een serverhebt in twee broadcast-domeinen, zodat uw gebruikers niet via een laag-3 apparaat(router) hoeven te gaan om in te loggen op en toegang te krijgen tot de server. Eenander voordeel van trunking merkt u als u switches verbindt. Trunk links kunnenvoor sommige of voor alle VLAN’s gegevens over de link doorgeven, maar als delinks tussen uw switches niet ‘trunked’ zijn, zullen alleen de gegevens van VLAN 1over de link geswicht worden. Daarom worden alle VLANs automatisch aan eentrunked link toegewezen tenzij een beheerder ze met de hand blokkeert.

Figuur 6.5 toont hoe de verschillende links gebruikt worden in een geswitchtnetwerk. Beide switches kunnen communiceren met alle VLANs vanwege de trunklink tussen hen. En denk eraan, het gebruik van een access link staat slechts éénVLAN toe tussen switches. Zoals u ziet, gebruiken deze host access links om metde switch verbinding te leggen, dus dat betekent dat ze slechts in één VLANcommuniceren.


Figuur 6.5 Access links en trunk links in een geswicht netwerk

SYSTEMRPS

1x 2x 3x 4x 5x 6x 7x 8x 9x 10x 11x 12x 13x 14x 15x 16x 17x 18x 19x 20x 21x 22x 23x 24x

10BaseT

MODE

CISCO YSTEMSS

Æ

UTL FDUPSTAT

Catalyst 1900

Ax Bx

100BaseTX

SYSTEMRPS


10BaseT

MODE

CISCO YSTEMSS

Æ

UTL FDUPSTAT

Catalyst 1900

Ax Bx

100BaseTX

Trunk-link

Door het gebruik van trunk-links kunnen VLANs meer switches omvatten; over deze trunk-links kan verkeer voor meer VLANs plaatsvinden. Rode

VLANBlauwe VLAN

Groene VLAN

Rode VLAN

Blauwe VLAN

Groene VLAN

6.3.1 Frame Tagging

U kunt ook VLANs maken die meer dan een switch bevatten. In figuur 6.4, zijn hostsvan diverse VLANs over vele switches verspreid. Deze zeer krachtige, flexibele functieis waarschijnlijk het grootste voordeel bij VLAN-implementatie!

Maar dit kan behoorlijk ingewikkeld worden – zelfs voor een switch. Daarommoet er voor elke switch een manier zijn om alle gebruikers en frames in de gaten tehouden tijdens hun reis over het switch fabric en de VLANs. (Denk eraan, een switchfabric is een groep switches die dezelfde VLAN-informatie delen.) Hier komt frametagging om de hoek kijken. Deze methode voor frame-identificatie wijst een uniek,door de gebruiker gedefinieerd kenmerk (een ‘unique user-defined ID’) toe aan elkframe. Sommige mensen noemen dit een ‘VLAN ID’ of ‘VLAN-kleur’.

Zo werkt het: elke switch waar het frame langs komt moet eerst de VLAN ID vanhet frame tag identificeren. Daarna zoekt de switch uit wat hij met het frame moetdoen. Dit geheurt door te kijken naar de informatie in de filtertabel. Als het frame eenswitch bereikt die een ‘trunked’ link heeft, wordt het frame via die trunk linkdoorgestuurd.

Als het frame een uitgang naar een access link bereikt, verwijdert de switch deVLAN-identificatie. Zo kan het doelapparaat de frames ontvangen zonder dat ditapparaat hun VLAN-identificatie hoeven te begrijpen.


6.3.2 VLAN-identificatiemethoden

Switches gebruiken dus VLAN-identificatie om al die frames in de gaten te houdenterwijl deze frames binnen een groep van switches (switch fabric) wordendoorgestuurd. Op deze wijze weten switches welke frames bij welke VLANs horen. Erzijn meerdere trunk-methoden:

Inter-Switch Link (ISL)Dit is producentspecifiek voor Cisco-switches, en het wordt alleen gebruikt voorFastEthernet en Gigabit Ethernet links. Om de server te voorzien van een trunklink kan ISL-routing toegepast worden op een switchpoort, router interfaces enserver interface-kaarten. Dit is een uitstekende methode als u functionele VLAN’smaakt en de 80/20-regel niet wilt breken.

De 80/20-regel is een formule die zegt dat 80% van gegevensverkeer op hetplaatselijke segment moet blijven, terwijl 20% of minder de overstap maakt vanhet ene naar het andere netwerksegment. Een ‘trunked’ server is onderdeel van alleVLANs (alle broadcast-domeinen), Gebruikers hoeven dus niet via een laag-3apparaat toegang tot de server te zoeken.

IEEE 802.1qEen standaardmethode van frame tagging die ontworpen werd door de IEEE. Hetvoegt eigenlijk een veld toe aan het frame; een veld dat het VLAN identificeert. Alsu een trunk tot stand brengt tussen een Cisco-geswichte link en een swicht van eenander merk, moet u 802.1q gebruiken. Doet u dit niet, dan werkt de trunk niet.

LAN-emulatie (LANE)Wordt gebruikt om middels ATM met meer VLANs te communiceren.

802.10 (FDDI)Het protocol 802.10 wordt gebruikt om VLAN-informatie over FDDI te sturen.Het gebruikt een SAID-veld in de ‘frame header’ om het VLAN te identificeren.Dit is ook producentspecifiek voor Cisco-apparaten.

Het CCNA examen behandelt alleen de ISL-methode van VLAN-identificatie. Het isechter verstandig om ook iets van de andere methoden af te weten.


6.3.3 Inter-Switch Link (ISL) Protocol

Inter-Switch Link (ISL) is een manier om expliciet VLAN-informatie op te nemen ineen Ethernet-frame. Met deze tagging-informatie kunnen de VLANs tegelijktijdiggebruik maken van een trunk link. Dit gelijktijdig gebruik wordt ‘multiplexen’genoemd. Om te kunnen multiplexen wordt een externe inkapselingmethode(encapsulation method) gebruikt.

Door ISL te gebruiken kun u meerdere switches met elkaar (door)verbinden.Daarbij blijkft VLAN-informatie behouden als het verkeer tussen de switches over detrunk links heen en weer gaat. ISL heeft een lage wachttijd (latentie) en benut devolledige beschikbare bandbreedte van de verbindingskabel. Dit in tegenstelling totFast-Ethernet, dat of half- of full-duplex gebruikt.

Cisco heeft het producentspecifieke ISL-protocol gemaakt, en dus wordt het alleengebruikt in Cisco-apparaten. Als u een niet-producentspecifiek VLAN protocol nodighebt, gebruik dan 802.1q. Dit protocol wordt behandeld in het door Sybex uitgegevenboek CCNP: Switching Study Guide.

Hoe dan ook, ISL is een extern tagging proces. Dit betekent dat hetoorspronkelijke frame niet veranderd wordt – het wordt alleen ingekapseld in eennieuwe 26-byte ISL-header. Het voegt ook een tweede 4-byte veld toe. Dit veld, een‘frame check sequence’-veld (FCS-veld) komt aan het einde van het frame (trailer).Omdat het frame door ISL ingekapseld is met ISL-specifieke informatie (header entrailer), kan het alleen gelezen worden door apparaten die ISL ondersteunen. Dezeframes kunnen wel 1.522 bytes lang zijn. en apparaten die ze ontvangen slaan ze opals één gigantisch frame. Dit is nodig omdat het de lengete van het frame langer is danhet door Ethernet toegestane maximum van 1.518 bytes.

Op multi-VLAN (trunk)poorten krijgt elk frame een tag als het op de switchbinnenkomt. Met ISL-netwerk interface-kaarten (NICs) kunnen servers frames, dietags hebben van meer VLANs, ontvangen en doorzenden. Hierdoor kunnen dezeframes meer VLANs oversteken zonder door een router moeten gaan. Dit is mooi,omdat het wachttijd vermindert. ISL zorgt ervoor dat gebruikers makkelijk enefficiënt toegang krijgen tot servers. Ze hoeven immers niet elke keer via een router tegaan als ze met een systeemcomponent willen communiceren. Deze techniek kan ookgebruikt worden met sondes (probes) en sommige netwerkanalysators. Beheerderskunnen met deze techniek file servers in meerdere VLANs tegelijk opnemen.

VLAN-informatie van ISL wordt alleen aan een frame toegevoegd als het framedoorgestuurd wordt vanuit een poort die geconfigureerd is als trunk link. De ISL-inkapseling wordt van het frame gehaald als het frame doorgestuurd wordt naar eenaccess link. Dit is een belangrijk stukje ISL-kennis!


6.4 VLAN Trunk Protocol (VTP)Cisco heeft ook het VTP-protocol gemaakt, maar deze keer is het nietproducentspecifiek. Met VLAN Trunk Protocol (VTP) beheert u alle geconfigureerdeVLANs over een geswicht internetwerk en behoudt u de consistentie in het netwerk.Met VTP kan de beheerder VLANs toevoegen, verwijderen en hernoemen en dezeinformatie dan naar alle switches in het netwerk doorsturen.

Hier is een overzicht van enkele voordelen van VTP:

• Consistente VLAN-configuratie over alle switches in het netwerk.

• VLANs kunnen middels een trunk worden verdeeld over gemengde netwerken;een VLAN in een netwerk met een trunk tussen een Ethernet- en een ATMLANE- of FDDI-deel.

• U kunt het gegevensverkeer over VLANs accuraat volgen en monitoren.

• Alle switches ontvangen automatisch een melding van toegevoegde VLANs.

• Plug-and-Play VLAN-toevoeging

D voordelen zijn natuurlijk heel mooi. Maar voordat u met VTP aan de slag kuntom VLANs in een netwerk te beheren, moet u eerst een VTP-server maken. Alleservers die VLAN-informatie delen, moeten dezelfde domeinnaam gebruiken. En eenswitch kan slechts in één domein opgenomen zijn. Dit houdt dus in dat een switchalleen VTP-domeininformatie kan delen met andere switches als ze in hetzelfde VTP-domein geconfigureerd zijn. U kunt een VTP-domein gebruiken als u meer dan éénswitch hebt aangesloten in een netwerk. Echter, wanneer al uw switches in slechts éénVLAN staan, hoeft u geen VTP te gebruiken. VTP-informatie wordt tussen switchesverzonden door een trunkpoort.

Switches sturen elkaar beheerinformatie over VTP-domeinen, een revisienummervan de configuratie en informatie over alle bekende VLANs, compleet met debijbehorende parameters. En dan is er ook nog zoiets als de VTP-transparante modus.In deze modus kunt u switches configureren zodat ze VTP doorsturen viatrunkpoorten, maar geen aanpassingen van informatie of van hun VTP-databasesaccepteren.

Merkt u dat er problemen ontstaan doordat gebruikers switches aan uw VTP-domein toevoegen, dan kun u wachtwoorden gebruiken. Let echter wel op eenbelangrijke beperking: elke switch moet worden ingesteld met hetzelfde wachtwoord.In de praktijk kan dit lastig blijken.

Switches stellen het bestaan van een voor hen nieuw VLAN vast aan de hand vaneen ontvangen VTP-bekendmaking (een VTP-advertisement). Als reactie hierop treffendeze switches dan voorbereidingen om gegevens over het nieuwe VLAN op huntrunkpoorten te ontvangen. Deze gegevens bestaan dan uit een VLAN ID, uit 802.10SAID-velden of uit LANE-informatie. Aanpassingen worden gestuurd met een


revisienummer dat gelijk is aan dat van het VTP-bericht plus 1. Als een switch eenhoger revisienummer ziet, weet hij dat die informatie recenter is, en gaat de switch degegevens in de database overschrijven met de nieuwe informatie.

6.4.1 VTP-operation modi

Switches kennen zijn drie verschillende ‘operation modi’; drie verschillende manierenom de switches in een VTP-domein te gebruiken. Figuur 6.6 laat ze alle drie zien:

Server-modusDe standaard voor alle Catalyst-switches. U hebt minimaal een server nodig in uwVTP-domein om VLAN-informatie over het domein te verspreiden. De switchmoet in server-modus werken om VLANs in een VTP-domein te kunnen maken,toe te voegen of te verwijderen. VTP-informatie wijzigen moet ook in server-modus gebeuren, en elke verandering aan een switch die in server-modus staat,wordt doorgestuurd naar het hele VTP-domein.

Client-modusIn client-modus ontvangt een switch informatie van VTP-servers, en kunnen zeook aanpassingen ontvangen en versturen. Maar ze kunnen geen veranderingenaanbrengen. Geen van de poorten op een client switch kan toegekend worden aaneen nieuw VLAN voordat de VTP-server die client-switch op de hoogte stelt vandit nieuwe VLAN. Een tip: als u wilt dat een switch als een server wiltconfigureren, maak er dan eerst een client van. Door er een client van te maken,ontvangt de switch alle juiste VLAN-informatie. Is deze informatie eenmaalontvangen, dan is de switch veel gemakkelijker in een server te veranderen!

Transparante modusSwitches in transparante modus doen niet mee in het VTP-domein, maar zij gevennog steeds VTP-bekendmakingen (VTP-advertisements) door via alle

Figuur 6.6 VTP-standen

Client Transparant

Server

Server-configuratie: opgeslagen in NVRAM

Transparante configuratie: opgeslagen in NVRAMClient-configuratie: niet opgeslagen in NVRAM


geconfigureerde trunk links. Deze switches kunnen VLANs toevoegen enverwijderen omdat zij hun eigen database bijhouden – een database die zij nietdelen met andere switches. Transparante modus is eigenlijk alleen lokaal vanbelang.

6.4.2 Pruning: snoeien in VTP

Met VTP kunt u op bandbreedte besparen door een protocol te configureren dat hetaantal broadcasts, multicasts, en andere unicast-pakketten vermindert. Dit heetsnoeien (pruning). VTP-pruning zorgt ervoor dat broadcasts alleen worden gestuurdnaar trunk links die de informatie ook echt moeten hebben. Een voorbeeld: als switchA geen poorten geconfigureerd heeft voor VLAN 5, en er wordt een broadcast overVLAN 5 uitgezonden, dan zal die broadcast niet de trunk link naar deze switch Aoversteken. VTP-pruining is meestal op alle switches uitgeschakeld.

Als u pruning inschakelt op een VTP-server, schakelt u het in voor het geheledomein. Normaal gesproken komen VLANs 2 tot en met 1005 in aanmerking voorpruning, maar VLAN 1 kan nooit pruning toepassen omdat het een administratieveVLAN is.

6.5 Routeren tussen VLANsHosts in een VLAN bestaan in hun eigen broadcast-domein en kunnen vrij met elkaarcommuniceren. VLANs partitioneren het netwerk en scheiden het gegevensverkeer oplaag 2 van het OSI-model. En als u wilt dat hosts en andere apparaten tussen VLANskunnen communiceren, is een laag-3-apparaat absoluut onontbeerlijk. Maar dat wist ual: blader maar eens terug naar passage waarin is uitgelegd waarom er nog steedsrouters nodig zijn.

Om apparaten uit verschillende VLANs te laten communiceren kunt u een routergebruiken die een interface heeft voor elke VLAN of een router die ISL-routingondersteunt. De goedkoopste router die ISL-routing ondersteunt, is de router uit de2600-serie. De 1600-, 1700-, en 2500-series ondersteunen ISL-routing niet.

Figuur 6.7 laat zien dat als het gaat om het koppelen van slechts een paar VLANs(twee of drie), een router met twee of drie 10BaseT- of FastEthernet-aansluitingenvoldoende is. 10BaseT is niet slecht, maar ik raad FastEthernet aan – dat werktuitstekend.


Figuur 6.7 Router met afzonderlijke VLAN-koppelingen

Een router verbindt drie VLANstot èeen netwerk waarover inter-VLAN-communicatie kan plaatsvinden. Elke

VLAN heeft een eigen intenface.

Zoals figuur 6.7 laat zien, is elke router-interface op een access link aangesloten.Dit betekent dat het standaardgateway-adres voor elke host in een VLAN gelijk is aanhet IP-adres van de interface van de router waarop dat VLAN is aangesloten.

Als u meer VLANs dan router-interfaces hebt, kunt u of ISL-routing op éénFastEthernet-interface draaien, of een ‘route switch module’ (RSM) kopen voor eenswitch uit de 5000-serie. De RSM kan tot 1.005 VLANs ondersteunen en draait op debackplane van de switch.

In plaats van een router-interface te gebruiken voor elk VLAN, kunt u ook eenFastEthernet-interface gebruiken en ISL-routing toepassen. Figuur 6.8 laat zien hoeeen FastEthernet-interface op een router eruitziet als die met ISL-routinggeconfigureerd wordt. Dit stelt alle VLANs in staat te communiceren via ééninterface. Cisco noemt dit ‘een router-op-een-stokje’.

Figuur 6.8 Router-op-een-stokje

Een router verbindt alle VLANstot èeen netwerk waarover inter-VLAN-

communicatie kan plaatsvinden. Erwordt maar een router-interface gebruikt("router-op-een-stokje": router on a stick.)


6.6 SamenvattingIn dit hoofdstuk maakte u kennis met de wereld van virtuele LANs en leerde u hoeCisco-switches die gebruiken. We hebben het al gehad over hoe VLANs broadcast-domeinen scheiden in een geswitch internetwerk. Dit is belangrijk omdat laag-2switches alleen collision-domeinen scheiden. Normaal gesproken vormen alle switchessamen één groot broadcast-domein. Ook de ‘trunked’ VLANs over een FastEthernet-link zijn behandeld.

Trunking is een essentiële technologie die u goed moet begrijpen als u te makenhebt met een netwerk met meerdere switches die verschillende VLANs besturen. Ookhet Virtual Trunk Protocol (VTP) is aan de orde geweest. Dit protocol heeft eigenlijkniets te maken met trunking. U hebt geleerd dat VTP de VLAN-informatie over een‘trunked’ link stuurt, maar dat de trunkconfiguratie zelf geen onderdeel is van VTP.

6.7 KernbegrippenVoordat u aan het examen deelneemt moet u de volgende begrippen kennen:

access link

collision-domein

plat netwerk

statische VLAN

trunk link

VLAN Trunk Protocol (VTP)

broadcast-domein

dynamische VLAN

ISL-routing

switch fabric

virtuele LAN

Appendix

BDe Catalyst 1900-switch configureren

De 1900-switch is een low-end model van de Cisco Catalyst-switch. Er zijnnog twee verwante modellen van de Catalyst 1900-switch: de 1912 en de 1924. De1912-switches hebben 12 10BaseT-poorten en de 1924-switches hebben 24 10BaseT-poorten. Elk heeft twee 100mbps uplinks – twisted-pair of glasvezel.

Omdat de 1900-switch nu een versie van het Cisco IOS kan aansturen, kunt u dezegebruiken om te leren hoe de switch-producten van Cisco werken. Nog niet alleCisco-switches kunnen een versie van het IOS aansturen, maar in de toekomst zal ditwel mogelijk zijn.

In deze appendix leert u hoe u een Cisco Catalyst 1900-switch start en configu-reert met behulp van de Command-Line Interface (CLI). Eerst wordt behandeld hoe ueen console-kabel aansluit, daarna wat er gebeurt wanneer een 1900-switch gaatwerken. Nadat u hebt geleerd een console-kabel aan de switch te koppelen en deswitch in werking te stellen, maakt u kennis met de meest voorkomendeconfiguratieopdrachten die gebruikt worden voor de 1900-switch.

Na de basisopdrachten komt aan de orde hoe naast ISL-routeren en virtuele trunk-protocollen (VTP) virtuele LANs (VLANs) op de switch geconfigureerd kunnenworden.

In deze appendix komt onder meer aan de orde:

• Wachtwoorden instellen

• De host-naam instellen

• Het IP-adres en het subnetmasker configureren

• De interfaces identificeren

• Een beschrijving op de interfaces instellen

• De poort-duplex van een poort definiëren

• De configuratie controleren

• De MAC-adrestabel beheren

• Permanente en statische MAC-adressen instellen

• Poortbeveiliging configureren

• De opdracht show version beschrijven


• Het LAN-switch-type wijzigen

• VLANs configureren

• VLAN-memberships aan switch-poorten toevoegen

• Een VTP-domein maken

• Trunking configureren

• Snoeien (pruning) configureren

Achter in de appendix treft u praktijk- en theorielessen en toetsvragen aan, zodat uvolop mogelijkheden hebt het geleerde over de 1900-switch-configuratie toe tepassen.

Het configureren van de 1900-switch is geen onderdeel van het CCNA-examen. U zultechter merken dat u de stof die in deze appendix aan de orde komt wel tijdens uw werknodig hebt. Bovendien zult u meer van de Cisco technologie begrijpen naarmate u meerkennis heeft van de 1900, wat uw examenresultaten zeker ten goede zal komen.

B.1 Kenmerken van de 1900-switchMet een CLI kan de Catalyst 1900-switch het Cisco Internetworking OperatingSystem (IOS) op de switch configureren. Voor de CLI beschikbaar was kon de 1900-switch alleen via een menusysteem worden geconfigureerd.

Door de CLI lijkt het configureren van de switch veel op het configureren van eenrouter. De Cisco Catalyst 5000-serie, één van de higher-end modellen, is set-based,wat betekent dat u de opdracht set gebruikt om de router te configureren. In ditboek worden alleen de configuratie-opdrachten voor de Catalyst 1900-switchbehandeld.

Er zijn twee types besturingssystemen die op Cisco-switches draaien:

IOS-basedIn dit systeem configureert u de switch vanuit een CLI die lijkt op Cisco-routers.Catalyst 1900-, 2820- en 2900-switches kunnen met een IOS-based CLI wordengebruikt, maar ze kunnen ook door middel van een menusysteem wordeningesteld.

Set-basedDit systeem gebruikt oudere set-based CLI configuratie-opdrachten. De Cisco-switches die de set-based CLI gebruiken zijn de 2926-, 1948G-, 4000-, 5000- en6000-serie.

522 Appendix B • De Catalyst 1900-switch configureren

De 1900-switch is belangrijk omdat u er een CLI met IOS-based opdrachten meekunt laten draaien op een goedkopere switch dan de 5000-serie. De 1900-switcheszijn uitermate geschikt voor iemand met een kantoor aan huis of voor andere kleinekantoren waar u kunt volstaan met 10mbps switched poorten en 100mbps uplinks.

B.1.1 De drie configuratiemogelijkheden

De Catalyst-switch gebruikt een CLI die nog het meest lijkt op de router-configuratiedie in hoofdstuk 4 is besproken. U kunt de switch echter ook configureren met eenweb-based methode door middel van de Visual Switch Manager (VSM). Om de switchmet de VSM te configureren voert u het IP-adres van de switch op een Web-browserin. Verderop in deze appendix leert u hoe u een IP-adres aan de switch moetkoppelen.

De 1900-switches beschikken ook over het oorspronkelijke menusysteem waarmeeu de switch door een serie menu-based opties kunt configureren. Om de switch metTelnet of VSM te configureren moet er een IP-adres op de switch zijn geconfigureerd.

B.1.2 Verbinding maken met de console-poort

Achter op de 1900-switch zit een console-poort, net als bij de 2500-routers die inhoofdstuk 4 zijn behandeld. Het is een RJ-45 poort die met een kabel op een terminalkan worden aangesloten.

1924-switches worden met een nulmodem-kabeltje op de console-poort aangesloten.

Nu moet u een terminalemulatieprogramma, zoals HyperTerm in Windows starten.De instellingen voor dit programma zijn als volgt:

• 9600 bps

• Aantal databits: 8

• Pariteit (parity): geen

• Aantal stop-bits: 1

• Flow control: geen

Sluit geen Ethernet-, ISDN- of een onder spanning staande telefoonkabel aan op deconsole-poort, omdat hierdoor de elektronica van de switch beschadigd kan worden.


B.1.3 De 1900-switch starten

Voor u de switch voor het eerst inschakelt, moet u nagaan of de volgende handelingencorrect zijn uitgevoerd:

• Alle netwerkkabels zijn goed aangesloten.

• Er is een terminal op de console-poort aangesloten.

• U hebt de software van de terminal juist geconfigureerd.

Wanneer dit allemaal in orde is, sluit u de spanningskabel op de switch aan. Bekijkde reeks met kleine lichtjes. Controleer vervolgens de uitvoer op de console. In figuurB.1 staat een afbeelding van de 1900-switch en de plaats van de Light Emitting Diodes(LEDs).

Figuur B.1 Catalyst 1900-switch

SYSTEMRPS


10BaseT

MODE

CISCO YSTEMSS

UTL FDUPSTAT

Catalyst 1900

Ax Bx

100BaseTX

Een groen systeem-LED verschijnt wanneer de switch werkt. Zodra er eensysteemfout optreedt, wordt het licht oranje. De RPS is een redundante stroom-voorzieningsindicator die aangaat als er een RPS in de switch is ontstaan.

De enige knop op de 1900-switch is de modusknop. Door op de modusknop tedrukken verschijnen drie verschillende statusindicatoren op de switch:

StatDit licht geeft de status van de poorten weer. Als het groen is, wil dat zeggen dat ereen apparaat op de switch is aangesloten. Groen betekent actief en een groenknipperend licht wil zeggen dat er activiteit op de poort is. Als het licht van depoort oranje wordt, is er een verbindingsfout opgetreden.

UTLDit licht geeft de bandbreedte van de switch aan. Als u op de modusknop van een1912-switch drukt en de LEDs voor de poorten 1 tot en met 4 aangaan, betekentdit dat de switch een bandbreedte van tussen de 0.1 and 1.5mbps gebruikt. Als deLEDs 5 tot en met 8 aangaan, wordt een bandbreedte tussen de 1.5 and 20mbpsgebruikt. Lichtjes 9 tot en met 12 duiden op een bandbreedte tussen de 20 en120mbps.

FDUPDit licht geeft aan welke poorten met full duplex geconfigureerd zijn.


Als de 1900-switch voor het eerst wordt ingeschakeld, doet deze eerst een power-on self test (POST). Aan het begin hiervan zijn alle poort-LEDs groen. Als de POSTklaar is, gaan de LEDs weer uit. Wordt er een fout geconstateerd op een van depoorten door de POST, dan worden zowel de systeem-LED als de poort-LED oranje.Als er geen fout wordt gesignaleerd beginnen alle LEDs eerst te knipperen, waarna zeuitgaan.

Nadat de POST is afgelopen en u een console-kabel op de switch hebt aangesloten,verschijnt het hieronder afgebeelde menu. Door op K te drukken kunt u deCommand-Line Interface (CLI) gebruiken, en door op M te drukken kunt u de switchconfigureren via een menu-systeem. Drukt u op I dan kunt u de IP-configuratie van deswitch configureren. Dit kunt u echter ook te allen tijde via het menu of de CLI doen.Als de IP-configuratie is ingesteld, verschijnt de I-selectie niet meer op het scherm.

De hieronder afgebeelde uitvoer van de switch is de uitvoer die op het console-scherm komt nadat de switch is ingeschakeld.

1 user(s) now active on Management Console.

User Interface Menu

[M] Menus [K] Command Line [I] IP Configuration

Enter Selection: K

CLI session with the switch is open. To end the CLI session, enter [Exit].>

B.1.4 Verbinding maken met een Ethernet-poort

De Catalyst switches uit de1900-serie hebben standaard poorttypes. Deze zijn nietmodulair, zoals die van de 5000-serie. De 1900-switches gebruiken alleen 10BaseT-poorten voor werkstations en 100BaseT of FX voor uplinks. Elke switch heeft ofweltwaalf (model 1912) of 24 (model 1924) 10BaseT switch-poorten, elk met één oftwee FastEthernet-plinks. De 100BaseX-poorten worden poorten A en B genoemd.Om de poorten aan te sluiten op een uplink hebt u een crossover-kabel nodig. Helaasbestaat er geen knop voor deze functie.

Wanneer u apparaten zoals werkstations, servers, printers en routers aan de switchverbindt, hebt u een straight-through-kabel nodig. Voor de verbinding tussen switchesgebruikt u een crossover-kabel.


Als een apparaat met een poort is verbonden, gaat de poort-status LED aan. Alshet licht niet aangaat, kan de oorzaak zijn dat het andere apparaat is uitgeschakeld ofdat er een probleem met de kabel is. Als het licht blijft knipperen kan er een auto-speed en duplex-probleem zijn. In de volgende paragraaf wordt behandeld hoe u ditkunt controleren. Als u geen apparaat met de switch heeft verbonden zal het poort-licht aangaan wanneer u start, maar daarna weer uitgaan.

B.2 Configuratie-opdrachten voor deCisco 1900 IOSIn deze paragraaf komt aan de orde hoe u de basisinstellingen op de Catalyst 1900-switch kunt configureren:

• De wachtwoorden instellen

• De host-naam instellen

• Het IP-adres en het subnetmasker configureren

• De interfaces herkennen

• Een beschrijving op de interfaces zetten

• De duplex van een poort definiëren

• De configuratie controleren

• De MAC-adrestabel beheren

• Een permanent en een statisch MAC-adres instellen

• Poortbeveiliging instellen

• De opdracht show version gebruiken

• Het LAN-switchtype wijzigen

B.2.1 De wachtwoorden instellen

Het eerste dat u op een switch moet configureren zijn de wachtwoorden, want u wiltnatuurlijk niet dat elke willekeurige gebruiker aan de switch kan komen. U kuntwachtwoorden instellen voor zowel de beheer- als de gebruikersmodus, net als bij eenrouter. De opdrachten hiervoor zijn echter anders.

Het login-wachtwoord (voor de gebruikersmodus) kan gebruikt worden om tecontroleren of iemand geautoriseerd is om verbinding te zoeken met de switch, met


een bepaalde verbinding of met de console. Het enable-wachtwoord wordt gebruiktom iemand toegang tot de switch te geven om de configuratie te bekijken of teveranderen. Dit werkt hetzelfde als bij een Cisco-router.

De wachtwoorden moeten minimaal uit vier en maximaal uit acht tekens bestaan. Hetmaakt niet uit of u hoofdletters of kleine letters gebruikt.

Hoewel de 1900-switch een CLI gebruikt om een IOS aan te sturen, zijn deopdrachten voor de gebruikers- en de enable-modus anders dan bij een router. U kuntde opdracht enable password gebruiken, omdat deze hetzelfde is, maar u kiestandere toegangsniveaus. Deze zijn op een Cisco-router optioneel, maar niet op de1900-switch.

Wachtwoorden voor de gebruikersmodus en de enable-modus instellen

Op de 1900-switch gebruikt u dezelfde opdracht om het wachtwoord voor degebruikersmodus in te stellen als voor de enable-modus. Wel gebruikt u opdrachtenop verschillende niveaus om het soort toegang te bepalen waar ieder wachtwoordrecht op geeft.

Om de wachtwoorden voor de gebruikersmodus en de enable-modus te configu-reren, drukt u op K als u de uitvoer van de switch-console op het scherm ziet. Ga naarde enable-modus met de opdracht enable en ga vervolgens naar de global-configuratiemodus met de opdracht config t . Het volgende voorbeeld laat zien hoeu naar de enable-modus en vervolgens naar de global-configuratiemodus gaat.


User Interface Menu


Enter Selection: K

CLI session with the switch is open. To end the CLI session, enter [Exit].

>enable#config tEnter configuration commands, one per line. End with CNTL/Z(config)#


Zit u eenmaal in de global-configuratiemodus dan kunt u de wachtwoorden voorde gebruikersmodus en de enable-modus instellen met de opdracht enablepassword . De volgende uitvoer laat de configuratie zien van de wachtwoorden vande gebruikersmodus en van de enable-modus.

(config)# enable password ? level Set exec level password(config)# enable password level ? <1-15> Level number

Om het wachtwoord van de gebruikersmodus in te voeren, gaat u naar niveau 1.Om het wachtwoord van de enable-modus in te voeren gaat u naar niveau 15. Denkeraan dat het wachtwoord ten minste uit vier tekens moet bestaan, maar dat het nietlanger dan acht tekens mag zijn. In het volgende voorbeeld ziet u dat een wacht-woord voor de gebruikersmodus wordt ingevoerd en afgewezen omdat het uit meerdan acht tekens bestaat.

(config)# enable password level 1 toddlammleError: Invalid password length.Password must be between 4 and 8 characters

Het volgende voorbeeld laat zien hoe u de wachtwoorden van zowel degebruikersmodus als van de enable-modus op de 1900-switch kunt instellen.

(config)# enable password level 1 todd(config)# enable password level 15 todd1(config)# exit#exitCLI session with the switch is now closed.Press any key to continue.

Nu kunt u op Enter drukken om uw wachtwoorden te testen. Als u op K drukt,wordt er naar het wachtwoord van de gebruikersmodus gevraagd. Als u enable typtwordt naar het wachtwoord van de enable-modus gevraagd.

Nadat u de configuratiemodus én de beheermodus hebt verlaten, verschijnt hetvolgende scherm. U ziet dat wanneer u op K drukt, de switch om een wachtwoordvoor de gebruikersmodus vraagt.

Catalyst 1900 Management ConsoleCopyright (c) Cisco Systems, Inc. 1993-1998All rights reserved.Enterprise Edition SoftwareEthernet Address: 00-30-80-CC-7D-00PCA Number: 73-3122-04PCA Serial Number: FAB033725XG


Model Number: WS-C1912-ASystem Serial Number: FAB0339T01MPower Supply S/N: PHI031801CFPCB Serial Number: FAB033725XG,73-3122-04---------------------------------------------1 user(s) now active on Management Console. User Interface Menu [M] Menus [K] Command LineEnter Selection: KEnter password: **** CLI session with the switch is open. To end the CLI session, enter [Exit].>enEnter password: ****#

In het voorbeeld ziet u dat wanneer u en typt, (dit is de afkorting van de opdrachtenable ) het systeem om het wachtwoord voor de enable-modus vraagt.

Het is essentieel dat u de wachtwoorden die u gebruikt, goed onthoudt, want de 1900-switch heeft geen wachtwoordrecovery. Als u het wachtwoord onverhoopt toch vergeet,moet u Cisco bellen. Zij kunnen het probleem voor u oplossen.

U hebt de wachtwoorden voor de gebruikersmodus en de enable-modus nuingesteld. Dan is er nog een wachtwoord: dat van de enable-beheermodus.

Het wachtwoord voor de enable-beheermodus instellen

Het wachtwoord voor de enable-beheermodus is heel belangrijk omdat het voorrangkrijgt boven de wachtwoorden voor de enable-modus. Dit wachtwoord wordt opdezelfde manier ingesteld als dat van van de beheermodus op de router. Als u hetwachtwoord voor de beheermodus heeft ingesteld, hebt u eigenlijk geen wachtwoordvoor de enable-modus nodig.

(config)# enable secret todd2

Op de 1900-switch mag u dezelfde opdrachten voor enable password enenable secret gebruiken, maar op de router mag dat niet. Met de opdracht showrunning-config (verkort show run ) kunt u de huidige configuratie van de switchbekijken.


#sh runBuilding configuration...Current configuration:

enable secret 5 $1$FMFQ$wFVYVLYn2aXscfB3J95.w.enable password level 1 “TODD”enable password level 15 “TODD1”

U ziet dat de wachtwoorden van de enable-modus niet standaard zijn versleuteld,die van de enable-beheermodus wel. Dit is dezelfde wachtwoord-configuratietechniekals die van de router.

Belangrijk om te weten is dat hoewel de wachtwoorden nu met kleine letterswerden ingetikt, ze door running-config in hoofdletters worden weergegeven. Hetmaakt dus niet uit of u hoofdletters of kleine letters gebruikt. Dit heeft geen invloedop de wachtwoorden.

B.2.2 De host-naam instellen

De host-naam op de switch heeft – net als die op de router – alleen plaatselijkebetekenis. Dit houdt in dat het wachtwoord geen functie op het netwerk en geeninvloed op de naamresolutie heeft. Het is echter wel handig om een host-naam op deswitch te zetten, zodat u deze kunt herkennen wanneer u er verbinding mee hebt.Daarom is het een goed idee de switch een naam te geven die verband houdt met delocatie ervan.

De opdracht waarmee u de host-naam van de 1900-switch instelt is dezelfde als dievan de router: hostname (Denk eraan dat dit maar één woord is). Onderstaand ziet ude uitvoer van de switch op het console-scherm. Doe als volgt:

• Druk op K om naar de gebruikersmodus te gaan,.

• Typ het wachtwoord.

• Typ de opdracht enable .

• Typ het wachtwoord van de enable-beheermodus. In de global-configuratiemodus typt u dan de opdracht hostname hostname .


User Interface Menu

[M] Menus [K] Command Line [I] IP ConfigurationEnter Selection: K


Enter password: **** CLI session with the switch is open. To end the CLI session, enter [Exit].>enEnter password: ****#config tEnter configuration commands, one per line. End with CNTL/Z(config)# hostname Todd1900ENTodd1900EN(config)#

U merkt dat de host-naam van de switch verschijnt zodra u op Enter hebt gedrukt.Denk eraan dat de running-config vanuit de global-configuratiemodus is veranderd.(Weet u nog dat u met de opdracht config t naar de global-configuratiemodus kuntgaan?) Alle veranderingen die u in deze modus aanbrengt, worden directdoorgevoerd.

B.2.3 IP-informatie instellen

U hoeft geen IP-configuratie op de switch in te stellen om de switch operationeel temaken. Zodra de apparaten aangesloten zijn, werken ze, net als bij een hub. Toch zijner twee redenen om IP-adresinformatie op de switch in te stellen. Ten eerste omdat ude switch dan met Telnet of met andere beheersoftware kunt beheren. Ten tweede omervoor te zorgen dat u de switch met verschillende VLANs and anderenetwerkfuncties kunt configureren. VLANs komen in hoofdstuk 6 aan de orde.

Op de Catalyst 1900-switch staan bij aankoop al een aantal instellingen standaardgeprogrammeerd. Het gaat om de volgende instellingen:

IP adres and standaard gateway: 0.0.0.0

CDP: Enabled

Switch modus: FragmentFree

100BaseT-poorten: Auto-negotiate duplex modus

10BaseT-poorten: Half duplex

Spanning Tree: Enabled

Console-wachtwoord: Niet ingesteld

Standaard is er geen IP-adres of standaard gateway ingesteld. Normaal gesprokenstelt u zowel het IP-adres als de standaard gateway op een laag-2 switch in (net als opelke andere host). Met de opdracht show ip (of sh ip ), kunt u de standaard IP-configuratie op de switch bekijken.


Todd1900EN# sh ipIP Address: 0.0.0.0Subnet Mask: 0.0.0.0Default Gateway: 0.0.0.0Management VLAN: 1Domain name:Name server 1: 0.0.0.0Name server 2: 0.0.0.0HTTP server : EnabledHTTP port : 80RIP : Enabled

In de uitvoer hierboven zijn geen IP-adres, standaard gateway, of andere IP-parameters geconfigureerd. Om de IP-configuratie op een 1900-switch in te stellengebruikt u de opdracht ip address . De standaard gateway moet ook wordeningesteld met de opdracht ip default-gateway .

Het voorbeeld laat zien hoe het IP-adres en de standaard gateway op een 1900-switch worden ingesteld.

Todd1900EN# config tEnter configuration commands, one per line. End with CNTL/ZTodd1900EN(config)# ip address 172.16.10.16 255.255.255.0Todd1900EN(config)# ip default-gateway 172.16.10.1Todd1900EN(config)#

Als u de IP-informatie hebt ingesteld, kunt u met de opdracht show ip uwwijzigingen controleren.

Todd1900EN# sh ipIP Address: 172.16.10.16Subnet Mask: 255.255.255.0Default Gateway: 172.16.10.1Management VLAN: 1Domain name:Name server 1: 0.0.0.0Name server 2: 0.0.0.0HTTP server : EnabledHTTP port : 80RIP : EnabledTodd1900EN#

Om het IP-adres en de standaard gateway op de switch te veranderen kunt unieuwe adressen invoeren, maar u kunt ook de IP-informatie verwijderen met deopdrachten no ip address en no ip default-gateway .


B.2.4 Switch-interfaces configureren

Het is belangrijk dat u begrijpt hoe u toegang krijgt tot de switch-poorten. Bij de1900-switch gebruikt u de opdracht type slot/port . Ethernet 0/3 is bijvoorbeeld10BaseT poort 3. Nog een voorbeeld is FastEthernet 0/26. Dit is de eerste van detwee FastEthernet-poorten die op de 1900-switch beschikbaar zijn.

De opdracht type slot/port voor de 1900-switch kan zowel met de opdrachtinterface of met de opdracht show worden gebruikt. Met de opdracht interfacekunt u specifieke interface-configuraties instellen. De 1900-switch heeft maar éénslot: zero (0).

De helpschermen die bij de configuratie van de interfaces horen, zijn niet volledig.De helpschermen laten wel zien dat de poorten 1 tot en met 25 voor Ethernetbestemd zijn. De poorten 26 en 27 zijn alleen voor FastEthernet. Een 1912 beschiktechter slechts over de poorten 1 tot en met 12, en aan de achterkant poort 25. Dit iseen Attachment Unit Interface (AUI), een adapter om switches met elkaar te verbindenof om de 1900-switch op een coax Ethernet-netwerk aan te sluiten.

De 10BaseT-interfaces configureren

Om een interface op een 1900-switch te configureren, gaat u naar de global-configuratiemodus. U geeft de opdracht interface . De helpschermen die u dan tezien krijgt beschrijven de type slot/port configuratiemethode. In de global-configuratiemodus gebruikt u de opdracht interface plus het type: Ethernet ofFastEthernet-interface. Hierna ziet u een demonstratie van de Ethernet-interface-configuratie.

Todd1900EN# config tEnter configuration commands, one per line. End with CNTL/ZTodd1900EN(config)# int ethernet ? <0-0> IEEE 802.3

U ziet dat om ‘het slot’ wordt gevraagd. Omdat de 1900-switch niet modulair is, iser maar één slot. Onderstaand zorgt een slash (/) ervoor dat de slot van de poort-configuratie wordt gescheiden.

Todd1900EN(config)# int ethernet 0? /Todd1900EN(config)# int ethernet 0/? <1-25> IEEE 802.3

In dit voorbeeld wordt na de configuratieopdracht 0/ het aantal te configurerenpoorten getoond. Als u echter alleen een 1912-switch hebt, beschikt u slechts over de


poorten 1 tot en met 12, over poort 25 op de achterzijde van de switch en over depoorten 26 en 27 als de 100mbps-uplinks. De FastEthernet-poorten komen niet in hetvoorbeeld voor, omdat het Ethernet-interface-type is gekozen.

Todd1900EN(config)# int ethernet 0/1

Als u toegang hebt tot de interface-configuratie, verandert de prompt in(config-if ). Vanaf de interface-prompt kunt u de help-opdrachten gebruiken om debeschikbare opdrachten te zien.

Todd1900EN(config-if)# ?Interface configuration commands: cdp Cdp interface subcommands description Interface specific description duplex Configure duplex operation exit Exit from interface configuration mode help Description of the interactive help

system no Negate a command or set its defaults port Perform switch port configuration shutdown Shutdown the selected interface spantree Spanning tree subsystem vlan-membership VLAN membership configuration

In de global-configuratiemodus kunt u te allen tijde heen een weer schakelen vanen naar de interface-configuratie. U doet dit met de opdracht int e 0/# .

FastEthernet-interfaces configureren

Om de twee FastEthernet-poorten te configureren gebruikt u ook opdracht typeslot/port . Hier is het type niet Ethernet maar FastEthernet. Bijvoorbeeld:interface fastethernet 0\# .

Het onderstaande voorbeeld toont de configuratie van een FastEthernet-poort opde 1900-switch. U ziet dat de opdracht interface fastethernet is, maar het slotis nog steeds 0. De enige beschikbare poorten zijn 26 en 27.

Todd1900EN(config)# int fastEthernet ? <0-0> FastEthernet IEEE 802.3Todd1900EN(config)# int fastEthernet 0/? <26-27> FastEthernet IEEE 802.3Todd1900EN(config)# int fastEthernet 0/26Todd1900EN(config-if)# int fast 0/27Todd1900EN(config-if)# [control+Z]


Nadat u de gewenste wijzigingen op de interfaces hebt aangebracht, kunt u deinterfaces nog eens bekijken met de opdracht show interface .

In het volgende voorbeeld wordt de opdracht gedemonstreerd die wordt gebruiktom een 10BaseT interface te bekijken. Ook ziet u in het onderstaande voorbeeld hoeu met de opdracht een FastEthernet-interface bekijkt.

Todd1900EN# sh int e0/1Ethernet 0/1 is Suspended-no-linkbeatHardware is Built-in 10Base-TAddress is 0030.80CC.7D01MTU 1500 bytes, BW 10000 Kbits802.1d STP State: Forwarding Forward Transitions: 1[uitvoer verwijderd] Todd1900EN# sh int f0/26FastEthernet 0/26 is Suspended-no-linkbeatHardware is Built-in 100Base-TXAddress is 0030.80CC.7D1AMTU 1500 bytes, BW 100000 Kbits802.1d STP State: Blocking Forward Transitions: 0[uitvoer verwijderd]

B.2.5 Interfacebeschrijvingen configureren

U kunt op elke interface op de 1900-switch administratief een naam instellen. Net alsde host-naam heeft die beschrijving slechts lokaal betekenis.

Bij de switch uit de 1900-serie gebruikt u de opdracht description . In deopdracht description mogen geen spaties voorkomen, maar u mag wel een tekenonderstrepingstekens voorkomen.

Beschrijvingen instellen

Om de beschrijvingen in te stellen gaat u naar de interface-configuratiemodus. In deinterface-configuratiemodus gebruikt u de opdracht description om elke interfacete beschrijven. De beschrijvingen mogen uit meer dan één woord bestaan, maar ermogen geen spaties in staan. In dat geval moet u een onderstrepingstekens gebruiken.

Todd1900EN# config tEnter configuration commands, one per line. End with CNTL/ZTodd1900EN(config)# int e0/1Todd1900EN(config-if)# description Finance_VLANTodd1900EN(config-if)# int f0/26Todd1900EN(config-if)# description trunk_to_Building_4Todd1900EN(config-if)#


In dit voorbeeld is de beschrijving op zowel een 10mbps-poort als op een100mbps-poort ingesteld.

Beschrijvingen bekijken

Als u de interfaces een beschrijving hebt gegeven, kunt u die beschrijvingen bekijkenmet de opdracht show interface of met de opdracht show running-config .

Todd1900EN# sh int e0/1Ethernet 0/1 is Suspended-no-linkbeatHardware is Built-in 10Base-TAddress is 0030.80CC.7D01MTU 1500 bytes, BW 10000 Kbits802.1d STP State: Forwarding Forward Transitions: 1Port monitoring: DisabledUnknown unicast flooding: EnabledUnregistered multicast flooding: EnabledDescription: Finance_VLANDuplex setting: Half duplexBack pressure: Disabled

Todd1900EN# sh runBuilding configuration...

Current configuration:hostname “Todd1900EN”!ip address 172.16.10.16 255.255.255.0ip default-gateway 172.16.10.1!interface Ethernet 0/1

description “Finance_VLAN”![uitvoer verwijderd]

Als u de uitvoer van de switch bekijkt, ziet u dat de opdracht sh int e0/1 en deopdracht show run beide de op een interface is ingesteld opdracht descriptionlaten zien.

B.2.6 De poort-duplex configureren

De 1900-switch beschikt slechts over 12 of 24 10BaseT-poorten en één of tweeFastEthernet-poorten. Duplex kan alleen maar op de 1900-switch worden ingesteld


omdat alle poorten over een standaard snelheid beschikken. In een interface-configuratie gebruikt u de opdracht duplex .

Een volgende voorbeeld dat de op de Fast-Ethernet-poorten beschikbare opties laatzien:

Todd1900EN(config)# int f0/26Todd1900EN(config-if)# duplex ? auto Enable auto duplex configuration full Force full duplex operation full-flow-control Force full duplex with flow control half Force half duplex operationTodd1900EN(config-if)# duplex full

Tabel B.1 toont de verschillende duplex-opties die de 1900-switches bieden. De1900 FastEthernet-poorten bieden standaard auto duplex. Dit betekent dat zijautomatisch proberen op te sporen welke duplex aan de andere kant actief is. Dit luktniet altijd, en daarom is het verstandig om een FastEthernet-poort op half-duplex in testellen.

Tabel B.1 Duplex-opties

PARAMETER OMSCHRIJVING

Auto Stelt de poort in op auto-negotiation modus. Standaard voor alle100BaseTX-poorten.

Full Forceert de 10 of 100mbps-poorten in de full-duplexmodus.

Full-flow-control Werkt alleen met 100BaseTX-poorten, gebruikt flow control zodatde buffers niet overlopen.

Half Standaard voor 10BaseT-poorten, forceert de poorten alleen in dehalf-duplex modus te werken.

Als de duplex-configuratie is ingesteld, kunt u deze met de opdracht showinterface bekijken.

Todd1900EN# sh int f0/26FastEthernet 0/26 is Suspended-no-linkbeatHardware is Built-in 100Base-TXAddress is 0030.80CC.7D1AMTU 1500 bytes, BW 100000 Kbits802.1d STP State: Blocking Forward Transitions: 0Port monitoring: DisabledUnknown unicast flooding: EnabledUnregistered multicast flooding: EnabledDescription: trunk_to_Building_4


Duplex setting: Full duplexBack pressure: Disabled

In dit voorbeeld is full duplex geconfigureerd.

B.2.7 De IP-verbindingen controleren

Het is belangrijk om de IP-configuratie van de switch te testen. Voor de 1900-switchkan dat met het programma Ping of met Telnet. Het is echter niet mogelijk om vanafde 1900-switch Telnet of Traceroute te gebruiken.

In het volgende voorbeeld wordt een host op het netwerk vanaf de 1900 CLIgepingd. Een uitroepteken (!) wijst erop dat de ping succesvol verliep. Ziet u echteralleen punten (.) en geen uitroeptekens, dan is er iets misgegaan.

Todd1900EN# ping 172.16.10.10Sending 5, 100-byte ICMP Echos to 172.16.10.10, time out is2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max0/2/10/ msTodd1900EN# telnet 172.16.10.10 ^% Invalid input detected at ‘^’ marker.

In dit Telnet-voorbeeld ziet u een foutmelding. Die verschijnt omdat er een pogingwerd gedaan Telnet te gebruiken vanaf de 1900-switch. Zoals reeds opgemerkt is ditniet mogelijk. Het is wel mogelijk Telnet naar de switch toe te gebruiken, mits IP goedis geconfigureerd.

B.2.8 De configuratie van de switch wissen

De configuratie van de switch is in het NVRAM opgeslagen, net als die van allerouters. Het is niet mogelijk de startup-config of de inhoud van het NVRAM tebekijken. U kunt alleen de running-config bekijken. Wanneer u iets wijzigt in derunning-config van de switches, kopiëren de switches de nieuwe configuratieautomatisch naar het NVRAM. Dit is anders dan bij een router, waar u zelf copyrunning-config startup-config moet intikken. De 1900-switch heeft die optieniet.

U kunt de configuratie in het NVRAM op de 1900-switch wissen als u deconfiguratie van de switch ingrijpend wilt veranderen. Met de opdracht deletenvram wist u de hele inhoud van het NVRAM op de 1900-switch.


Als u het volgende voorbeeld bekijkt, ziet u twee opties: nvram and vtp . Hetvoorbeeld toont hoe u de inhoud van het NVRAM kunt wissen. De instellingen die bijaankoop standaard in het NVRAM stonden, blijven over.

Todd1900EN# delete ? nvram NVRAM configuration vtp Reset VTP configuration to defaultsTodd1900EN# delete nvramThis command resets the switch with factory defaults. Allsystem parameters will revert to their default factorysettings. All static and dynamic addresses will be removed.Reset system with factory defaults, [Y]es or [N]o? Yes

Let op het bericht dat u van de switch krijgt als u de opdracht delete nvram typt.Zodra u [Y]es typt is de configuratie gewist.

B.2.9 De MAC-adressentabel beheren

Weet u nog hoe bridges en switches een netwerk filteren? Door middel van de MAC-(hardware-)adressen die in de netwerk interface kaart (NIC) van de host zijn gebrandbeslissen ze wat moet worden doorgezonden en wat niet. De switches maken eenMAC-tabel waarin dynamische, permanente en statische adressen zijn opgenomen.Deze filtertabel wordt gemaakt doordat hosts een frame sturen, waarop de switch debron opslaat van het MAC-adres, uit welk segment het afkomstig is en door welkepoort het werd ontvangen.

De switch blijft nieuwe MAC-adressen toevoegen die via het netwerk in de MAC-filtertabel terecht komen. Telkens als er hosts worden toegevoegd of gewist, werkt deswitch actief de MAC-filtertabel bij. Als er een apparaat wordt weggehaald, of als heteen tijdje niet met de switch is verbonden, zal de switch de gegevens na een bepaaldetijd wissen.

De filtertabel van de switch kunt u bekijken met de opdracht show mac-address-table . Een voorbeeld:

Todd1900EN# sh mac-address-tableNumber of permanent addresses : 0Number of restricted static addresses : 0Number of dynamic addresses : 4

Address Dest Interface Type Source Interface List00A0.246E.0FA8 Ethernet 0/2 Dynamic All0000.8147.4E11 Ethernet 0/5 Dynamic All0000.8610.C16F Ethernet 0/1 Dynamic All00A0.2448.60A5 Ethernet 0/4 Dynamic All


De adressen in de tabel zijn van alle vier hosts die met de 1900-switch zijnverbonden. Het zijn alle dynamic entries. Dit betekent dat de switch naar hetbronadres van het frame heeft gekeken toen het de interface binnenkwam envervolgens het adres in de filtertabel heeft opgenomen. U ziet dat er hosts op deinterfaces 1, 2, 4 en 5 zijn.

De Catalyst 1900-switch kan maximaal 1.024 MAC-adressen in de filtertabelopslaan. Als de MAC-filter vol raakt, zal de switch geen nieuwe adressen meeropnemen totdat één van de oude adressen wordt verwijderd.

U kunt ook zelf de MAC-filtertabel fatsoeneren met de opdracht clear mac-address-table . U kunt dynamische, permanente en een aantal statische adressenwissen.

Het volgende voorbeeld toont de diverse opties die u hebt als wanneer u deopdracht clear mac-address-table geeft.

#clear mac-address-table ? dynamic Clear 802.1d dynamic address permanent Clear 802.1d permanent addresses restricted Clear 802.1d restricted static address <cr>

B.2.10 Permanente en statische MAC-adressen instellen

Beheerders kunnen permanente adressen specifiek toewijzen aan een switch-poort.Deze adressen worden nooit na een bepaalde tijd gewist. Dit kunt u dus doen om eenpoort te beveiligen. Dat betekent dat de switch-poort het niet doet, tenzij u er speciaaleen hardware-adres op de switch-poort voor configureert. Beheerders kunnen ookstatische gegevens op de switch invoeren. Deze gegevens maken een pad voor eenbron-hardware-adres. Dit kan heel beperkend werken, dus moet u voorzichtig zijnwanneer u statische gegevens invoert. Immers u sluit op deze manier de switch min ofmeer af als u de configuratie niet heel zorgvuldig opstelt.

Permanente MAC-adresgegevens instellen

Met de global-configuratie-opdracht mac-address-table permanent [mac-address] [interface] kunt u u een permanent MAC-adres op een switch-poortconfigureren.

In het gegeven voorbeeld staan de volgende opties:

Aging-timeDit kan worden gebruikt om de periode dat een MAC-adres in de filtertabel magblijven staan te veranderen.


PermanentDit stelt een permanent adres op een interface in. Als de gebruiker de host NIC-kaart vervangt, doet de host het niet tot u de permanente adresgegevens verandert.

Beperkt (Restricted)Dit wordt gebruikt met de statische opdracht om een pad voor de bron-hardwareadressen in te stellen. Dit stelt zeer strikte beperkingen aan de plaatsenwaarnaartoe een host een frame kan sturen.

Om een permanent hardware-adres op een interface te configureren gebruikt u deopdracht mac-address-table permanent in de global-configuratiemodus, zoals in:

Todd1900EN# config tEnter configuration commands, one per line. End with CNTL/ZTodd1900EN(config)# mac-address-table ? aging-time Aging time of dynamic addresses permanent Configure a permanent address restricted Configure a restricted static address

Nadat u de opdracht mac-address-table permanent hebt gegeven, voert u hethardware-adres in en de interface waarbij dit hoort. Hiermee zorgt u ervoor dat deinterface alleen frames accepteert vanuit dit bron-hardware-adres.

Todd1900EN(config)# mac-address-table permanent ? H.H.H 48 bit hardware addressTodd1900EN(config)# mac-address-table permanent 00A0.2448.60A5e0/4

Als u de gegevens hebt geconfigureerd kunt u ze controleren met de opdrachtshow mac-address-table .

Todd1900EN# sh mac-address-tableNumber of permanent addresses : 1Number of restricted static addresses : 0Number of dynamic addresses : 3

Address Dest Interface Type Source Interface List00A0.2448.60A5 Ethernet 0/4 Permanent All00A0.246E.0FA8 Ethernet 0/2 Dynamic All0000.8147.4E11 Ethernet 0/5 Dynamic All0000.8610.C16F Ethernet 0/1 Dynamic AllTodd1900EN#

In het voorgaande voorbeeld ziet u dat interface 4 nu een permanente aanduidingheeft gekregen: hardware-adres 00A0.2448.60A5. Er kan nu geen ander apparaat


meer verbonden worden met interface 4 zonder dat eerst de permanente gegevens inde MAC-filter tabel worden veranderd.

Statische MAC-adresgegevens instellen

U kunt de beveiliging nog verder aanscherpen. U kunt een bron-interface vertellen datdeze alleen maar frames via een bepaalde interface mag verzenden. Dit doet u met deopdracht restricted static . Deze opdracht zult u in de praktijk niet snelgebruiken.

De opdracht mac-address-table restricted static zoekt twee dingen: teneerste het hardware-adres van de bestemmingsinterface. Ten tweede de broninterfacedie met de betreffende bestemming mag communiceren.

Nadat u de opdracht mac-address-table restricted static in de global-configuratiemodus heeft ingevoerd, typt u het hardware-adres van het apparaat vanbestemming:

Todd1900EN(config)# mac-address-table restricted static ? H.H.H 48 bit hardware addressTodd1900EN(config)# mac-address-table restricted static00A0.246E.0FA8 ? Ethernet IEEE 802.3 FastEthernet FastEthernet IEEE 802.3

Na het opgeven van het hardware-adres van de bestemming, geeft u het interface-adres op dat is gekoppeld aan het hardware-adres van de bestemming.

Todd1900EN(config)# mac-address-table restricted static00A0.246E.0FA8 e0/2 ? Ethernet IEEE 802.3 FastEthernet FastEthernet IEEE 802.3 <cr>

Na de informatie over de bestemming voert u de bron-interface in die met hetbestemmingsadres mag communiceren.

Todd1900EN(config ) #$-table restricted static 00A0.246E.0FA8e0/2 e0/5

Als deze opdracht klaar is, ziet u dat er drie soorten gegevens in de MAC-filtertabel staan. Typ de opdracht show mac-address-table (verkort: sh mac):


Todd1900EN# sh macNumber of permanent addresses : 1Number of restricted static addresses : 1Number of dynamic addresses : 2

Address Dest Interface Type Source Interface List--------------------------------------------------------------00A0.2448.60A5 Ethernet 0/4 Permanent All00A0.246E.0FA8 Ethernet 0/2 Static Et0/50000.8147.4E11 Ethernet 0/5 Dynamic All0000.8610.C16F Ethernet 0/1 Dynamic AllTodd1900EN#

De opdracht die in het voorbeeld is gegeven heeft interface 0/5 beperkt: er wordenalleen frames naar interface 0/2 gestuurd met het hardware-bestemmingsadres00A0.246E.0FA8.

Onthoudt dat u de gegevens weer kunt wissen met de opdracht clear mac-address-table [dynamic/permanent/restricted] [int dest] [intsource] .

B.2.11 Poortbeveiliging configureren

Port security (poortbeveiliging) is een methode waarmee u ervoor kunt zorgen datgebruikers niet zomaar een hub op hun werkplek aansluiten en zonder uwtoestemming een stel hosts toevoegen. Standaard kunnen er 132 hardware-adressenop één switch-interface worden aangesloten. Om dit te veranderen gebruikt u deinterface-opdracht port secure max-mac-count .

Het volgende voorbeeld laat zien hoe de opdracht port secure max-mac-countop interface 0/2 wordt ingesteld zodat er slechts één gegeven kan worden ingevoerd.

Todd1900EN# config tEnter configuration commands, one per line. End with CNTL/ZTodd1900EN(config)# int e0/2Todd1900EN(config-if)# port secure ? max-mac-count Maximum number of addresses allowed on the

port <cr>

Todd1900EN(config-if)# port secure max-mac-count ? <1-132> Maximum mac address count for this secure port

Todd1900EN(config-if)# port secure max-mac-count 1


De poort(en) die u beveiligt kunnen zowel statische als sticky-learned hardware-adressen gebruiken. Als de hardware-adressen op een beveiligde poort niet statischzijn toegekend, ‘sticky-learns’ de poort het bronadres van de binnenkomende framesen wijst deze ze automatisch als permanente adressen toe. Sticky-learns is een term dieCisco gebruikt om te beschrijven hoe een poort dynamisch een hardware bronadresvindt en vervolgens een permanent record toevoegt aan de MAC-filtertabel.

B.2.12 De opdracht show version gebruiken

Met de opdracht show version kunt u basisinformatie over de switch bekijken,zoals: hoe lang de switch al actief is, de IOS-versie en het basis-MAC-adres van deswitch.

Dit MAC-adres is belangrijk, want als u uw wachtwoord vergeet, is er op de 1900-switch geen mogelijkheid het wachtwoord te achterhalen. U zult Cisco dit MAC-adresmoeten sturen, zodat zij u een nieuw wachtwoord kunnen toekennen. Met dit nieuwewachtwoord krijgt u toegang tot uw switch.

Het voorbeeld toont de configuratie van de systeem-hardware, de software-versieen de namen en broncode (sources) van de configuratie en van de boot-bestanden.

Todd1900EN# sh verCisco Catalyst 1900/2820 Enterprise Edition SoftwareVersion V9.00.00Copyright (c) Cisco Systems, Inc. 1993-1999Todd1900EN uptime is 0day(s) 03hour(s) 37minute(s) 15second(s)cisco Catalyst 1900 (486sxl) processor with 2048K/1024K bytesof memoryHardware board revision is 5Upgrade Status: No upgrade currently in progress.Config File Status: No configuration upload/download is inprogress15 Fixed Ethernet/IEEE 802.3 interface(s)Base EthernetAddress: 00-B0-64-75-6A-C0Todd1900EN#

Merk op dat in het voorbeeld 15 vaste interfaces van het type Ethernet 802.3 tezien zijn. Hieraan kunt u zien dat dit een 1912-switch is. De 1912 heeft twaalf10BaseT-poorten, één AUI poort en twee FastEthernet-poorten: in totaal 15 poorten.De 1924 heeft 24 10BaseT-, een AUI- en twee FastEthernet-poorten: in totaal27 poorten.


B.2.13 Het LAN-switchtype veranderen

Met de opdracht show port system ziet u welke LAN-switchversie op een 1900-switch actief is. In de global-configuratiemodus kunt u de versie veranderen met deopdracht switching-mode . U kunt alleen store-and-forward of FragmentFreegebruiken.

De opdracht show port system toont het standaard LAN-switchtype in geval vanFragmentFree.. In de global-configuratiemodus kunt u het type LAN-switch met deopdracht switching-mode veranderen in store-and-forward.

1900EN#sh port systemSwitching mode: FragmentFreeUse of store and forward for multicast: DisabledNetwork port: NoneHalf duplex backpressure (10 mbps ports): DisabledEnhanced Congestion Control (10 mbps ports): DisabledDefault port LED display mode: Port Status

1900EN(config)# switching-mode ? fragment-free Fragment Free mode store-and-forward Store-and-Forward mode

Als u het type LAN-switch verandert, doet u dat voor alle poorten op de switch.

B.3 VLANs configurerenHet is niet zo moeilijk om VLANs te configureren. Moeilijker is om te bepalen welkegebruikers u in elke VLAN wilt plaatsen. Als u eenmaal hebt bepaald hoeveel VLANsu wilt maken en welke gebruikers aan welke VLAN gekoppeld moeten worden, kuntu uw VLANs maken. U maakt maximaal 64 VLANs op een 1900-switch. Per LANkan een aparte spanning-tree instance geconfigureerd worden.

Om VLANs op de 1900-serie-switch te configureren, kiest u K uit het menu InitialUser Interface. Hiermee komt u in de IOS-configuratie. Hoewel u ook VLANs kuntmaken met het menusysteem dat op de 1900-switch beschikbaar is, wordt hier alleengedemonstreerd hoe u VLANs met de 1900-switch CLI configureert.

In het volgende voorbeeld ziet u wat er op de console verschijnt wanneer uverbonden bent met een 1900-switch. Druk op K om naar de CLI-modus te gaan enga met de opdracht enable en daarna config t naar de global-configuratiemodus.



User Interface Menu


Enter Selection: K

CLI session with the switch is open. To end the CLI session, enter [Exit].

Om VLANs op een IOS gebaseerde switch te configureren gebruikt u de opdrachtvlan [vlan# ] name [vlan name] . In het voorbeeld ziet u hoe u VLANs op deswitch configureert. Als voorbeeld worden drie VLANs gemaakt, voor drieverschillende afdelingen.

>en#config tEnter configuration commands, one per line. End with CNTL/Z(config)# hostname 1900EN1900EN(config)# vlan 2 name sales1900EN(config)# vlan 3 name marketing1900EN(config)# vlan 4 name mis1900EN(config)# exit

Nadat u de gewenste VLANs hebt gemaakt, kunt u met de opdracht show vlan debetreffende VLANs bekijken. Merk echter op dat alle poorten op de switch standaardin VLAN1 zitten. Om de VLAN die aan een poort is verbonden te veranderen moet unaar elke interface gaan en deze vertellen bij welke VLAN deze hoort.

Denk eraan dat een nieuwe VLAN niet wordt gebruikt voordat deze aan een map op(een) switch-poort(en) is toegewezen. Bedenk en dat alle poorten altijd in VLAN1 zitten,tenzij u ze zelf anders hebt ingesteld.

Als de VLANs zijn gemaakt, controleert u de configuratie met de opdracht showvlan (kortweg: sh vlan ).


1900EN#sh vlan

VLAN Name Status Ports------------------------------------------------1 default Enabled 1-12, AUI, A, B2 sales Enabled3 marketing Enabled4 mis Enabled1002 fddi-default Suspended1003 token-ring-defau Suspended1004 fddinet-default Suspended1005 trnet-default Suspended------------------------------------------------[uitvoer verwijderd]

Nu u de drie nieuwe VLANs ziet, kunt u aan elke VLAN switch-poorten toewijzen.Een poort kan maar bij één VLAN tegelijk horen. Door middel van trunking, eentechniek die straks aan de orde komt, kan een poort voor meer dan één VLANtegelijkertijd beschikbaar gemaakt worden.

B.3.1 Poort-switches aan VLANs toewijzen

U kunt elke poort zo configureren dat deze bij een VLAN hoort. Dit doet u met deopdracht vlan-membership . U kunt VLANs slechts poort voor poort configureren.Er bestaat op de 1900-switch geen opdracht om meer dan één poort tegelijkertijd aaneen VLAN toe te wijzen.

Denk eraan dat u een statisch of dynamisch lidmaatschap (membership) op eenpoort kunt configureren. In dit boek worden alleen de statische VLAN-lidmaatschap-pen behandeld.

In het volgende voorbeeld ziet u dat interface 2 aan VLAN 2 wordt gekoppeld,interface 4 aan VLAN 3 en interface 5 aan VLAN 4.

1900EN#config tEnter configuration commands, one per line. End with CNTL/Z1900EN(config)# int e0/21900EN(config-if)# vlan-membership ? dynamic Set VLAN membership type as dynamic static Set VLAN membership type as static1900EN(config-if)# vlan-membership static ? <1-1005> ISL VLAN index1900EN(config-if)# vlan-membership static 21900EN(config-if)# int e0/41900EN(config-if)# vlan-membership static 31900EN(config-if)# int e0/5


1900EN(config-if)# vlan-membership static 41900EN(config-if)# exit1900EN(config)# exit

Geef nu opnieuw show vlan om de poorten te zien die aan elke VLAN zijntoegewezen.

1900EN#sh vlan

VLAN Name Status Ports------------------------------------------------------1 default Enabled 1, 3, 6-12, AUI, A, B2 sales Enabled 23 marketing Enabled 44 mis Enabled 51002 fddi-default Suspended1003 token-ring-defau Suspended1004 fddinet-default Suspended1005 trnet-default Suspended------------------------------------------------------[uitvoer verwijderd]

Als u show vlan # typt, krijgt u informatie gedoseerd te zien: één VLAN tegelijk.

1900EN#sh vlan 2

VLAN Name Status Ports--------------------------------2 sales Enabled 2--------------------------------

VLAN Type SAID MTU Parent RingNo BridgeNo Stp Trans1 Trans2--------------------------------------------------------------2 Ethernet 100002 1500 0 1 1 Unkn 0 0

1900EN#

Er is nog een opdracht om de poorten die aan een VLAN zijn toegewezen tebekijken: show vlan-membership . Merk op dat deze opdracht alle poorten op deswitch toont. De opdracht laat zien bij welke VLAN de poort hoort en toont ook hettype lidmaatschak (membership): statisch of dynamisch.


1900A# sh vlan-membership Port VLAN Membership 1 1 Static 2 2 Static 3 1 Static 4 3 Static 5 4 Static 6 1 Static 7 1 Static 8 1 Static 9 1 Static 10 1 Static 11 1 Static 12 1 Static

AUI 1 Static A 1 Static B 1 Static

1900A#

B.3.2 Trunk-poorten configureren

De 1900-switch ondersteunt alleen de Dynamic Inter-Switch Link (DISL) methodevan inkapseling (encapsulation). Om trunking op een FastEthernet-poort te configu-reren gebruikt u de interface-opdracht trunk [parameter] .

In het volgende voorbeeld ziet u hoe de trunk op interface 26 wordtgeconfigureerd als ‘trunk on’.

1900EN#config tEnter configuration commands, one per line. End with CNTL/Z1900EN(config)# int f0/261900EN(config-if)# trunk ? auto Set DISL state to AUTO desirable Set DISL state to DESIRABLE nonegotiate Set DISL state to NONEGOTIATE off Set DISL state to OFF on Set DISL state to ON1900EN(config-if)# trunk on

De volgende lijst toont de beschikbare opties bij het instellen van een trunk-interface.


AutoDe interface wordt alleen maar trunked als het apparaat dat er op is aangeslotenop On of Desirable staat.

DesirableAls een aangesloten apparaat, On (Aan), Desirable (gewenst) of Auto (automatisch)staat, zal het proberen een trunk-poort te worden.

Nonegotiate (Geen onderhandelingen voeren.)De interface wordt een permanente ISL-trunk-poort en zal niet ingaan op eenonderhandelingsverzoek van een ander aangesloten apparaat.

OffDe interface is uitgeschakeld voor het ondersteunen van trunking.

OnDe interface wordt een permanente ISL-trunk-poort. Ze kan onderhandelen meteen aangesloten apparaat om de verbinding om te zetten naar trunk-modus.

Welke VLANs zijn nu op de trunked poort aangesloten? Standaard allemaal. Ukunt de trunked poort niet zo configureren dat er alleen bepaalde VLANs aangeslotenmogen worden. In de volgende paragraaf wordt behandeld hoe VLANs weer van detrunked poort afgehaald kunnen worden.

B.3.3 VLANs van trunk-verbindingen verwijderen

Zoals al is besproken worden alle VLANS op een trunk-verbinding geconfigureerd,tenzij een beheerder ze daarvan verwijdert. Er zijn twee redenen om de opdrachtclear trunk te gebruiken:

1. Als u niet wilt dat een trunk-verbinding VLAN-informatie draagt: omdat u wiltdat broadcasts die op een bepaalde VLAN worden uitgezonden de trunk-verbinding niet oversteken.

2. Omdat u niet wilt dat informatie over de veranderingen in topologie over eenverbinding wordt verzonden waar een VLAN niet wordt ondersteund.

Om VLANs van een trunk-poort op een 1900 te wissen gebruikt u de interface-opdracht no trunk-vlan . In het volgende voorbeeld ziet u dat wordt voorkomen datVLAN 5 over de trunked-verbinding kan communiceren.

1900EN(config-if)# no trunk-vlan ? <1-1005> ISL VLAN index1900EN(config-if)# no trunk-vlan 51900EN(config-if)#


Helaas is er geen opdracht die meer dan één VLAN tegelijkertijd van de 1900 kanverwijderen. Normaal gesproken wilt u dat ook niet doen, omdat het functioneel geenverschil maakt als ze aan staan. Alleen met beveiligings-, broadcastof routeer-problemen kunt u overwegen een VLAN van de switch te verwijderen.

B.3.4 Trunk-verbindingen controleren

Om uw trunk-poorten te controleren gebruikt u de opdracht show trunk . Als utrunking op meer dan een poort heeft, maar u de statistische gegevens slechts op eenpoort wilt zien, kunt u de opdracht show trunk [port_number] gebruiken.

Voor de 1900-switch wordt de FastEthernet-poort 0/26 geïdentificeerd door trunkA, poort 0/27 wordt geïdentificeerd door trunk B. Onderstaand ziet u hoe de trunk-poort op interface 26 kan worden getoond:

1900EN# sh trunk ? A Trunk A B Trunk B1900EN#sh trunk aDISL state: Auto, Trunking: On, Encapsulation type: ISL

Merk op dat in dit voorbeeld DISL is ingesteld op auto, trunking aanstaat en ISLhet VLAN-inkapselingstype is op trunk-verbindingen.

Om te zien welke VLANs op een trunk-verbinding mogen worden aangeslotengebruikt u de opdracht show trunk [ A or B/ allowed-vlans . Het volgendevoorbeeld toont de VLANs die op de trunk-interface 26 aangesloten mogen worden.

1900EN#sh trunk ? A Trunk A B Trunk B1900EN#sh trunk a ? allowed-vlans Display allowed vlans joined-vlans Display joined vlans joining-vlans Display joining vlans prune-eligible Display pruning eligible vlans <cr>1900EN#sh trunk a allowed-vlans1-4, 6-10041900EN#

In de vorige paragraaf verwijderde u VLAN 5. In het voorbeeld ziet u dat VLAN 5inderdaad niet op de trunk-verbinding voorkomt.


B.3.5 ISL-routering configureren

Om ISL-routering op een FastEthernet-interface te ondersteunen is de interface vande router onderverdeeld in logische interfaces, één voor elke VLAN. Dit zijn desubinterfaces. Omdat we vier VLANs hebben, zijn er ook vier subinterfaces nodig. Elkvan de VLANs is een apart subnet, dus zouden de volgende adressen gebruikt kunnenworden:

VLAN 1: standaard 172.16.10.0/24VLAN 2: verkoop 172.16.20.0/24VLAN 3: marketing 172.16.30.0/24VLAN 4: mis 172.16.40.0/24

Elke host moet in een eigen VLAN hetzelfde subnet-adres gebruiken. De router-on-a-stick configureert u met de volgende drie stappen voor inter-VLAN-routeren:

1. Schakel ISL-trunking in op de switch-poort waarmee de router is verbonden.

2. Schakel ISL-inkapseling (ISL encapsulation) in op de subinterface van de router.

3. Wijs een IP-adres toe aan de subinterface en andere logische adressen indienvan toepassing (IPX, bijvoorbeeld).

Om een subinterface te maken in de global-configuratiemodus, kiest u deFastEthernet-interface en typt u een punt en daarna een cijfer. Dit brengt u naar deprompt config-subif van de interface.

Om ISL-routeren op een subinterface te configureren, gebruikt u de opdrachtencapsulation isl[ vlan-number ] . Nu kunt u een IP-adres, IPX-adres,AppleTalk-adres enzovoort aan de subinterface toewijzen. Dit is een uniek subnet enalle hosts op deze VLAN zouden in ditzelfde subnet moeten staan. Weliswaar is ditniet absoluut noodzakelijk, maar wel aan te raden.

Nu een voorbeeld waarin u de 2621-router moet configureren om ISL-routerenmet de vier VLANs te ondersteunen. Eerst wordt een subinterface met hetzelfdenummer geconfigureerd als de VLAN die gaat routeren. Dit heeft slechts lokaalinvloed, dus het maakt niet uit wat de nummers van de subinterface op het netwerkzijn. Merk op dat u vervolgens ook de inkapseling (encapsulation) moet instellen,anders krijgt u een foutmelding wanneer u het IP-adres van de subinterface instelt.VLAN 1 is in het netwerk 172.16.10.0. Vanuit dit subnet moet u aan de subinterfaceeen geldig host-adres toewijzen.

2621# config t2621(config) int f0/0.12621(config-subif)# encapsulation isl 12621(config-subif)# ip address 172.16.10.1 255.255.255. 02621(config-subif)# int f0/0.22621(config-subif)# encapsulation isl 2


2621(config-subif)# ip address 172.16.20.1 255.255.255.02621(config-subif)# int f0/0.32621(config-subif)# encapsulation isl 32621(config-subif)# ip address 172.16.30.1 255.255.255.02621(config-subif)# int f0/0.42621(config-subif)# encapsulation isl 42621(config-subif)# ip address 172.16.40.1 255.255.255.02621(config-subif)# exit2621(config)# int f0/02621(config-if) no shutdown

Nadat u de inkapseling en het IP-adres voor VLAN 1 hebt ingesteld, kunt dezelfdeconfiguraties voor VLANs 2, 3 en 4 invoeren. Vergeet echter niet dat elke subinterfacein een apart subnet staat.

B.4 VTP configurerenEen Catalyst 1900-switch wordt standaard geconfigureerd als een VTP-server, net alsalle switches. Om VTP te configureren, configureert u eerst de domeinnaam die u wiltgebruiken, zoals in de volgende paragraaf wordt behandeld. Als u de VTP-informatieop een switch hebt geconfigureerd, moet u daarna de configuratie controleren.

B.4.1 Het domein configureren

Wanneer u het VTP-domein maakt, hebt u de mogelijkheid de domeinnaam, hetwachtwoord, de operating-modus en de pruning-mogelijkheden (de snoeicapaciteiten)van de switch in te stellen. (Snoeien (pruning) komt in een andere paragraaf aan deorde). Gebruik de opdracht vtp in de global-configuratiemodus om deze gegevens inte stellen. In het volgende voorbeeld wordt de switch ingesteld op vtp server , hetVTP-domein op Lammle en het VTP-wachtwoord op todd .

Todd1900EN(config)# vtp ? client VTP client domain Set VTP domain name password Set VTP password pruning VTP pruning server VTP server transparent VTP transparent trap VTP trapTodd1900EN(config)# vtp serverTodd1900EN(config)# vtp domain lammleTodd1900EN(config)# vtp password todd


Nadat u de VTP-gegevens hebt geconfigureerd, kunt u ze controleren met deopdracht show vtp .

Todd1900EN# sh vtp VTP version: 1 Configuration revision: 0 Maximum VLANs supported locally: 1005 Number of existing VLANs: 5 VTP domain name : lammle VTP password : todd VTP operating mode : Server VTP pruning mode : Disabled VTP traps generation : Enabled Configuration last modified by: 0.0.0.0 at 00-00-0000

00:00:00Todd1900EN#

In het voorbeeld ziet u het VTP-domein, het VTP-wachtwoord en de modus van deswitch.

B.4.2 Iets toevoegen aan een VTP-domein

U moet altijd voorzichtig zijn wanneer u een nieuwe switch aan een bestaand domeintoevoegt. Als een switch met de verkeerde VLAN-gegevens aan het domein wordtgekoppeld, kan het resultaat zijn dat een VTP-gegevensbestand met verkeerdegegevens door het hele internetwerk wordt doorgegeven. Cisco beveelt daarom aandat u het VTP-gegevensbestand wist voor u de switch aan het VTP-domein toevoegt.

In deze appendix hebt u gezien hoe u het NVRAM op de 1900-switch moetwissen. Hiermee wist u echter de VTP-configuratie op de switch niet, want de VTP-informatie heeft een eigen NVRAM. Om de op een 1900-switch geconfigureerdeVTP-informatie te wissen gebruikt u de opdracht delete vtp . In het voorbeeld ziet uhoe u het VTP NVRAM gegevensbestand wist.

Todd1900EN# delete ? nvram NVRAM configuration vtp Reset VTP configuration to defaultsTodd1900EN# delete vtpThis command resets the switch with VTP parameters set tofactory defaults.All other parameters will be unchanged.

Reset system with VTP parameters set to factory defaults,[Y]es or [N]o? Yes


Als u de opdracht hebt ingevoerd, vraagt het systeem u de fabrieksinstellingen vande VTP-informatie in te stellen.

B.4.3 VTP snoeien (pruning)

In deze paragraaf leert u hoe u de snoeischaar hanteert: u leert het ‘pruning’-mechanisme (snoeien) op een 1900-switch aan te zetten. Het is redelijk eenvoudig.Vergeet niet dat wanneer u VTP-snoeien aanzet op een VTP-server, u dit voor het heledomein doet.

Todd1900EN(config)# vtp ? client VTP client domain Set VTP domain name password Set VTP password pruning VTP pruning server VTP server transparent VTP transparent trap VTP trapTodd1900EN(config)# vtp pruning ? disable Disable VTP pruning enable Enable VTP pruningTodd1900EN(config)# vtp pruning enableTodd1900EN(config)#

VTP-snoeien is nu op de hele switch actief. Als er op deze switch geen VLANs zijngeconfigureerd, worden er geen VTP-broadcasts via een trunk-verbinding verzonden.

B.5 De Catalist 1900: het IOS herstellen ofopwaarderenU kunt het IOS op Cisco Catalyst 1900-switches herstellen (vanaf een back-up een‘restore’ draaien) of opwaarderen (upgrade). Er is echter geen opdracht is om eenback-up te maken van het IOS van de Catalyst 1900-switch naar een TFTP-host.

De opdracht om het IOS van een 1900-switch op te waarderen of te herstellen is:

copy tftp:/<tip>ftp_host_address/ IOS_filename opcode

Ter verduidelijking:


• copy tftp instrueert de switch een IOS van een TFTP-host te kopiëren.

• tftp_host_address is het adres van de TFTP-host.

• IOS_filename is het IOS-bestand dat in de TFTP standaarddirectory van deTFTP-server is opgeslagen (bijvoorbeeld cat1900EN_9_00.bin is de enterpriseeditie).

• opcode is de opdracht die de router vertelt het bestand naar het flash-geheugente downloaden.

U gebruikt de opdracht als volgt:

1900B# copy tftp://192.168.0.120/cat1900EN_9_00.bin opcodeTFTP operation succeeded1900B#

B.5.1 De Catalyst-1900-configuratie veiligstellen enterugzetten

Het configuratiebestand van een Cisco Catalyst 1900-switch heet gewoon het nvramop de 1900-switch. De opdracht om het bestand naar een TFTP-host te kopiëren is:

copy nvram tftp:/<tip>ftp_ host_address / config_name

Voor u een back up maakt is het verstandig om de TFTP-host vanaf de console vanhet apparaat met ping te testen om te controleren of u een goede LAN-verbindinghebt:

1900B# ping 192.168.0.120Sending 5, 100-byte ICMP Echos to 192.168.0.120, time out is2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max0/2/10/ ms

Nadat u de verbinding hebt gecontroleerd kunt de opdracht copy nvram tftp:geven om een back up-kopie van de configuratie te maken. Zie ook het volgendevoorbeeld:

1900B# copy nvram tftp://192.168.0.120/1900enConfiguration upload is successfully completed

Hier volgt een voorbeeld van de uitvoer van de console van een TFTP-host:


Wed June 01 14:16:10 2000: Receiving ‘1900en’ file from192.168.0.120 in ASCII mode##Wed Mar 01 14:16:11 2000: Successful.

U ziet dat de TFTP-host twee UDP-pakketten heeft gekopieerd. Elk pakket wordtweergegeven door het ‘hekje’ (#).

Met de volgende opdracht zet u een configuratie vanaf een TFTP-host terug opeen Catalyst 1900-switch :

copy tftp:/<tip>ftp_host_address/config_name nvram

Hiervoor hebt u zowel de bestandsnaam als het IP-adres van de TFTP-host nodig:

1900B# copy tftp://192.168.0.120/1900en nvramTFTP successfully downloaded configuration file

Het laatste deel van deze opdracht vertelt de TFTP-host waarheen het bestandmoet worden gekopieerd – in dit geval naar het nvram .

Om het bestand startup-config (dus: om het nvram van de 1900-switch) tewissen gebruikt u de opdracht delete nvram :

1900B# delete nvramThis command resets the switch with factory defaults. Allsystem parameters will revert to their default factorysettings. All static and dynamic addresses will be removed.Reset system with factory defaults, [Y]es or [N]o? Yes

De getoonde opdracht heeft nagenoeg geen invloed op de switch tenzij u de VLANsheeft ingesteld. De switch werkt ook als deze niet is geconfigureerd. Het is echter welaan te raden een IP-adres toe te kennen om het beheer te vergemakkelij-ken.

B.6 CDP met de 1900-switchCDP werkt met alle Cisco-apparaten, waaronder de Catalyst 1900-switch. De uitvoerop de 1900-switch:

switch# sh cdpGlobal CDP information :CDP version: 2Sending CDP packets every 60 secondsSending a holdtime value of 180 seconds#


Merk op dat zowel de router als de switch een CDP-timer van 60 seconden hebbenen een holdtime van 180 seconden. (Zie hoofdstuk 7 voor meer informatie over CDPmet Cisco-routers.) Dit betekent dat CDP-informatie die van routers in de omgevingwordt ontvangen 180 seconden wordt vastgehouden. Als de router of de switch nietsmeer van de betreffende router hoort voordat de 180 seconden zijn verstreken, wordtde informatie weggedaan.

De 1900-switch heeft een optie om CDP versie 2 bekend te maken (advertising). Dit iseen nieuwere versie van CDP dat reeds op een aantal nieuwe Cisco-apparaten actief is.De 1900-switch kan zowel versies CDP 1 als 2 zenden en versie 1 ontvangen. In dezeappendix wordt CDP versie 2 niet behandeld.

U kunt de timers op beide apparaten in de global-configuratiemodus aanpassenmet de opdrachten cdp timer en cdp holdtime :

switch# config tEnter configuration commands, one per line. End with CNTL/Zswitch(config)# cdp ? advertise-v2 CDP sends version-2 advertisements holdtime Specify the holdtime (in sec) to be sent in packets timer Specify the rate at which CDP packets are sent

(in sec)

Nu kunt u zowel de timer als de holdtime op de 1900-switch aanpassen. Dit wordtgedemonstreerd in het volgende voorbeeld:

switch(config)# cdp timer 90switch(config)# cdp holdtime 240

B.7 SamenvattingDeze appendix is een introductie van de Catalyst 1900-switch. U hebt kennisgemaaktmet de volgende handelingen:

• Wachtwoorden instellen. Drie wachtwoorden kwamen aan de orde: twee enable-wachtwoorden en het wachtwoord voor de enable-beheermodus.

• De host-naam instellen en een naam voor de switch configureren.

• Het IP-adres en een subnetmasker configureren.

• De interfaces identificeren met de opdracht show interface of eenconfiguratie- opdracht.


• Een beschrijving van de interfaces instellen met de opdracht description .

• De poort duplex van een poort definiëren met full of half duplex.

• De configuratie controleren met de opdracht show running-config .

• De MAC-adressentabel beheren met de opdracht show mac-address-table .

• Permanente en statische MAC-adressen instellen met de opdracht /mac-address-table .

• Poortbeveiliging configureren met de opdracht port secure .

B.8 KernbegrippenDe volgende begrippen in deze appendix zijn belangrijk:

auto duplex

dynamic entries

port security

set-based

Hoofdstuk

7Een Cisco-internetwerkbeheren

DE VOLGENDE ONDERWERPEN UIT HETCCNA-EXAMEN WORDEN IN DIT HOOFD-STUK BEHANDELD:

✓ De Cisco-basisbegrippen, het IOS & basisbegrippen ophet terrein van netwerken.

• De routerelementen bestuderen.

• De configuratiebestanden vanuit de beheerders-EXEC-modus beheren.

• De opdrachten om Cisco-IOS-software te laden vanuit hetflash-geheugen, een TFTP-server of het ROM.

• Een veiligheidskopie maken, opwaarderen en laden.

308 Hoofdstuk 7 • Een Cisco-internetwerk beheren

In dit hoofdstuk leert u Cisco-routers op een internetwerk beheren. HetInternetwork Operating System (IOS) en de configuratiebestanden staan opverschillende locaties in een Cisco-apparaat. Het is belangrijk dat u begrijpt waar diebestanden staan en hoe ze werken.

U leert meer over de hoofdcomponenten van een router, de startvolgorde van derouter, en het configuratieregister. U leert ook hoe u het configuratieregister kuntgebruiken om wachtwoorden terug te halen. Daarna leert u routers beheren door devolgende taken uit te voeren:

• Het Cisco-IOS veiligstellen en terugzetten.

• De Cisco-configuratie veiligstellen en terugzetten.

• Gegevens over naburige apparaten vergaren via CDP en Telnet.

• Host-namen vertalen.

• De verbindingen van het netwerk testen met de opdrachten ping en Trace .

7.1 De interne componenten van eenCisco-routerOm een Cisco-netwerk te kunnen configureren en om problemen te kunnen oplossen,moet u weten wat de belangrijkste componenten van Cisco-routers zijn en begrijpenwat deze componenten doen. Tabel 7.1 beschrijft de belangrijkste Cisco-router-compo-nenten.


Tabel 7.1 Cisco-routercomponenten

Component Beschrijving

Bootstrap Deze component is opgeslagen in de microcode van hetROM. De bootstrap wordt gebruikt om een router testarten tijdens het initialiseren. De bootstrap start derouter en laadt dan het IOS.

POST (power-on self test) Deze component is opgeslagen in de microcode van hetROM. De POST wordt gebruikt om de basisfunctionaliteitvan de hardware van de router te controleren. Het steltook vast welke interfaces aanwezig zijn.

ROM-monitor Deze component is opgeslagen in de microcode van hetROM. De ROM-monitor wordt door de fabrikant gebruikttijdens het testen van de router. Het is een hulpmiddel omproblemen mee op te lossen.

Mini-IOS Wordt door Cisco de RXBOOT of bootloader genoemd.Dit mini-IOS is een klein IOS in het ROM. Het wordtgebruikt om een interface te activeren en om een Cisco-IOS in het flash-geheugen te laden. Het mini-IOS kan ookeen paar andere onderhoudstaken uitvoeren.

RAM (random access Dit werkgeheugen is de opslagplaats voor pakketbuffers,memory) de ARP-cache, en routetabellen. Het bevat ook de

software en de gegevensstructuren die de router in staatstellen te functioneren. Verder bevat het RAM ook hetbestand Running-config . In sommige routers kan hetIOS ook vanuit RAM worden gedraaid.

ROM (read-only memory) Wordt gebruikt bij de start en onderhoud van de router.

Flash memory Plaats op de router waar het Cisco-IOS is opgeslagen.Het flash-geheugen wordt niet gewist als de routerherladen wordt. Het is een EEPROM (ElectronicallyErasable Read-Only Memory) dat is geproduceerd doorIntel.

NVRAM (non-volatile RAM) Opslagplaats voor de router- of switch-configuratie.NVRAM wordt niet gewist als de router of switch herladenwordt.

Configuration register Hiermee vertelt u een router waar vandaan deze het IOSmoet laden. Deze waarde kunt u zien met de opdrachtshow version . Meestal is deze waarde 0x2102. Ditvertelt de router dat hij het IOS vanuit het flash-geheugenmoet laden.


7.2 De startvolgorde van de routerAls een router start, voert deze een serie stappen uit, de zogeheten startvolgorde (bootsequence), om de hardware te testen en de benodigde software te laden. Destartvolgorde bestaat uit de volgende stappen:

1. De router voert een POST uit. De POST gaat de hardware na om te zien of allecomponenten van het apparaat aanwezig en operationeel zijn. De POST gaatbijvoorbeeld na welke interfaces de router heeft. De POST wordt in het ROMopgeslagen en van daaruit gedraaid.

2. De bootstrap zoekt en laadt de Cisco-IOS-software. De bootstrap is een pro-gramma in het ROM dat alle programma’s uitvoert. Het bootstrap-programmaheeft als taak alle IOS-programma’s te vinden en deze bestanden vervolgens derouter te laden. De IOS-software wordt geladen vanuit het flash-geheugen.

3. De IOS-software zoekt een geldig configuratiebestand dat is opgeslagen inNVRAM. Dit bestand heet de startup-config en staat alleen in het NVRAMals de beheerder het running-config bestand naar NVRAM heeftgekopieerd.

4. Als een bestand met de naam startup-config in NVRAM staat, laadt endraait de router het bestand nu. Daarmee wordt de router operationeel. Als ergeen bestand met de naam startup-config in NVRAM staat, komt de routerna de start in de setup-modus.

7.3 De configuratieregisters beherenAlle Cisco-routers hebben een 16-bit softwareregister, dat in het NVRAM opgeslagenis. Het configuratieregister is standaard ingesteld zodat het Cisco-IOS vanuit het flash-geheugen wordt geladen. Het register is standaard ook zo ingesteld dat de startup-config wordt gezocht in en wordt geladen vanuit het NVRAM.

7.3.1 De configuratieregister-bits begrijpen

De zestien bits van het configuratieregister worden gelezen als 15–0, van links naarrechts. De standaard configuratie-instelling op Cisco-routers is 0x2102. Dit betekentdat bits 13, 8 en 1 aan staan, zoals u ziet in tabel 7.2. Elke set van vier bits wordtbinair gelezen met een waarde van 1, 2, 4 en 8, van rechts naar links.


Tabel 7.2 De configuratieregister bitnummers

Configuratieregister 2 1 0 2

Bitnummer 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0

Binair 0 0 1 0 0 0 0 1 0 0 0 0 0 0 1 0

Voeg het voorvoegsel 0x toe aan het configuratieregisteradres. Het betekent dat degetallen die nu komen in hexadecimaal (zestientallig) staan.

Tabel 7.3 is een lijst van de betekenissen van de softwareconfiguratie-bits. Met bit6 negeert u de NVRAM-inhoud. Dit bitje wordt gebruikt om wachtwoorden meeterug te halen, zoals verderop beschreven in paragraaf 7.3.4, ‘Wachtwoordenterughalen’.

Tabel 7.3 Betekenis van de software-configuratiebits

Bit Hex Beschrijving

0–3 0x0000–0x000F Startveld (zie tabel 7.4).

6 0x0040 Negeert de inhoud van het NVRAM.

7 0x0080 OEM-bit ingeschakeld.

8 0x0100 Onderbreken uitgeschakeld.

10 0x0400 IP-broadcast met allemaal nullen.

11-12 0x0800–0x1000 Console-line snelheid.

13 0x2000 Start standaard ROM-software als de netwerkstartfaalt.

14 0x4000 IP-broadcasts hebben geen netnummers.

15 0x8000 Schakelt diagnostische berichten in en negeertNVM-inhoud.

Het startveld bestaat uit bits 0 tot en met 3 in het configuratieregister. Dit veldbepaalt de startvolgorde van de router. Tabel 7.4 beschrijft de startveld-bits.


Tabel 7.4 Het startveld (configuratieregister, bits 00–03)

Startveld Betekenis Gebruik

00 ROM-monitor-modus U start de ROM-monitormodus bij de startvan de router door het configuratieregister inte stellen op 2100. U moet de router met dehand starten door b in te tikken. De routertoont de prompt rommon>.

01 Startversie van ROM U start een IOS in ROM door hetconfiguratieregister in te stellen op 2101. Derouter toont de prompt router(boot)> .

02–F Specificeert de naam Elke waarde tussen 2102 en 210F vertelt devan het een standaard router dat deze de startopdrachten moetstartbestand. gebruiken die in NVRAM zijn gespecificeerd.

Het hexadecimale stelsel bestaat uit de cijfers 0–9 en A–F (A=10, B=11, C=12, D=13,E=14, en F=15). Dit houdt in dat de instelling 210F voor het configuratieregister eigenlijk210(15) is. Dit is gelijk aan 1111 in het tweetallig stelsel (binair).

7.3.2 De waarden van het huidige configuratieregistercontroleren

Met de opdracht show version (kortweg: sh version of show ver ) krijgt dehuidige waarde van het configuratieregister te zien. Een voorbeeld:

Router# sh versionCisco Internetwork Operating System SoftwareIOS (tm) C2600 Software (C2600-I-M), Version 12.0(3)T3,RELEASE SOFTWARE (fc1)[uitvoer verwijderd]Configuration register is 0x2102

De laatste regel van deze uitvoer is de waarde van het configuratieregister. In ditvoorbeeld is de waarde 0x2102. Dit is de standaardinstelling. De opdracht showversion laat ook de IOS-versie zien. In dit voorbeeld is de IOS-versie dus 12.0(3)T3.


De opdracht show version geeft gegevens over de configuratie van de hardware vanhet systeem, en de software-versie. Verder ziet u de namen en broncode (sources) vanconfiguratiebestanden en software-versies op een router.

7.3.3 Het configuratieregister wijzigen

U kunt de waarden in het configuratieregister wijzigen om de manier waarop derouter start en werkt te veranderen. U kunt daarmee de volgende doelen bereiken:

• Het systeem in de ROM-monitormodus dwingen

• Een startbron en standaard startbestandsnaam kiezen

• De Break functie in- of uitschakelen

• De broadcast-adressen instellen

• De console-terminal baud rate instellen

• Het besturingssysteem vanuit het ROM laden

• De router zodanig instellen dat hij het IOS van een TFTP-(Trivial File TransferProtocol-)server ophaalt.

Zorg dat u weet wat de huidige waarde in het configuratieregister is voordat u hetconfiguratieregister wijzigt. Gebruik hiervoor de opdracht show version .

U kunt het configuratieregister wijzigen met de opdracht config-register . Deonderstaande opdrachten vertellen de router dat deze in ROM-monitormodus moetstarten en dan de huidige configuratieregister waarde moet laten zien:

Router(config)# config-register 0x0101Router(config)# ^ZRouter# sh ver[uitvoer verwijderd]Configuration register is 0x2102 (will be 0x0101 at next reload)

De opdracht show versio n geeft de huidige waarde van het configuratieregister.Tussen de haakjes staat wat de configuratie zal zijn als de router herstart. Eenwijziging in het configuratieregister wordt pas geactiveerd als de route herstart wordt.


De configuratiewaarde 0x0101 zorgt ervoor dat de router bij de volgende herstart(reboot) het IOS vanuit ROM laadt. Deze waarde kan ook getoond worden als0x101: de registerwaarde kan op beide manieren genoteerd worden.

7.3.4 Wachtwoorden terughalen

Als u bent buitengesloten op een router omdat u het wachtwoord bent vergeten, kuntu het configuratieregister wijzigen om het wachtwoord terug te halen. Zoals u al weet,vertelt bit 6 van het configuratieregister de router dat deze de inhoud van NVRAM ineen routerconfiguratie moet laden.

De standaardwaarde in het configuratieregister voor bit 6 is 0x2102. Dit betekentdat bit 6 uitgeschakeld staat. Met de standaardinstelling gaat de router een router-configuratie zoeken en laden die opgeslagen is in NVRAM (startup-config ). Omhet wachtwoord terug te halen moet u bit 6 inschakelen. Hierdoor weet de router datdeze de inhoud van het NVRAM moet negeren. De waarde van hetconfiguratieregister om bit 6 in te schakelen is 0x2142.

De belangrijkste stappen om wachtwoorden terug te halen:

1. Start de router en onderbreek de startvolgorde met een break.

2. Wijzig het configuratieregister en schakel bit 6 in (met de waarde 0x2142).

3. Herstart de router.

4. Ga naar beheerdersmodus (privileged mode).

5. Kopieer het bestand startup-config naar running-config .

6. Wijzig het wachtwoord.

7. Stel het configuratieregister weer in op de standaardwaarde.

Opmerking: Hier moet ook de running-config naar de startup-config wordengekopieerd, anders gebeurt er niets!

8. Herstart de router.

Deze stappen worden verderop in het hoofdstuk nader besproken. Daar staan ookde opdrachten waarmee de toegang tot de routers uit de productlijnen 2600 en 2500teruggehaald worden.

De startvolgorde van de router afbreken

De eerste stap is de router te starten en een break uit te voeren. Als u HyperTerminalgebruikt, voert u een break uit door Ctrl+Break in te drukken.


De standaard HyperTerminal-programma’s van Windows NT, Windows 2000 of WindowsXP voeren geen break uit. U moet een upgrade uitvoeren voor het HyperTerminal-programma of Windows 95/98 gebruiken.

U ziet nu iets als:

System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)Copyright (c) 1999 by cisco Systems, Inc.TAC:Home:SW:IOS:Specials for infoPC = 0xfff0a530, Vector = 0x500, SP = 0x680127b0C2600 platform with 32768 Kbytes of main memoryPC = 0xfff0a530, Vector = 0x500, SP = 0x80004374monitor: command ‘boot’ aborted due to user interruptrommon 1 >

Bekijk de regel ‘boot’ aborted due to user interrupt . Op sommige routersstaat hier de prompt rommon 1>.

Het configuratieregister wijzigen

Zoals u al weet, kunt u het configuratieregister wijzigen met de opdracht config-register . Om bit 6 in te schakelen gebruikt u de configuratieregisterwaarde0x2142.

Opdrachten voor de Cisco-2600-serie

Voer deze opdracht in achter de prompt rommon 1> /. Met de volgende opdracht wijzigt u de waarde van een bit op een router uit de 2600-serie:

rommon 1 > confreg 0x2142You must reset or power cycle for new config to take effect

Opdrachten voor de Cisco-2500-serie

U wijzigt een configuratieregister op een router uit de 2500-serie door tijdens hetstarten een break uit te voeren en dan o te typen. U ziet nu een menu met de optie-instellingen van het configuratieregister. Wijzig het configuratieregister met o/r ,gevolgd door de nieuwe registerwaarde. Zo schakelt u bit 6 in op router 2501:

System Bootstrap, Version 11.0(10c), SOFTWARECopyright (c) 1986-1996 by cisco Systems2500 processor with 14336 Kbytes of main memoryAbort at 0x1098FEC (PC)>o


Configuration register = 0x2102 at last bootBit# Configuration register option settings:15 Diagnostic mode disabled14 IP broadcasts do not have network numbers13 Boot default ROM software if network boot fails12-11 Console speed is 9600 baud10 IP broadcasts with ones08 Break disabled07 OEM disabled06 Ignore configuration disabled03-00 Boot file is cisco2-2500 (or ‘boot system’ command)>o/r 0x2142

De laatste regel in deze uitvoer is 03-00. De router kent de naam van het IOS-start-bestand. De router gebruikt het eerste bestand dat deze tegenkomt in het flash-geheu-gen. Als u een andere bestandsnaam wilt starten, kunt u het configuratieregisterwijzigen of de opdracht boot system ios_name geven. U kunt ook een IOS-versie vaneen TFTP-host laden met de opdracht boot system tftp ios_name ip_address.

De router herladen en naar de beheerdersmodus gaan

Nu stelt u de router opnieuw in:

• Typ reset vanaf router 2600.

• Typ I (voor initialiseren) vanaf router 2500.

De router begint nu met herladen en vraagt of u de setup-modus wilt gebruiken(omdat er geen startup-config gebruikt wordt). Kies ‘No’ om naar de setup-modus te gaat. Druk dan op Enter zodat u in de gebruikersmodus komt. Typ enable

zodat u in de beheerdersmodus komt.

De configuratie bekijken en wijzigen

Nu hoeft u geen wachtwoorden meer in te voeren op de router. Kopieer het bestandstartup-config naar het bestand running-config :

copy startup-config running-config

of de verkorte versie hiervan:

copy start run


De configuratie draait nu in RAM, en u bevindt zich in beheerdersmodus. U kuntnu de configuratie bekijken en wijzigen. Hoewel u de instelling enable secret voorhet wachtwoord niet ziet, kunt u het wachtwoord op deze manier wijzigen:

config tenable secret todd

Het configuratieregister opnieuw instellen en de router herladen

Als u de wachtwoorden hebt gewijzigd, stelt u het configuratieregister weer terug opde standaardwaarde met de opdracht config-register :

config tconfig-register 0x2102

Bewaar de nieuwe configuratie met copy running-config startup-config enherstart de router.

7.4 Een veiligheidskopie maken en hetCisco-IOS herstellenVoordat u een Cisco-IOS opwaardeert (upgrade) of wijzigt (restore), maakt u eenkopie van het bestaande bestand naar een TFTP-host voor het geval de nieuwe versieniet werkt. U kunt elke TFTP-host hiervoor gebruiken. Het Cisco-IOS wordt opgesla-gen in het flash-geheugen van een router. De volgende paragrafen beschrijven destappen die u moet nemen om een kopie te maken.

1. De beschikbare hoeveelheid flash-geheugen controleren.

2. Het Cisco-IOS van het flash-geheugen naar een TFTP-host kopiëren.

3. Het IOS van een TFTP-host naar het flash-geheugen kopiëren.

7.4.1 Het flash-geheugen controleren

Voordat u het Cisco-IOS op uw router vervangt door een nieuw IOS-bestand, gaat una of het flash-geheugen genoeg ruimte heeft om de nieuwe versie te bevatten. Ubekijkt de beschikbare hoeveelheid flash-geheugen en de bestanden die zijnopgeslagen in het flash-geheugen met show flash (kortweg: sh flash ):


Router# sh flashSystem flash directory:File Length Name/status 1 8121000 c2500-js-l.112-18.bin[8121064 bytes used, 8656152 available, 16777216 total]16384K bytes of processor board System flash (Read ONLY)Router#

De bestandsnaam in dit voorbeeld is c2500-js-l.112-18.bin . De naam van hetbestand is platform-specifiek en als volgt opgebouwd:

c2500 is het platform./j geeft aan dat het bestand een bedrijfsversie (enterprise image)is.s geeft aan dat het bestand extra mogelijkheden (extended capabilities)

biedt.l geeft aan dat het bestand zonodig verplaatst kan worden vanuit het

flash-geheugen en dat het niet gecomprimeerd is.11.2-18 is het revisienummer..bin geeft aan dat het Cisco-IOS een binair en uitvoerbaar bestand is.

De laatste regel in de routeruitvoer geeft aan dat het flash-geheugen 16.384 Kb(of␣ 16 Mb) groot is. Stel dat het nieuwe bestand dat u wilt gebruiken 10 Mb groot is.U weet nu dus dat daar ruimte genoeg voor is. Als u eenmaal zeker weet dat het IOSdat u wilt kopiëren in het flash-geheugen past, kunt u de huidige versie veiligstellen.

7.4.2 Veiligstellen van het Cisco-IOS

Om het Cisco-IOS op een TFTP-host veilig te stellen, gebruikt u copy flash tftp .Dit is een eenvoudige opdracht waarvoor alleen de bronbestandsnaam en het IP-adresvan de TFTP-host nodig zijn.

De sleutel tot succes is een goede verbinding met de TFTP-host. Controleer deverbinding door de host te pingen een opdracht die u intikt achter de console-promptvan de router:

Router# ping 192.168.0.120Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.0.120, timeout is2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max =4/4/8 ms


De Ping- (Packet Internet Groper-)utility wordt gebruikt om de netwerkverbinding tetesten. U ziet het in sommige voorbeelden in dit hoofdstuk. Later in dit hoofdstuk wordthet behandeld in paragraaf 7.9 ‘Netwerkverbindingen controleren’.

Ping de TFTP-host om er zeker van te zijn dat IP werkt. Geef dan de opdrachtcopy flash tftp zodat het IOS naar de TFTP-host wordt gekopieerd. Nu ziet u denaam van het bestand in het flash-geheugen. Dat maakt het makkelijk voor u. Kopieerde bestandsnaam en plak die op de juiste plek als het systeem u om de naam van hetbronbestand vraagt.

Router# copy flash tftpSystem flash directory:File Length Name/status 1 8121000 c2500-js-l.112-18.bin[8121064 bytes used, 8656152 available, 16777216 total]Address or name of remote host [255.255.255.255]?192.168.0.120Source file name? c2500-js-l.112-18.binDestination file name [c2500-js-l.112-18.bin]? (press enter)Verifying checksum for ‘c2500-js-l.112-18.bin’)file #1)...OKCopy ‘/c2500-js-l.112-18’ from Flash to server as ‘/c2500-js-l.112-18’? [yes/no] y!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![uitvoer verwijderd]Upload to server doneFlash copy took 00:02:30 [hh:mm:ss]Router#

In dit voorbeeld is de inhoud van het flash-geheugen met succes naar de TFTP-hostgekopieerd. Het adres van de remote host is het IP-adres van de TFTP-host. De naamvan het bronbestand is het bestand in het flash-geheugen.

Bij de opdracht copy flash tftp wordt u niet om de locatie van een bestandgevraagd of waar het bestand neergezet moet worden. TFTP is het ‘lees het en schrijfhet’-programma. Op de TFTP-host moet een standaard-directory zijn gespecificeerd,anders werkt het niet.


7.4.3 Het terugzetten of opwaarderen van het Cisco-router-IOS

Soms is het nodig het Cisco-IOS terug te zetten naar het flash-geheugen, bijvoorbeeldom een beschadigd bestand te vervangen of om het IOS op te waarderen (upgraden).U kunt het bestand van een TFTP-host naar het flash-geheugen overzetten(downloaden) met copy tftp flash . Voor deze opdracht hebt u het IP-adres van deTFTP-host nodig en de naam van het bestand dat u naar het flash-geheugen wiltoverzetten.

Kijk voordat u begint of het bestand dat u in het flash-geheugen wilt zetten, in destandaard TFTP-directory op de host staat. Als u de opdracht tot overzetten geeft,vraagt TFTP u niet waar het bestand is. Als het bestand dat u wilt terughalen niet inde standaard-directory van de TFTP-host staat, werkt deze procedure niet.

Om het IOS van een TFTP-host naar het flash-geheugen te kopiëren moet de routerherstart worden. Het is dus verstandig dit niet op maandagochtend om 9 uur te doen.

Nadat u de opdracht copy tftp flash hebt ingevoerd, ziet u twee mededelingen:

1. De router moet herstarten.

2. Er moet een ‘ROM-based IOS-image’ draaien om deze taak te kunnenuitvoeren:

Router# copy tftp flash **** NOTICE ****Flash load helper v1.0This process will accept the copy options and then terminateThe current system image to use the ROM based image for thecopy.Routing functionality will not be available during that time.If you are logged in via telnet, this connection willterminate.Users with console access can see the results of the copyoperation. ---- ******** ----Proceed? [confirm] (press enter)

Druk op Enter om te bevestigen dat u de router wilt herstarten. De volgenderouteruitvoer verschijnt. Als de router de TFTP-host eenmaal heeft gebruikt, zal hijdat adres onthouden en u alleen nog vragen op Enter te drukken.


System flash directory:File Length Name/status 1 8121000 /c2500-js-l.112-18[8121064 bytes used, 8656152 available, 16777216 total]Address or name of remote host [192.168.0.120]? (press enter)

Achter de volgende prompt voert u de naam van het bestand in dat u naar hetflash-geheugen wilt kopiëren. Zoals u weet, moet dit bestand in de standaard-directory van de TFTP-host staan.

Source file name? c2500-js56i-l.120-9.binDestination file name [c2500-js56i-l.120-9.bin]? (press enter)Accessing file ‘c2500-js56i-l.120-9.bin’ on 192.168.0.120...Loading c2500-js56i-l.120-9.bin from 192.168.0.120 (viaEthernet0): ! [OK]

Geef de router de bestandsnaam en vertel deze waar het bestand staat. Dan vraagthij u om te bevestigen dat u de inhoud van het flash-geheugen wilt wissen.

De router vraagt u in twee gevallen de inhoud van het flash-geheugen te wissen voordatdeze het nieuwe bestand in het flash-geheugen zet.

1. Als er onvoldoende ruimte is in het flash-geheugen om beide kopieën te bevatten.

2. Als het flash-geheugen nieuw is (er is nog niet eerder een bestand naar toe isgeschreven).

U krijgt drie maal een vraag, gewoon om er zeker van te zijn dat u echt wiltdoorgaan met het wissen van het flash-geheugen. Als u nog niet de opdracht copyrun start hebt gegeven moet u dat alsnog doen, want de router moet herstarten.

Erase flash device before writing? [confirm] (press enter)Flash contains files. Are you sure you want to erase?[confirm] (press enter)

System configuration has been modified. Save? [yes/no]: yBuilding configuration...[OK]Copy ‘c2500-js56i-l.120-9.bin’ from serveras ‘c2500-js56i-l.120-9.bin’ into Flash WITH erase? [yes/no] y

Vul ‘yes’ in bij het wissen van het flash-geheugen. Nu moet de router herstarten eneen klein IOS laden vanuit het ROM-geheugen. U kunt het flashbestand niet wissenals het gebruikt wordt.


Nu is de inhoud van het flash-geheugen gewist. Het bestand van de TFTP-hostwordt gelezen en naar het flash-geheugen gekopieerd.

%SYS-5-RELOAD: Reload requested%FLH: c2500-js56i-l.120-9.bin from 192.168.0.120 to flash ...

System flash directory:File Length Name/status 1 8121000 /c2500-js-l.112-18[8121064 bytes used, 8656152 available, 16777216 total]Accessing file ‘c2500-js56i-l.120-9.bin’ on 192.168.0.120...Loading c2500-js56i-l.120-9.bin .from 192.168.0.120 (viaEthernet0): ! [OK]

Erasing device... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee

Loading c2500-js56i-l.120-9.bin from 192.168.0.120 (viaEthernet0):!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!![uitvoer verwijderd]

De e-tekens geven de voortgang aan: ze laten zien hoever het wissen van deinhoud van het flash-geheugen is gevorderd . Elk uitroepteken (! ) betekent dat eenUDP-segment succesvol overgezet is.

Als de kopie gemaakt is verschijnt dit bericht:

[OK - 10935532/16777216 bytes]

Verifying checksum... OK (0x2E3A)Flash copy took 0:06:14 [hh:mm:ss]%FLH: Re-booting system after download

Nadat het bestand in het flash-geheugen is geladen, wordt er een checksum(foutcontrole aan de hand van een controlegetal) uitgevoerd. De router herstart endraait het nieuwe IOS-bestand.

Cisco-routers kunnen zelf een TFTP-server-host worden voor een routerconfiguratie ofIOS-versie die in het flash-geheugen staat. De algemene configuratie-opdracht istftp-server tftp: .


7.5 De Cisco-configuratie veiligstellen enterugzettenAlle wijzigingen die u doorvoert op de routerconfiguratie worden opgeslagen in hetbestand running-config . Als u de opdracht copy run start niet geeft na eenverandering in running-config , zal die wijziging verdwijnen als de router herstartof uitvalt. Het is verstandig de configuratiegegevens ook buiten de router veilig testellen voor het geval de router of switch de geest geeft. Een kopie van deconfiguratiegegevens kan ook dienst doen als documentatie van uw configuratie. Devolgende paragrafen beschrijven hoe u de configuratie van een router en switch naareen TFTP-host kopieert. U leert ook hoe u die configuratie herstelt.

7.5.1 De Cisco-routerconfiguratie veiligstellen

Om de routerconfiguratie te kopiëren van een router naar een TFTP-host gebruikt ude opdracht copy running-config tftp ofwel copy startup-config tftp .Beide opdrachten stellen de routerconfiguratie veilig die op dat moment in DRAMdraait of in NVRAM is opgeslagen.

De huidige configuratie controleren

Controleer de configuratie in het DRAM met show running-config (kortweg: shrun ):

Router# sh runBuilding configuration...

Current configuration:!version 12.0

Deze configuratiegegevens vertellen u dat de router nu versie 12.0 van het IOS draait.

De opgeslagen configuratie verifiëren

Nu moet u de configuratie die in het NVRAM is opgeslagen controleren. Om dieconfiguratie op te vragen, geeft u de opdracht show startup-config (kortweg: shstart ).


Router# sh startUsing 366 out of 32762 bytes!version 11.2

De tweede regel toont hoeveel ruimte de veiligheidskopie van uw configuratie inbeslag neemt. In dit voorbeeld is het NVRAM 32 Kb en slechts 366 bytes ervanworden gebruikt. De configuratie-versie in het NVRAM is 11.2 (omdat de running-config niet naar startup-config is gekopieerd nadat de router werdopgewaardeerd).

Als u niet zeker weet of alle bestanden hetzelfde zijn, en u weet zeker dat u hetbestand running-config wilt gebruiken, geef dan de opdracht copy running-config startup-config om er zeker van te zijn dat beide bestanden hetzelfde zijn.Deze procedure wordt in het volgende gedeelte beschreven.

De huidige configuratie kopiëren naar het NVRAM

Door running-config als veiligheidskopie naar het NVRAM te kopiëren (zieschermafdruk), weet u zeker dat uw running-config altijd herladen wordt als derouter herstart. In de nieuwe IOS-versie 12.0, wordt gevraagd welke bestandsnaam uwilt gebruiken. Omdat in dit voorbeeld IOS-versie 11.2 draaide toen de laatste keereen copy run start werd uitgevoerd, zegt de router nu dat deze dit bestandvervangt door de nieuwe versie 12.0.

Router# copy run startDestination filename [startup-config]? (press enter)Warning: Attempting to overwrite an NVRAM configurationpreviously written by a different version of the system image.Overwrite the previous NVRAM configuration?[confirm] (pressenter)Building configuration...[OK]Typ nu show startup-config. U ziet versie 12.0:Router# sh startUsing 487 out of 32762 bytes!version 12.0

De configuratie naar een TFTP-host kopiëren

Als het bestand eenmaal naar het NVRAM is gekopieerd, kunt een tweedeveiligheidskopie maken naar een TFTP-host met copy running-config tftp(kortweg: copy run tftp ):


Router# copy run tftpAddress or name of remote host []? 192.168.0.120Destination filename [router-confg]? todd1-confg!!487 bytes copied in 12.236 secs (40 bytes/sec)Router#

Dit kost slechts twee uitroeptekens (!! ) (UDP-bevestigingen). In dit voorbeeld ishet bestand todd1-confg genoemd omdat er geen host-naam voor de router isingesteld. Als u een host-naam hebt geconfigureerd, wordt de bestandsnaamautomatisch de host-naam plus de extensie -confg .

7.5.2 De Cisco-routerconfiguratie herstellen

Als u de running-config van de router hebt gewijzigd en terug wilt zetten naar deversie in de startup-config , kunt u dat het beste doen met copy startup-config running-config (kortweg: copy start run ). U kunt ook de oudereCisco-opdracht config mem intikken om een configuratie te herstellen. Dit werktnatuurlijk alleen als u eerst running-config naar het NVRAM hebt gekopieerdvoordat u wijzigingen aanbracht.

Als u de routerconfiguratie naar een TFTP-host hebt gekopieerd als een tweedeveiligheidskopie, herstelt u de configuratie met copy tftp running-config ,(kortweg: copy tftp run ) of copy tftpstartup-config , (kortweg: copy tftp start ), zoals hieronder. Onthoud dat deoude opdracht hiervoor config net is.

Router# copy tftp runAddress or name of remote host []? 192.168.0.120Source filename []? todd1-confgDestination filename [running-config]? (press enter)Accessing tftp://192.168.0.120<tip>odd1-confg...Loading todd1-confg from 192.168.0.120 (via Ethernet0):!![OK - 487/4096 bytes]487 bytes copied in 5.400 secs (97 bytes/sec)Router#00:38:31: %SYS-5-CONFIG: Configured from tftp://192.168.0.120<tip>odd1-confgRouter#

Het configuratiebestand is een ASCII-tekstbestand. U kunt het bestand duswijzigingen met een willekeurige tekstverwerker voordat u de configuratie vanaf eenTFTP-host op een router terugzet.


7.5.3 De configuratie wissen

Het bestand startup-config op een Cisco-router kunt u wissen met erasestartup-config .

Router# erase startup-configErasing the nvram filesystem will remove all files! Continue?[confirm] (press enter)[OK]Erase of nvram: completeRouter#

Deze opdrachten wissen de inhoud van het NVRAM op de router. De volgendekeer dat de router start, activeert deze de setup-modus.

7.6 Cisco Discovery ProtocolHet Cisco Discovery Protocol (CDP) is een producentspecifiek (proprietary) protocoldat is ontworpen door Cisco. Het helpt beheerders gegevens te verzamelen overlokale en niet-lokale apparaten. Met CDP kunt u hardware- en protocolgegevensverzamelen over naburige apparaten. Deze gegevens zijn nuttig om problemen mee opte lossen en om netwerkdocumentatie mee op te stellen.

7.6.1 Gegevens verzamelen over CDP-timers en holdtime

De opdracht show cdp (kortweg: sh cdp ) levert gegevens op over twee algemeneCDP-parameters die op Cisco-apparaten geconfigureerd kunnen worden:

• CDP-timer geeft aan hoe vaak CDP zijn pakketten uitstuurt via alle actieveinterfaces.

• CDP-holdtime is het aantal seconden dat een apparaat een pakket bewaart dathet van naburige apparaten ontvangt.

De Cisco-routers en de Cisco-switches gebruiken dezelfde parameters.De uitvoer op een router ziet er zo uit:

Router# sh cdpGlobal CDP information: Sending CDP packets every 60 seconds Sending a holdtime value of 180 secondsRouter#


De algemene opdrachten cdp holdtime en cdp timer configureren de CDP-holdtime en timer op een router.

Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# cdp ? holdtime Specify the holdtime (in sec) to be sent in packets timer Specify the rate at which CDP packets are sent(in

sec) run

Router(config)# cdp timer 90Router(config)# cdp holdtime 240Router(config)# ^Z

U kunt CDP volledig uitschakelen door vanuit de algemene configuratiemodus vaneen router de opdracht no cdp run in te tikken. Het CDP kan in- of uitgeschakeldworden op een routerinterface met no cdp enable en cdp enable . Deze wordenlater in dit hoofdstuk besproken inde paragraaf 7.6.4, ‘Poort- en interfacegegevensverzamelen’.

7.6.2 Gegevens verzamelen over de buren

Met de opdracht show cdp neighbor , (kortweg: sh cdp nei ) ziet u gegevens overdirect-verbonden apparaten. Het is belangrijk om te onthouden dat CDP-pakkettenniet een Cisco-switch passeren. U ziet alleen de switch die direct met de routerverbonden is. Op een router die verbonden is met een switch ziet u geen andereapparaten die verbonden zijn aan de switch.

Deze uitvoer ziet u op 2509 router na de opdracht show cdp neighbor

Todd2509# sh cdp neiCapability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port ID1900Switch Eth 0 238 T S 1900 22500B Ser 0 138 R 2500 Ser 0Todd2509#

Direct-verbonden aan de 2509-router zijn een switch met de host-naam1900Switch en een router uit serie 2500 met host-naam 2500B. In de CDP-tabel opde 2509-router ziet u geen apparaten die verbonden zijn met de 1900Switch en derouter 2500B. U ziet alleen alle apparaten die direct met de router 2509 verbondenzijn.


Tabel 7.5 vat de gegevens samen die u ziet met de opdracht show cdp neighbor .Deze opdracht toont voor elk apparaat dat direct-verbonden is met het apparaatwaarop u deze opdracht geeft.

Tabel 7.5 Uitvoer van de opdracht show cdp neighbor

Veld Beschrijving

Device ID De host-naam van het apparaat dat direct-verbonden is met derouter of switch.

Local Interface De poort of interface waarop u het CDP-pakket ontvangt.

Holdtime De tijd dat de router de gegevens bewaart voordat die weggegooidworden als er geen CDP-pakketten meer binnenkomen.

Capability De mogelijkheden van de buurman, zoals router, switch, ofrepeater. De capability-codes staan boven in de uitvoer van dezeopdracht.

Platform Het type Cisco-apparaat. In de bovenstaande uitvoer zijn de routersCisco-2509, Cisco-2511 en Catalyst-5000 verbonden met de 1900-switch. Router 2509 ziet alleen de 1900-switch en router 2501omdat die twee die via zijn interface serial 0 met deze routerverbonden zijn.

Port ID De poort of interface van het buurapparaat waarop de CDP-pakketten worden gebroadcast.

Een andere opdracht die gegevens over de buren oplevert is show cdp neighbordetail , (kortweg: show cdp nei de). Deze opdracht kan ook gegeven worden op derouter of de switch. Hiermee ziet u gedetailleerde gegevens over elk apparaat datverbonden is aan het apparaat waarop de opdracht wordt gegeven, zoals deonderstaande routeruitvoer laat zien.

Todd2509# sh cdp neighbor detail--------------------------------------------------------Device ID: 1900SwitchEntry address(es): IP address: 0.0.0.0Platform: cisco 1900, Capabilities: Trans-Bridge SwitchInterface: Ethernet0, Port ID (outgoing port): 2Holdtime : 166 secVersion :V9.00--------------------------------------------------------Device ID: 2501BEntry address(es): IP address: 172.16.10.2


Platform: cisco 2500, Capabilities: RouterInterface: Serial0, Port ID (outgoing port): Serial0Holdtime : 154 secVersion :Cisco Internetwork Operating System SoftwareIOS (tm) 3000 Software (IGS-J-L), Version 11.1(5), RELEASESOFTWARE (fc1)Copyright (c) 1986-1996 by cisco Systems,Inc.Compiled Mon 05-Aug-96 11:48 by mkamsonTodd2509#

Deze uitvoer onthult de host-naam en het IP-adres van de direct-verbondenapparaten. De opdracht show cdp neighbor (zie tabel 7.5) en show cdp neighbordetail tonen dezelfde gegevens, maar met één verschil: de laatste optie vertelt ookwelke IOS-versie op het buurapparaat draait.

De opdracht show cdp entry * geeft dezelfde gegevens als show cdp neighbordetails . Een voorbeeld van de routeruitvoer van de opdracht show cdp entry * :

Todd2509# sh cdp entry *----------------------------------------------------------Device ID: 1900SwitchEntry address(es): IP address: 0.0.0.0Platform: cisco 1900, Capabilities: Trans-Bridge SwitchInterface: Ethernet0, Port ID (outgoing port): 2Holdtime : 223 secVersion :V9.00----------------------------------------------------------Device ID: 2501BEntry address(es): IP address: 172.16.10.2Platform: cisco 2500, Capabilities: RouterInterface: Serial0, Port ID (outgoing port): Serial0Holdtime : 151 secVersion :Cisco Internetwork Operating System SoftwareIOS (tm) 3000 Software (IGS-J-L), Version 11.1(5), RELEASESOFTWARE (fc1)Copyright (c) 1986-1996 by cisco Systems,Inc.Compiled Mon 05-Aug-96 11:48 by mkamsonTodd2509#

7.6.3 Verkeersgegevens over een interface verzamelen

Met de opdracht show cdp traffic ziet u gegevens over verkeer op een interface,zoals het aantal CDP-pakketten dat is verzonden/ontvangen en de aantallen foutenmet CDP.


Deze uitvoer toont de uitvoer op een router na de opdracht show cdp traffic .

Router# sh cdp trafficCDP counters : Packets output: 13, Input: 8 Hdr syntax: 0, Chksum error: 0, Encaps failed: 0 No memory: 0, Invalid packet: 0, Fragmented: 0Router#

Dit zijn niet de meest belangrijke gegevens die u van een router kunt krijgen, maardeze uitvoer laat wel zien hoeveel CDP-pakketten er op een apparaat wordenverzonden dan wel ontvangen.

7.6.4 Poort- en interfacegegevens verzamelen

De opdracht show cdp interface (kortweg: sh cdp inter ) toont de CDP-status oprouter-interfaces of switch-poorten.

Zoals u weet kunt u CDP op een router volledig uitschakelen met de opdracht nocdp run . Het CDP kan echter ook per afzonderlijke interface uitgeschakeld wordenmet no cdp enable . U schakelt een poort in met cdp enable . Alle poorten eninterfaces komen nu standaard op cdp enable staan.

Op een router toont de opdracht show cdp interface gegevens over elkeinterface die CDP gebruikt, inclusief de encapsulation op de verbinding, de timer ende holdtime voor elke interface. Een voorbeeld van de routeruitvoer na die opdracht:

Router# sh cdp interfaceEthernet0 is up, line protocol is up Encapsulation ARPA Sending CDP packets every 60 seconds Holdtime is 180 secondsSerial0 is administratively down, line protocol is down Encapsulation HDLC Sending CDP packets every 60 seconds Holdtime is 180 secondsSerial1 is administratively down, line protocol is down Encapsulation HDLC Sending CDP packets every 60 seconds Holdtime is 180 seconds

Om CDP op één interface of router uit te schakelen, typt u no cdp enable in deconfiguratiemodus van die interface:


Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# int s0Router(config-if)# no cdp enableRouter(config-if)# ^Z

Controleer de wijziging met show cdp interface :

Router# sh cdp intEthernet0 is up, line protocol is up Encapsulation ARPA Sending CDP packets every 60 seconds Holdtime is 180 secondsSerial1 is administratively down, line protocol is down Encapsulation HDLC Sending CDP packets every 60 seconds Holdtime is 180 secondsRouter#

De uitvoer hierboven laat zien dat serial 0 niet in de routeruitvoer staat. Als u eencdp enable uitvoert op serial 0, komt deze wel tevoorschijn.

7.7 TelnetTelnet is een virtueel terminal protocol dat deel uitmaakt van de TCP/IP protocollen.Met Telnet kunt u verbindingen leggen naar niet-lokale apparaten, gegevens verkrij-gen, en programma’s draaien.

Als u de routers en switches hebt geconfigureerd, kunt u het Telnet-programmatoepassen. Hiermee kunt u routers en switches configureren en controleren zondereen console-kabel. U start het Telnet-programma door telnet te tikken achter eenwillekeurige opdracht prompt (DOS of Cisco). Er moeten wel VTY-wachtwoordeningesteld zijn op de routers, anders werkt het niet.

U kunt CDP niet gebruiken om gegevens te krijgen over routers en switches dieniet direct-verbonden zijn met het apparaat waarop u werkt. Maar u kunt de Telnet-applicatie wel gebruiken om verbinding te leggen met de buurapparaten. Vervolgenskunt u CDP draaien op die buurapparaten zodat u CDP-gegevens krijgt overapparaten die aan de buurapparaten zijn verbonden.

U kunt de opdracht Telnet tikken achter elke routerprompt, zoals u hieronder ziet:

Todd2509# telnet 172.16.10.2Trying 172.16.10.2 ... Open

Password required, but none set


[Connection to 172.16.10.2 closed by foreign host]Todd2509#

U ziet het, wachtwoorden zijn niet ingesteld – wat een blunder! Onthoud dat deVTY-poorten op een router zijn geconfigureerd als login . Dit betekent dat u de VTY-wachtwoorden moet instellen of no login moet gebruiken. (Zie hoofdstuk 4 voor dedetails bij het instellen van wachtwoorden.)

Op een Cisco-router hoeft u de opdracht Telnet niet te gebruiken. Als u gewooneen IP-adres tikt achter een opdrachtprompt, neemt de router aan dat u naar hetapparaat wilt telnetten, zoals u hier ziet:

Todd2509# 172.16.10.2Trying 172.16.10.2 ... Open

Password required, but none set


Het is tijd de VTY-wachtwoorden in te stellen op de router waarnaar de telnet-sessie moet plaatsvindenten. Dit is wat er is gedaan:

2501B# config tEnter configuration commands, one per line. End with CNTL/Z.2501B(config)# line vty 0 42501B(config-line)# login2501B(config-line)# password todd2501B(config-line)# ^Z2501B#%SYS-5-CONFIG_I: Configured from console by console

Probeer nu nog eens de router verbinding te laten leggen (vanaf de console vanrouter 2509).

Todd2509# 172.16.10.2Trying 172.16.10.2 ... Open

User Access Verification

Password:2501B>

Onthoud dat het VTY-wachtwoord het gebruikersmodus-wachtwoord is, niet hetenable-wachtwoord. Dit gebeurt er u probeert naar beheerdersmodus te gaan nadat ueen telnet-sessie hebt gehad naar router 2501B:


2501B>en% No password set2501B>

Dit is een goede beveiliging. U wilt immers niet dat iemand in uw apparaat kantelnetten en dan in staat is enable in te tikken. Daarmee zou hij/zij immers inbeheerdersmodus komen. U moet uw ‘enable modus’-wachtwoord of ‘enable secret’-wachtwoord instellen als u Telnet gebruikt om niet-lokale apparaten mee teconfigureren.

7.7.1 Telnetten naar meer apparaten tegelijk

Als u naar een router of switch telnet, kunt u de verbinding verbreken door op eenwillekeurig moment exit te typen. Maar wat doet u als u de verbinding naar eenniet-lokaal apparaat open wilt houden en toch terug wilt gaan naar uwoorspronkelijke router-console? Dan drukt u op Ctrl+Shift+6, laat los en drukt danop X.

Hier is een voorbeeld van een verbinding naar meer apparaten vanaf de consolevan de router Todd2509:



Password:2501B> [Ctrl-Shift-6 en vervolgens X]Todd2509#

In dit voorbeeld was er een telnet-sessie naar router 2501B en het wachtwoord isingevoerd om in gebruikersmodus te komen. Vervolgens is op Ctrl+Shift+6 endaarna op X gedrukt (dit is niet op de schermuitvoer te zien). De opdrachtprompt isnu terug op router Todd2509.

U kunt ook naar een 1900-switch telnetten. Dan moet u het enable modus-wachtwoord van niveau 15 instellen op de switch voordat u toegang krijgt via deTelnet-applicatie. (Zie appendix B voor gegevens over het instellen van de 1900-switch wachtwoorden.) In dit voorbeeld was er een telnet-sessie naar een 1900-switch, die de console-uitvoer van de switch laat zien.


Catalyst 1900 Management ConsoleCopyright (c) Cisco Systems, Inc. 1993-1999All rights reserved.


Enterprise Edition SoftwareEthernet Address: 00-B0-64-75-6B-C0

PCA Number: 73-3122-04PCA Serial Number: FAB040131E2Model Number: WS-C1912-ASystem Serial Number: FAB0401U0JQPower Supply S/N: PHI033108SDPCB Serial Number: FAB040131E2,73-3122-04---------------------------------------------


User Interface Menu

[M] Menus [K] Command Line

Enter Selection:

Hier is op Ctrl+Shift+6 en daarna op X gedrukt. Op die manier keert u terugnaar de router-console van Todd2509.

Todd2509#

7.7.2 Telnet-verbindingen controleren

Controleer de verbindingen die u van de router naar een niet-lokaal apparaat gemaakthebt met how sessions .

Todd2509# sh sessionsConn Host Address Byte Idle Conn Name 1 172.16.10.2 172.16.10.2 0 0 172.16.10.2* 2 192.168.0.148 192.168.0.148 0 0 192.168.0.148Todd2509#

Ziet u het sterretje (* ) naast verbinding 2? Dit betekent dat u de laatste keer dat utelnette, sessie 2 hebt gebruikt. U kunt naar die laatste sessie terugkeren doortweemaal op Enter te drukken. U kunt ook naar een sessie terugkeren door hetnummer van de verbinding in te tikken en dan tweemaal op Enter te drukken.

7.7.3 Telnet-gebruikers controleren

U krijgt een overzicht van alle consoles en VTY-poorten die actief zijn op uw routermet show users :


Todd2509# sh users Line User Host(s) Idle Location* 0 con 0 172.16.10.2 00:07:52 192.168.0.148 00:07:18

In de uitvoer van de tweede opdracht staat con voor de lokale console. In ditvoorbeeld is de console verbonden met twee niet-lokale IP-adressen of apparaten.

In het volgende voorbeeld is een telnet-sessie tot stand gebracht vanaf routerTodd2509 naar router 2501B. Daar is de opdracht show users gegeven.

2501B>sh users Line User Host(s) Idle Location 0 con 0 idle 9* 2 vty 0

Deze uitvoer betekent dat de console actief is en dat VTY-poort 2 is in gebruik is.Het sterretje staat voor de terminal-poort die vóór het geven van de opdracht shusers werd gebruikt.

7.7.4 Telnet-sessies afsluiten

Telnet-sessies zijn op een paar manieren af te sluiten. Typ exit of disconnect . Ditzijn waarschijnlijk de makkelijkste en snelste manieren.

Om een sessie van een ander apparaat te stoppen, typt u exit .

Todd2509# (Druk hier twee keer op Enter.)[Resuming connection 2 to 192.168.0.148 ... ]

1900Switch>exit


Omdat de 1900-switch de laatste sessie was, moet u twee keer op Enter drukkenen deze sessie stoppen.

U stopt een sessie met een lokaal apparaat met disconnect .

Todd2509# disconnect ? <1-2> The number of an active network connection WORD The name of an active network connection <cr>

Todd2509# disconnect 1Closing connection to 172.16.10.2 [confirm]Todd2509#


In dit voorbeeld is het sessienummer 1 gebruikt omdat de verbinding naar router2501B moet worden afgebroken. Zoals u weet, kunt u met show sessions hetverbindingsnummer te weten komen.

Als u een sessie wilt afbreken van een apparaat dat via Telnet aan uw router hangt,moet u eerst controleren of er apparaten met uw router zijn verbonden. Doe dit metshow users .

2501B# sh users Line User Host(s) Idle Location* 0 con 0 idle 0 1 aux 0 idle 0 2 vty 0 idle 0 172.16.10.1

Deze uitvoer toont dat VTY-0 (verbindingsnummer 2) met IP-adres 172.16.10.1verbinding heeft gelegd. Dat is router Todd2509.

Verbreek de verbinding met clear line # .

2501B# clear line 2[confirm] [OK]

Controleer of de verbinding is verbroken met show users .

2501B# sh users Line User Host(s) Idle Location* 0 con 0 idle 0 1 aux 0 idle 1

2501B#

Deze uitvoer laat zien dat de verbinding is verbroken.

7.8 Host-namen vertalenAls u verbinding wilt leggen met een ander apparaat door een host-naam in plaats vanmet een IP-adres, moet het apparaat waarmee u verbinding legt in staat zijn de host-naam naar een IP-adres te vertalen.

Er zijn twee manieren om host-namen naar IP-adressen te vertalen: een host-tabelbouwen op elke router, of een Domain Name System (DNS)-server bouwen. Zo’nDNS heeft veel weg van een dynamische host-tabel.


7.8.1 Een host-tabel maken

Een host-tabel kan (alleen op de router waarop deze staat) gebruikt worden om host-namen naar IP-adressen te vertalen. U bouwt een host-tabel op een router met deopdracht ip host name tcp_port_number ip_address

Het standaard TCP-poortnummer van Telnet is 23. U kunt echter ook een Telnet-sessie op de router beginnen op een ander TCP-poortnummer, dat u zelf kunttoewijzen. U kunt maximaal acht IP-adressen toewijzen aan een host-naam.

Hier is een voorbeeld van het configureren van een host-tabel. In dit voorbeeldheeft de tabel twee records die de namen van de 2501B-router en de 1900-switchnaar IP-adressen vertalen.

Todd2509# config tEnter configuration commands, one per line. End with CNTL/Z.Todd2509(config)# ip host ? WORD Name of host

Todd2509(config)# ip host 2501B ? <0-65535> Default telnet port number A.B.C.D Host IP address (maximum of 8)

Todd2509(config)# ip host 2501B 172.16.10.2 ? A.B.C.D Host IP address (maximum of 8) <cr>Todd2509(config)# ip host 2501B 172.16.10.2Todd2509(config)# ip host 1900Switch 192.168.0.148Todd2509(config)# ^Z

U bekijkt de host-tabel met show hosts .

Todd2509# sh hostsDefault domain is not setName/address lookup uses domain serviceName servers are 255.255.255.255

Host Flags Age Type Address(es)2501B (perm, OK) 0 IP 172.16.10.21900Switch (perm, OK) 0 IP 192.168.0.148Todd2509#

In de voorgaande routeruitvoer ziet u de twee host-namen en de daaraangekoppelde IP-adressen. De perm in de kolom Flags betekent dat de rij met de handis geconfigureerd. Als er Temp staat, is het een rij die door DNS is vertaald.


Om na te gaan of de host-tabel namen vertaalt, tikt u de host-namen achter eenrouter-prompt in. Onthoud dat, als u de opdracht niet specificeert, de routeraanneemt dat u wilt telnetten. In het volgende voorbeeld zijn de host-namen gebruiktom naar de niet-lokale apparaten te telnetten. Daarna is op Ctrl+Shift+6 gedrukt. Entot slot is X getypt om terug te keren naar de hoofdconsole van router Todd2509.

Todd2509# 2501bTrying 2501B (172.16.10.2)... Open


Password:2501B>Todd2509# (control+shift+6,en dan x)Todd2509#1900 switchTrying 1900switch (192.168.0.148)... Open

Catalyst 1900 Management ConsoleCopyright (c) Cisco Systems, Inc. 1993-1999All rights reserved.Enterprise Edition SoftwareEthernet Address: 00-B0-64-75-6B-C0

PCA Number: 73-3122-04PCA Serial Number: FAB040131E2Model Number: WS-C1912-ASystem Serial Number: FAB0401U0JQPower Supply S/N: PHI033108SDPCB Serial Number: FAB040131E2,73-3122-04---------------------------------------------


User Interface Menu

[M] Menus [K] Command Line

Enter Selection: (control+shift+6,en dan x)Todd2509#

De poging met de host-tabel een sessie naar twee apparaten op te zetten, isgeslaagd. Daarna zijn de host-namen gebruikt om naar beide apparaten te telnetten.Onderstaand ziet u de uitvoer van de opdracht show sessions . Nu verschijnt dehost-naam in plaats van het IP-adres.


Todd2509# sh sessConn Host Address Byte Idle Conn Name 1 1900switch 192.168.0.148 0 0 switch* 2 2501b 172.16.10.2 0 0 2501bTodd2509#

U kunt een host-naam uit de tabel verwijderen met no ip host zoals inonderstaand voorbeeld:

RouterA(config)# no ip host routerb

Het probleem met de host-tabel-methode is dat u op elke router een host-tabelmoet maken om namen te vertalen. Als u veel routers hebt en namen wilt vertalen,kunt u beter voor DNS kiezen.

7.8.2 Namen vertalen met DNS

Als u veel apparaten hebt en geen host-tabel wilt maken op elk apparaat, is een DNS-server om host-namen te vertalen naar IP-adressen een goede oplossing.

Telkens als een Cisco-apparaat een opdracht krijgt die het niet begrijpt, probeerthet die te vertalen met DNS. Kijk eens wat er gebeurt er als u de speciale opdrachttodd intikt achter een prompt op een Cisco-router.

Todd2509# toddTranslating ‘todd’...domain server (255.255.255.255)% Unknown command or computer name, or unable to find computeraddressTodd2509#

De router kent de opgegeven naam niet en weet ook niet welke opdracht uprobeert te geven. Dus volgt er een poging de opgegeven naam via DNS te vertalen.Dit is om twee redenen irritant: de router kent de ingevoerde naam niet, en u moetwachten totdat de router klaar is met het zoeken naar en vertalen van de naam. Ukunt de DNS-lookup op uw router voorkomen door vanuit de algemeneconfiguratiemodus no ip domain-lookup in te tikken.

Als u een DNS-server op uw netwerk hebt, moet u een paar opdrachten toevoegenom ervoor te zorgen dat DNS-naamvertaling werkt:

• De eerste opdracht is ip domain-lookup . Die staat standaard aan. Dezeopdracht moet alleen gegeven worden als u de DNS-naamvertaling voorheen haduitgeschakeld met de opdracht no ip domain-lookup ).

• De tweede opdracht is ip name-server . Dit stelt het IP-adres van de DNS-server in. U kunt de IP-adressen van maximaal zes servers invoeren.


• De laatste opdracht is ip domain-name . Hoewel deze opdracht facultatief is, ishet aan te bevelen deze opdracht wel altijd te geven. Deze voegt de domeinnaamtoe aan de host-naam die u intikt. Omdat DNS een Fully Qualified DomainName (FQDN)-systeem gebruikt, moet u een volledige DNS-naam hebben in devorm van domain.com .

Deze drie opdrachten geeft u als volgt in:

Todd2509# config tEnter configuration commands, one per line. End with CNTL/Z.Todd2509(config)# ip domain-lookupTodd2509(config)# ip name-server ? A.B.C.D Domain server IP address (maximum of 6)Todd2509(config)# ip name-server 192.168.0.70Todd2509(config)# ip domain-name lammle.comTodd2509(config)# ^ZTodd2509#

Nadat de DNS-configuraties ingesteld zijn, kunt u de DNS-server testen door meteen host-naam naar een andere host-naam te pingen of te telnetten.

Todd2509# ping 2501bTranslating ‘2501b’...domain server (192.168.0.70) [OK]Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.10.2, timeout is2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max =28/31/32 ms

De router gebruikt de DNS-server om de naam te vertalen.Als DNS de naam vertaald hebt, tikt u show hosts om te controleren of de router

deze gegevens in de host-tabel heeft opgeslagen.

Todd2509# sh hostsDefault domain is lammle.comName/address lookup uses domain serviceName servers are 192.168.0.70

Host Flags Age Type Address(es)2501b.lammle.com (temp, OK) 0 IP 172.16.10.21900switch (perm, OK) 0 IP 192.168.0.148Todd2509#

De regel die werd gemaakt bij de DNS-vertaling wordt getoond als Temp, maar het1900-switchapparaat is nog steeds perm . Dit betekent dat het een statische regel is.


De host-naam is een volledige domeinnaam. Als u de opdracht ip domain-namelammle.com niet gebruikt had, had u ping 2501b.lammle.com moeten tikken. Ditis vervelend.

7.9 Netwerkverbindingen controlerenU kunt de opdrachten ping en Traceroute gebruiken om verbindingen naar niet-lokale apparaten te testen. Beide opdrachten kunnen met veel protocollen gebruiktworden, niet alleen met IP.

7.9.1 De opdracht ping

In dit hoofdstuk zag u hoe u apparaten moet pingen om IP-verbindingen te testen.Ook leerde u naamvertalingen met de DNS-server uit te voeren. Om alle verschillendeprotocollen te zien die u met ping kunt gebruiken, geeft u de opdracht ping ?.

Todd2509# ping ? WORD Ping destination address or hostname apollo Apollo echo appletalk Appletalk echo clns CLNS echo decnet DECnet echo ip IP echo ipx Novell/IPX echo srb srb echo tag Tag encapsulated IP echo vines Vines echo xns XNS echo <cr>

De uitvoer van ping toont de minimale, gemiddelde en maximale tijd die eenPing-pakket nodig heeft om een opgegeven systeem te vinden en weer terug te keren.Hier is nog een voorbeeld:

Todd2509# ping todd2509Translating ‘todd2509’...domain server (192.168.0.70) [OK]Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.0.121, timeout is2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max =32/32/32 msTodd2509#


U ziet dat de DNS-server gebruikt werd om de naam te vertalen en dat hetapparaat in 32 ms (milliseconden) werd gepingt.

De opdracht ping kan gegeven worden in gebruikersmodus en beheerdersmodus maarniet in configuratiemodus.

7.9.2 De opdracht traceroute

De opdracht trace toont het pad dat een pakket aflegt om naar een ander apparaatte gaan. Om de protocollen te zien die u kunt gebruiken met traceroute , typt utraceroute ?:

Todd2509# traceroute ? WORD Trace route to destination address or hostname appletalk AppleTalk Trace clns ISO CLNS Trace ip IP Trace ipx IPX Trace oldvines Vines Trace (Cisco) vines Vines Trace (Banyan) <cr>

Als u probeert trace te gebruiken met IPX of AppleTalk, krijgt u een foutmelding. Deopdracht wordt niet ondersteund. Deze protocollen zullen in de nabije toekomst welworden ondersteund.

De opdracht trace toont de hops (tussenstations) die een pakket aandoet op wegnaar een ander apparaat. Deze opdracht gebruikt u als volgt:

Todd2509# trace 2501bType escape sequence to abort.Tracing the route to 2501b.lammle.com (172.16.10.2)

1 2501b.lammle.com (172.16.10.2) 16 msec * 16 msecTodd2509#

U ziet dat het pakket slechts één hop nodig had om zijn bestemming te vinden.


7.10 SamenvattingIn dit hoofdstuk hebt u geleerd hoe Cisco-routers geconfigureerd worden en hoe udeze configuratie moet beheren. De volgende interne gegevens van een router werdenbehandeld in dit hoofdstuk:

• De interne componenten van een Cisco-router.

• De startvolgorde van de router.

• Het configuratieregister en hoe dit wordt gewijzigd.

• Het wachtwoord herstellen.

Daarna leerde u hoe u het Cisco-IOS en de configuratie van een Cisco-router moetveiligstellen en terugzetten. Vervolgens leerde u om CDP en Telnet te gebruiken omgegevens te verzamelen over naburige apparaten. Als laatste leerde u hoe host-namenworden vertaald en hoe u de opdrachten ping en trace gebruikt om netwerk-verbindingen te testen.

7.11 KernbegrippenVoordat u aan het examen deelneemt moet u de volgende termen goed kennen:

boot-ROM

configuratieregister

flash

ping

RAM

ROM

Telnet

TFTP-host

trace


7.12 Opdrachten in dit hoofdstukOnderstaande lijst geeft een overzicht van alle in dit hoofdstuk besproken opdrachten:

Opdracht Beschrijving

cdp enable Schakelt in CDP op één interface.

cdp holdtime Wijzigt de holdtime van CDP-pakketten.

cdp run Schakelt CDP op een router in.

cdp timer Wijzigt de CDP-update-timer.

clear line Sluit een Telnet-verbinding naar uw router af.

config-register Vertelt de router hoe deze de instellingen van hetconfiguratieregister wijzigt. Deze instellingen bepalen hoede router moet starten.

copy flash tftp Kopieert een bestand vanuit het flash-geheugen naar eenTFTP-host.

copy run start Kopieert het bestand running-config bestand naarhet startup-config .

copy run tftp Kopieert het bestand running-config naar een TFTP-host.

copy tftp flash Kopieert een bestand van een TFTP-host naar het flash-geheugen.

copy tftp run Kopieert een configuratie van een TFTP-host naar hetbestand running-config .

Ctrl+Shift+6, dan X Brengt u terug naar de oorspronkelijke router als u naar(toetsencombinatie) meer routers aan het telnetten bent.

delete nvram Wist de inhoud van het NVRAM op een 1900-switch.

disconnect Verbreekt de verbinding naar een niet-lokale (remote)router vanuit de oorspronkelijke router.

erase startup-config Wist de inhoud van het NVRAM op een router.

exit Verbreekt de Telnet-verbinding naar een andere router.

ip domain-lookup Schakelt DNS-lookup opnieuw in.

ip domain-name Voegt een domeinnaam toe aan een DNS-lookup.

ip host Maakt een host-tabel op een router.

ip name-server Stelt het IP-adres in van maximaal zes DNS-servers.

no cdp enable Schakelt CDP helemaal uit op één interface.

no cdp run Schakelt CDP helemaal uit op een router.

no ip domain-lookup Schakelt DNS-lookup uit.

no ip host Verwijdert een host-naam uit een host-tabel.



<o>r 0x2142 Wijzigt een 2501-router. Deze start nu zonder deinhoud van het NVRAM te gebruiken.

ping Test IP-verbindingen naar een niet-lokaal apparaat.

show cdp Toont de CDP-timer and holdtime-frequenties.

show cdp entry * Hetzelfde als show cdp neighbor detail , maarwerkt niet op een 1900-switch.

show cdp interface Toont alle interfaces waarop CDP is ingeschakeld.

show cdp neighbor Toont de direct-verbonden buren en hunbasisgegevens.

show cdp neighbor detail Toont de IP-adressen, de IOS-versie en het IOS-type. Toont ook alle gegevens van de show cdpneighbor opdracht.

show cdp traffic Toont de CDP-pakketten die zijn verstuurd enontvangen op een apparaat en het aantal fouten(indien van toepassing).

show flash Toont de bestanden in het flash-geheugen.

show hosts Toont de inhoud van de host-tabel.

show run Toont het bestand running-config .

show sessions Toont de Telnet-verbindingen naar andereapparaten.

show start Toont het bestand startup-config .

show version Toont het IOS-type, de IOS-versie en hetconfiguratieregister.

telnet Maakt verbinding met en niet-lokaal apparaat.Bekijkt daar gegevens en draait er programma’sop.

tftp-server system ios-name Identificeert een router als een TFTP-server voorde IOS-versie in het flash-geheugen.

trace Test een verbinding naar een ander apparaat entoont het pad door het internetwerk naar dat niet-

Hoofdstuk

9Verkeer met toe-gangslijsten beheren

DE VOLGENDE ONDERWERPEN UIT HETCCNA-EXAMEN WORDEN IN DITHOOFDSTUK BEHANDELD:

✓ Netwerkmanagement

• Configureren van standaardtoegangslijsten om IP-verkeerin beeld te brengen.

• Configureren van uitgebreide toegangslijsten om IP-verkeer te filteren.

• Beheren en verifiëren van geselecteerde toegangslijstenop de router.

Het juiste gebruik en de configuratie van toegangslijsten (access lists) is eenwezenlijk onderdeel van routerconfiguratie, omdat toegangslijsten behoren tot deessentiële netwerkonderdelen. Netwerkmanagers hebben met het gebruik van dezetoegangslijsten een enorme controle over de verkeersstroom in het internetwerk. Hettoepassen van toegangslijsten draagt bij aan de realisatie van een effectief en optimaalnetwerk. Met de toegangslijsten verzamelen managers basisinformatie en gegevensover de pakkettenstroom voor implementatie van een veiligheidsbeleid. Gevoeligeapparaten zijn aldus beschermd tegen ongeautoriseerde toegang.

Toegangslijsten worden gebruikt om pakketten toe te laten of te weigeren wanneerdeze door een router gestuurd worden. Daarnaast worden ze toegepast om Telnet(VTY) naar en van een router te weigeren of toe te laten. Tevens worden deze lijstengebruikt om inbelverzoeken van verderop gelegen locaties (Dial-on-Demand) in tewilligen.

In dit hoofdstuk worden toegangslijsten voor zowel TCP/IP als IPX behandeld.Daarnaast komen enkele beschikbare opdrachten aan de orde voor het testen encontroleren van de toegepaste toegangslijsten.

9.1 ToegangslijstenToegangslijsten (access lists) zijn essentiële lijsten met voorwaarden die zowel detoegang naar de netwerksegmenten als het verkeer er vandaan controleren.Toegangslijsten filteren ongewenste pakketten en worden gebruikt om eenveiligheidsbeleid te implementeren. Met de juiste combinatie van toegangslijstenkunnen netwerkmanagers vrijwel elk toegangsbeleid effectueren.

IP- en IPX-toegangslijsten werken op een vergelijkbare manier – het zijnpakketfilters waarmee pakketten worden vergeleken, gecategoriseerd en vervolgensbehandeld. Zodra de lijsten zijn opgebouwd, kunnen deze toegepast worden op hetinkomende en uitgaande verkeer van iedere interface. Aan de hand van eentoegangslijst analyseert de router elk pakket dat door die interface in een specifiekerichting gestuurd wordt en onderneemt de juiste actie.


Er is een aantal belangrijke regels als een pakket vergeleken wordt met eentoegangslijst:

• De vergelijking met elke regel in de toegangslijst vindt altijd van boven naarbeneden plaats, dus begint met regel 1, dan regel 2, regel 3, regel 4, enzovoort.

• De vergelijking met de regels van een toegangslijst wordt gemaakt totdat er eengelijkenis is gevonden. Als het pakket overeenkomsten vertoont met een van deregels in de toegangslijst, wordt er actie ondernomen en worden geen verderevergelijkingen meer gemaakt.

• Het kan zijn dat er een ‘deny’ aan het einde van de lijst staat. Dit betekent dathet pakket verwijderd wordt, omdat geen gelijkenis te vinden is in alle regels vande lijst.

De bovenstaande regels zijn van cruciaal belang, wanneer u IP- en IPX-pakkettenfiltert met toegangslijsten.

Er zijn twee soorten toegangslijsten die worden gebruikt met IP en IPX:

Standaardtoegangslijsten (Standard access lists)Deze lijsten gebruiken alleen de IP-bronadressen in een IP-pakket om het netwerkte filteren. Het komt er dus op neer dat een complete verzameling protocollengeweigerd of toegang krijgt. IPX-standaardlijsten kunnen zowel op bron- alsbestemmingsadres filteren.

Uitgebreide toegangslijsten (Extended access lists)Deze controleren zowel de IP-bron- en bestemmingsadressen, als deprotocolvelden in de netwerklaagheader en ook wel poortgetal in detransportlaagheader. Uitgebreide IPX-toegangslijsten gebruiken IPX-bron- enbestemmingsadressen, netwerklaagprotocolvelden en socketgetallen in detransportlaagheader.

Zodra u een toegangslijst hebt gemaakt, past u deze toe op een interface met eeninkomende of uitgaande lijst:

Inkomende toegangslijstenPakketten worden getest tegen de toegangslijst voordat deze gerouteerd wordt naarde uitgaande interface.

Uitgaande toegangslijstenPakketten worden naar de uitgaande interface gerouteerd en hierna getest tegen detoegangslijst.

Als u toegangslijsten op een router wilt gebruiken en implementeren gelden devolgende richtlijnen:

408 Hoofdstuk 9 • Verkeer met toegangslijsten beheren

• Er kan slechts een toegangslijst per interface, per protocol en per richtinggemaakt worden. Wanneer u bijvoorbeeld IP-toegangslijsten maakt, betekent ditdat u per interface maar een inkomende en een uitgaande toegangslijst kuntmaken.

• Probeer uw toegangslijsten zo te organiseren dat specifieke testen boven aan detoegangslijst staan.

• Elke nieuwe invoer wordt automatisch onder aan de toegangslijst geplaatst.

• Het is niet mogelijk om een regel van een lijst te verwijderen. Probeert u dittoch, dan verwijdert u de hele lijst. Wilt u de lijst bewerken, kopieer deze naareen tekstverwerker. De enige uitzondering geldt benoemde toegangslijsten.

• Tenzij uw toegangslijst eindigt met de opdracht permit any , worden allepakketten verworpen als deze niet voldoen aan de eisen. Uiteraard moet elke lijstop zijn minst ergens de opdracht permit bevatten, anders kunt u de interfacenet zo goed afsluiten.

• Maak eerst de toegangslijst en pas deze daarna toe op een interface. Elkegemaakte toegangslijst filtert het verkeer alleen als deze als actieve toegangslijstop een interface geïmplementeerd is.

• Toegangslijsten zijn ontworpen om verkeer te filteren dat door een routergestuurd wordt. Het zal niet verkeer filteren dat van de router afkomstig is.

• Plaats standaard IP-toegangslijsten zo dicht mogelijk bij de bestemming.

• Plaats uitgebreide IP-toegangslijsten zo het dichtst mogelijk bij het bronadres.

9.1.1 Standaard IP-toegangslijsten

Standaard IP-toegangslijsten filteren het netwerk op basis van het IP-bronadres in eenIP-pakket. U maakt een standaard IP-toegangslijst dooreen lijst een nummer tussen1 en 99 tot te kennen.

Hieronder volgt een voorbeeld van getallen die u kunt gebruiken om uw netwerkte filteren. Welke protocollen u in combinatie met toegangslijsten kunt gebruikenhangt af van het IOS-systeem dat u gebruikt.

RouterA(config)# access-list? <1-99> IP standard access list <100-199> IP extended access list <1000-1099> IPX SAP access list <1100-1199> Extended 48-bit MAC address access list <1200-1299> IPX summary address access list <200-299> Protocol type-code access list <300-399> DECnet access list


<400-499> XNS standard access list <500-599> XNS extended access list <600-699> Appletalk access list <700-799> 48-bit MAC address access list <800-899> IPX standard access list <900-999> IPX extended access list

Door de toegangslijst te nummeren met een getal tussen 1 en 99, weet de routerdat u een standaard IP-toegangslijst wilt maken.

RouterA(config)# access-list 10? deny Specify packets to reject permit Specify packets to forward

Nadat u het nummer voor de toegangslijst hebt gekozen, beslist u of u in de lijstmet de opdracht permit of met deny gaat werken. In onderstaand voorbeeld ziet ude manier waarop de opdracht deny gebruikt wordt:

RouterA(config)# access-list 10 deny? Hostname or A.B.C.D Address to match any Any source host host A single host address

De volgende stap vraagt om enige uitleg. Er zijn drie mogelijkheden. U kunt deopdracht any gebruiken om iedere host of netwerk toe te laten of te weigeren. U kunteen IP-adres gebruiken om een match te vinden met een bepaald netwerk of met eenbepaalde IP-host. Of u kunt de opdracht host gebruiken om alleen een bepaalde hostaan te duiden.

Hier is een voorbeeld van het gebruik van de opdracht host :

RouterA(config)# access-list 10 deny host 172.16.30.2

Deze opdracht zorgt ervoor dat de lijst alle pakketten van host 172.16.30.2weigert. De standaardopdracht is host . Anders gezegd, wanneer u access-list 10

deny 172.16.30.2 invoert, veronderstelt de router dat u host 172.16.30.2 bedoelt.Er bestaat echter ook een andere manier om een bepaalde host te specificeren:

door gebruik te maken van wildcards. Eigenlijk hebt u geen andere keus wanneer ueen netwerk of een subnetwerk wilt specificeren.

Wildcards

Wildcards worden met toegangslijsten gebruikt om een host, een netwerk of een deelvan en netwerk te specificeren. Om het principe van wildcards te begrijpen, moet u


blokgrootte begrijpen. Blokgrootte worden gebruikt om het bereik van adressen tespecificeren. De volgende lijst laat enkele verschillende waarden van de blokgroottezien.

Blokgrootte64321684

Wanneer u het adresbereik wilt specificeren, kiest u de dichtstbijzijnde blokgrootte.Als u bijvoorbeeld 34 netwerken wilt specificeren, kiest u een blokgrootte van 64.Wilt u 18 hosts specificeren, gebruik dan een blokgrootte van 32. Voor 2 netwerkenkiest u het beste een blokgrootte van 4.

Wildcards worden met de host- of netwerkadressen gebruikt om de router tevertellen met welk bereik de beschikbare adressen gefilterd gaan worden. Wilt u eenhost specificeren, dan ziet het adres er als volgt uit:

172.16.30.5 0.0.0.0

De vier nullen staan voor de octetten van het adres. Een nul in het adres betekentdat het octet in het adres moet overeenstemmen. Wilt u dat het octet in het adres elkewillekeurige waarde kan aannemen, gebruik dan de waarde 255. Hieronder volgt eenvoorbeeld van een wildcard die een compleet subnet specificeert:

172.16.30.0 0.0.0.255

Deze opdracht instrueert de router de eerste drie octetten exact over te nemen,terwijl het vierde octet elke waarde kan aannemen.

Dit was het eenvoudige deel. Wat doet u als u slechts een klein bereik aansubnetten wilt specificeren? Dan gaat de blokgrootte een rol spelen. U moet eenwaardebereik met behulp van een blokgrootte opgeven. Met andere woorden, u hebtniet de keuze om 20 netwerken te specificeren: 20 is geen blokgrootte. Het bereik kande waarde 16 of 32 krijgen, maar nooit 20.

Stel, u wilt een deel van het netwerk blokkeren dat ligt in het bereik van172.16.8.0 tot en met 172.16.15.0. Dit bereik heeft een blokgrootte van 8. Hetnetwerknummer is 172.16.8.0 en de wildcard wordt 0.0.7.255. Nu vraagt u zichwaarschijnlijk af wat hier aan de hand is. Het deel 7.255 zijn de getallen die de routergebruikt om de blokgrootte te bepalen. Het netwerk en de wildcard vertellen derouter om te starten met 172.16.8.0 en hierna omhoog te gaan in een blokgrootte vanacht adressen tot en met netwerk 172.16.15.0.


Het is dus eigenlijk niet zo moeilijk. Het zou een idee zijn om nu het binairerekenen erbij te halen, maar eigenlijk is het eenvoudiger te onthouden dat de wildcardaltijd één lager ligt dan de blokgrootte. Neem nu het gegeven voorbeeld. U ziet dat dewildcard 7 moet zijn omdat de blokgrootte 8 is. Gebruikt u een blokgrootte van 16,dan wordt de wildcard 15. Dit is dus niet zo ingewikkeld.

Oefen nu aan de hand van een aantal voorbeelden. Het eerste voorbeeld instrueertde router om de eerste drie octetten exact over te nemen maar zorgt ervoor dat hetvierde octet elke waarde kan vertegenwoordigen.

RouterA(config)# access-list 10 deny 172.16.10.0 0.0.0.255

Het tweede voorbeeld instrueert de router om de eerste twee octetten over tenemen en zorgt ervoor dat de laatste twee octetten elke waarde kunnenvertegenwoordigen.


Probeer de volgende opdracht uit te werken:


De bovenstaande configuratie vertelt de router te beginnen bij netwerk172.16.16.0 en een blokgrootte te gebruiken van 4. Het bereik is dan 172.16.16.0 toten met 172.16.19.0.

Het volgende voorbeeld toont een toegangslijst die begint bij 172.16.16.0 en meteen blokgrootte van 8 naar 172.16.23.0 gaat.


Dit voorbeeld begint bij netwerk 172.16.32.0 en gaat met een blokgrootte van32 naar adres 172.16.63.0.


Het laatste voorbeeld begint bij 172.16.64.0 en gaat met een blokgrootte van64 naar 172.16.127.0.


Wat u ook doet, onthoud bij het werken met wildcards of blokgrootte altijd devolgende twee dingen:

• Elke blokgrootte moet beginnen met 0. U kunt dus geen opdracht geven met eenblokgrootte van 8 en met in die opdracht beginnen met 12. U gebruikt 0–7,


8–15, 16–23, enzovoort. Voor een blokgrootte van 32 is het bereik 0–31, 32–63,64–95, enzovoort.

• De opdracht any is hetzelfde als de wildcard 0.0.0.0.255.255.255.255.

Voorbeeld van een standaard IP-toegangslijst

In dit deel past u een standaard IP-toegangslijst toe om bepaalde gebruikers toegang teweigeren tot een LAN van de Financiële afdeling.

In figuur 9.1 ziet een router met drie LAN-verbindingen en een WAN-verbindingop het internet. Gebruikers op het Verkoop-LAN horen geen toegang te hebben tothet LAN Financiën. Deze gebruikers moeten wel verbinding kunnen krijgen met hetinternet en de marketingafdeling. Het Marketing-LAN moet voor application services(toepassingsdiensten).gebruik kunnen maken van het LAN Financiën

Figuur 9.1 Voorbeeld van IP-toegangslijst met drie LAN’s en een WAN-verbinding

S0E1

E2

E0

Server172.16.10.5

InternetMarketing

172.16.30.0

Verkoop172.16.40.0

Financiëele administratie172.16.10.0

Op de Acme-router zijn de volgende IP-toegangslijsten actief:

Acme#config tAcme(config)# access-list 10 deny 172.16.40.0 0.0.0.255Acme(config)# access-list 10 permit any

Weet u nog dat de opdracht any hetzelfde is als:

Acme(config)# access-list 10 permit 0.0.0.0 255.255.255.255


De toegangslijst weigert nu alles wat afkomstig is van het Verkoop-LAN, maar laatverder iedereen toe. Waar kan deze toegangslijst nu geplaatst worden? Wordt de lijstgeplaatst als een inkomende toegangslijst op E2, dan kunt u net zo goed de Ethernet-interface afsluiten. Alle apparaten van het Verkoop-LAN wordt de toegang tot allenetwerken van de router geweigerd. De beste plaats is als uitgaande lijst op de E0-interface.

Acme(config)# int e0Acme(config-if)# ip access-group 10 out

Deze actie verhindert netwerk 172.16.40.0 het gebruik van uitgang Ethernet 0,maar vanaf dit netwerk kan men nog wel toegang krijgen tot het verkoop-LAN en totinternet.

9.1.2 Toegang van VTY (Telnet) controleren

Het wordt allemaal een stuk moeilijker als u probeert gebruikers ervan te weerhoudenom te telnetten naar een router. Immers, elke actieve poort op de router is vogelvrijals het om VTY-toegang gaat. Maar u kunt een standaard IP-toegangslijst gebruikenom de toegang te controleren. Plaats deze toegangslijst dan op de VTY-lijnen.

Dit doet u als volgt:

1. Stel een toegangslijst samen voor de host (of: voor alle hosts) die volgens uwopgave wel op de routers mogen telnetten.

2. Implementeer de toegangslijst op de VTY-lijn met de opdracht access-class .

In het volgende voorbeeld heeft host 172.16.10.3 toestemming gekregen naar eenrouter te telnetten:

RouterA(config)# access-list 50 permit 172.16.10.3RouterA(config)# line vty 0 4RouterA(config-line)# access-class 50 in

De impliciete opdracht deny any aan het einde verhindert elke host (behalve host172.16.10.3) naar de router te telnetten.

9.1.3 Uitgebreide IP-toegangslijsten

In het voorbeeld van de IP-standaardlijsten hebt u zelf kunnen zien hoe het helesubnet geblokkeerd moest worden om communicatie met de Financiële afdeling teverhinderen. Wat zou er gedaan moeten worden om hen alleen met een bepaalde


server op de financiële afdeling te laten communiceren, maar niet met anderediensten? Met een IP-standaardtoegangslijst kunt u immers niet ervoor zorgen datgebruikers wel de ene service kunnen bereiken maar niet de andere. Met uitgebreideIP-toegangslijsten (extended IP access lists) is dit wel mogelijk. Met deze lijsten kunt uniet alleen het IP-bron- en het IP-bestemmingsadres kiezen, maar ook het protocol- enpoortgetal, die het protocol of de toepassing op de bovenste laag identificeren. Metuitgebreide IP-toegangslijsten kunt u gebruikers toestaan te communiceren met eenfysiek LAN en tegelijkertijd verhinderen dat zij bepaalde services gebruiken.

Een voorbeeld van een uitgebreide IP-toegangslijst. De eerste opdracht toont debeschikbare getallen waarmee u de toegangslijst kunt nummeren. Het getalbereik vanuitgebreide toegangslijsten loopt van 100 tot en met 199.

RouterA(config)# access-list ? <1-99> IP standard access list <100-199> IP extended access list <1000-1099> IPX SAP access list <1100-1199> Extended 48-bit MAC address access list <1200-1299> IPX summary address access list <200-299> Protocol type-code access list <300-399> DECnet access list <400-499> XNS standard access list <500-599> XNS extended access list <600-699> Appletalk access list <700-799> 48-bit MAC address access list <800-899> IPX standard access list <900-999> IPX extended access list

Nu moet u beslissen wat voor soort regel u in de lijst gaat zetten. In dit voorbeeldvoert u een deny -regel in.

RouterA(config)# access-list 110 ? deny Specify packet dynamic Specify a DYNAMIC list of PERMITs or DENYs permit Specify packets to forward

Hebt u het toegangslijsttype gekozen, dan moet u nu de invoer voor hetprotocolveld in de netwerklaag vaststellen. Het is belangrijk te begrijpen dat er altijdeen regel moet in om hogerop het OSI-model te komen als u het netwerk op detoepassingslaag wilt filteren. Filtert u bijvoorbeeld met Telnet of TCP, kies dan TCP.Kiest u IP, dan komt u nooit verder dan de netwerklaag en kunt u niet filteren optoepassingen in de bovenste laag.

RouterA(config)# access-list 110 deny ? <0-255> An IP protocol number eigrp Cisco’s EIGRP routing protocol


gre Cisco’s GRE tunneling icmp Internet Control Message Protocol igmp Internet Gateway Message Protocol igrp Cisco’s IGRP routing protocol ip Any Internet Protocol ipinip IP in IP tunneling nos KA9Q NOS compatible IP over IP tunneling ospf OSPF routing protocol tcp Transmission Control Protocol udp User Datagram Protocol

Zodra u besloten hebt om via TCP tot aan de toepassingslaag te gaan, verschijnt devraag om het IP-bronadres van de host of het netwerk. U kunt de opdracht anygebruiken om elk bronadres toe te staan.

RouterA(config)# access-list 110 deny tcp ? A.B.C.D Source address any Any source host host A single source host

Nadat u het bronadres geselecteerd hebt, kiest u het bestemmingsadres.

RouterA(config)# access-list 110 deny tcp any ? A.B.C.D Destination address any Any destination host eq Match only packets on a given port number gt Match only packets with a greater port number host A single destination host lt Match only packets with a lower port number neq Match only packets not on a given port number range Match only packets in the range of port numbers

In het onderstaande voorbeeld wordt elk IP-bronadres met 172.16.30.2 als IP-bestemmingsadres geweigerd.

RouterA(config)# access-list 110 deny tcp any host 172.16.30.2 ? eq Match only packets on a given port number established Match established connections fragments Check fragments gt Match only packets with a greater port number log Log matches against this entry log-input Log matches against this entry, including

inputinterface lt Match only packets with a lower port number neq Match only packets not on a given port number precedence Match packets with given precedence value


range Match only packets in the range of port numbers tos Match packets with given TOS value <cr>

Druk op Enter en laat de toegangslijst ongewijzigd.Maar u kunt nog specifieker te werk gaan: zijn de host-adressen opgegeven, dan

kunt u opgeven welk servicetype u wilt weigeren. Het volgende hulpscherm laat demogelijkheden zien. U kunt kiezen uit een poortgetal, een toepassing of zelfs de naamvan het programma.

RouterA(config)# access-list 110 deny tcp any host 172.16.30.2eq ? <0-65535> Port number bgp Border Gateway Protocol (179) chargen Character generator (19) cmd Remote commands (rcmd, 514) daytime Daytime (13) discard Discard (9) domain Domain Name Service (53) echo Echo (7) exec Exec (rsh, 512) finger Finger (79) ftp File Transfer Protocol (21) ftp-data FTP data connections (20, 21) gopher Gopher (70) hostname NIC hostname server (101) ident Ident Protocol (113) irc Internet Relay Chat (194) klogin Kerberos login (543) kshell Kerberos shell (544) login Login (rlogin, 513) lpd Printer service (515) nntp Network News Transport Protocol (119) pop2 Post Office Protocol v2 (109) pop3 Post Office Protocol v3 (110) smtp Simple Mail Transport Protocol (25) sunrpc Sun Remote Procedure Call (111) syslog Syslog (514) tacacs TAC Access Control System (49) talk Talk (517) telnet Telnet (23) time Time (37) uucp Unix-to-Unix Copy Program (540) whois Nicname (43) www World Wide Web (HTTP, 80)


Blokkeer nu alleen Telnet (poort 23) naar host 172.16.30.2. Willen de gebruikersFTPgebruiken, dan kan dat. De opdracht log wordt gebruikt om bij elke interactiemet de toegangslijst een melding naar het console te sturen. Het is niet verstandig ditin een druk bezette omgeving te doen, maar als voorbeeld voor de klas of experimentin een thuisnetwerk is het ideaal.

RouterA(config)# access-list 110 deny tcp any host 172.16.30.2eq 23 log

Vergeet niet dat de volgende regel impliciet gelijkstaat met de standaardopdrachtdeny any . Als u deze toegangslijst op een interface toepast, kunt u de interface net zogoed afsluiten. De standaardopdracht deny all staat namelijk impliciet aan het eindevan elke toegangslijst. Om deze reden moet u de volgende vervolgopdracht gebruiken:

RouterA(config)# access-list 110 permit ip any any

Omdat 0.0.0.0 255.255.255.255 gelijkstaat met any , ziet de opdracht er alsvolgt uit:

RouterA(config)# access-list 110 permit ip 0.0.0.0255.255.255.255 0.0.0.0 255.255.255.255

Als de toegangslijst gemaakt is, wordt deze toegepast op een interface. Dit doet umet dezelfde opdracht die u ook voor de IP-standaardlijst gebruikt:

RouterA(config-if)# ip access-group 110 inofRouterA(config-if)# ip access-group 110 out

Voorbeeld van een uitgebreide IP-toegangslijst

Figuur 9.1 wordt voor dit voorbeeld nog een keer gebruikt.U werkt opnieuw methetzelfde netwerk en wilt een server op het LAN van de financiële afdeling de toegangweigeren tot zowel Telnet als tot FTP-diensten op server 172.16.10.5. Alle anderediensten op het LAN moeten voor de afdelingen Verkoop en Marketing gewoontoegankelijk zijn.

Om dit te bereiken, maakt u de volgende toegangslijst:

Acme#config tAcme(config)# access-list 110 deny tcp any host 172.16.10.5 eq 21Acme(config)# access-list 110 deny tcp any host 172.16.10.5 eq 23Acme(config)# access-list 110 permit ip any any


De opdracht access-list 110 vertelt de router dat u een uitgebreide IP-toegangslijst gaat maken. Het gedeelte tcp is het protocolveld in de header van denetwerklaag. Staat er in uw lijst geen tcp , dan kunt u poortnummers 21 en 23 nietfilteren zoals in het voorbeeld is aangegeven (21 en 23 zijn FTP en Telnet, die beideTCP gebruiken voor verbindingsgeoriënteerde diensten). De opdracht any staat voorhet bronadres en betekent ‘elk IP-adres’. De opdracht host staat voor het IP-bestemmingsadres.

Het is essentieel dat de deny aan het begin van de lijst is geplaatst. Zou u depermit eerst configureren en hierna de deny , dan zou het LAN Financiën geen enkelander LAN en evenmin het internet kunnen bereiken. De reden is de deny aan heteinde van de lijst. Het wordt moeilijk om de toegangslijst op een andere manier teconfigureren dan in het voorgaande voorbeeld.

Zijn de toegangslijsten gemaakt, dan moeten ze worden toegepast op de poortEthernet0. De andere drie interfaces op de router hebben toegang nodig tot het LAN.Is deze lijst echter gemaakt om alleen de afdeling Verkoop te blokkeren, dan plaatst udeze lijst zo dicht mogelijk bij de bron , dus op de interface Ethernet2.

Acme(config-if)# ip access-group 110 out

9.1.4 IP-toegangslijsten beheren

Het is belangrijk om een routerconfiguratie te kunnen verifiëren. Bij verificatieworden volgende opdrachten gebruikt:

show access-list Toont alle toegangslijsten en parameters van derouterconfiguratie. Deze opdracht laat niet zien opwelke interface de lijst betrekking heeft .

show access-list 110 Toont alleen de parameters voor toegangslijst 110. Dezeopdracht laat niet zien op welke interface de lijstbetrekking heeft .

show ip access-list Toont alleen de toegangslijst die op deze routergeconfigureerd is.

show ip interface Toont op welke interfaces toegangslijsten actief zijn.

show running-config Toont de toegangslijsten en de interfaces waarvoor dezegelden.


9.2 IPX-toegangslijstenIPX-toegangslijsten zijn op dezelfde manier geconfigureerd als andere lijsten. Gebruikde opdracht access-list om toegangslijsten samen te stellen en pas de lijst dan metde opdracht access-group op een interface toe.

De volgende IPX-toegangslijsten worden nu behandeld:

IPX-standaardlijsten (IPX standard)Deze toegangslijsten filteren IPX-bronhost en IPX-bestemming of denetwerknummers. De toegangslijsten zijn genummerd van 800 tot en met 899.IPX-standaardtoegangslijsten zijn vrijwel gelijk aan IP-standaardtoegangslijsten metdien verstande dat IP-standaardlijsten alleen IP-bronadressen filteren. IPX-standaardlijsten filteren zowel op bron- als op bestemmingsadressen.

Uitgebreide IPX-lijsten (IPX extended)Deze toegangslijsten filteren op IPX-bronhost en -bestemmingshost of opnetwerknummers, op het IPX-protocolveld in de netwerklaagheader en op hetsocketnummer in de transportlaagheader. De toegangslijsten zijn genummerd van900 tot en met 999.

IPX-filter voor SAPDeze filters worden gebruikt om SAP-verkeer op LANs en WANs te controleren.Togangslijsten voor IPX-filters voor SAP worden genummerd met getallen tussen1000 en 1099. Netwerkbeheerders stellen IPX-toegangslijsten samen om dehoeveelheid IPX-verkeer te controleren, inclusief SAPs op langzame WAN-links.

IPX-standaardtoegangslijsten

IPX-standaardtoegangslijsten gebruiken de IPX-bron- en bestemmingsadressen van dehost of het netwerkadres om het netwerk te filteren. De configuratie lijkt sterk op dievan IP-standaardtoegangslijsten. De manier om IPX-standaardtoegangslijsten teconfigureren is:

access-list 800-899 deny or permit source_Addressdestination_address

Wildcards mogen gebruikt worden voor de IPX-bron- en bestemmingsadressen. Alswildcard wordt het getal –1 gebruikt. Dit staat voor ‘elke host of elk netwerk’.

Figuur 9.2 toont een voorbeeld van een IPX-netwerk en laat de configuratie vaneen IPX-standaardtoegangslijst zien.


Figuur 9.2 Voorbeeld IPX-toegangslijst

E2E0

E3

E1

Server

Netwerk 40

Netwerk 10

Netwerk 20

Netwerk 30

In figuur 9.2 ziet u dat interface Ethernet0 is aangesloten op netwerk 40; interfaceEthernet1 vormt de verbinding met netwerk 10; interface Ethernet2 de toegangspoorttot netwerk 20 en interface Ethernet 3 geeft toegang tot netwerk 30.

De toegangslijst is vervolgens geconfigureerd and toegepast. Deze IPX-toegangslijststaat pakketten toe die afkomstig zijn van IPX-netwerk 20 en via interface Ethernet0naar netwerk 40 worden gestuurd.

Router(config)# access-list 810 permit 20 40Router(config)# int e0Router(config-if)# ipx access-group 810 out

Wat is het effect van deze configuratie? Allereerst ziet u dat alle IPX-apparaten opIPX-netwerk 20 via interface Ethernet2 met de server op netwerk 40 (die verbondenis met Ethernet0) kunnen communiceren. Maar ziet u wat deze configuratie nog meerbereikt? Met slechts een regel (aan het einde staat weer de impliciete opdracht denyall ) wordt ook het volgende bereikt:

• Hosts op netwerk 10 kunnen niet communiceren met de server op netwerk 40.

• Hosts op netwerk 40 krijgen toegang tot netwerk 10, maar de pakketten kunnenniet de andere kant op.

• Hosts op netwerk 30 kunnen communiceren met netwerk 10 en netwerk 10 kancommuniceren met netwerk 30.

• Hosts op netwerk 30 kunnen niet communiceren met de server op netwerk 40.

• Hosts op netwerk 40 kunnen verbinding krijgen met hosts op netwerk 30, maarde pakketten kunnen vanaf netwerk 30 niet de andere kant op.

• Hosts op netwerk 20 kunnen met alle apparaten in het internetwerkcommuniceren.


9.2.1 Uitgebreide IPX-toegangslijsten

Uitgebreide IPX-toegangslijsten (extended IPX access lists) filteren aan de hand vanhet volgende:

• bronnetwerk/knooppunt (node)

• doelnetwerk/knooppunt

• IPX-protocol (SAP, SPX, enzovoort)

• IPX-socket

Uitgebreide IPX-toegangslijsten zijn genummerd van 900 tot 999 en zijngeconfigureerd als standaardtoegangslijsten. Aan de toegangslijst is protocol- ensocketinformatie toegevoegd. Hieronder volgt een blauwdruk voor het bouwen vaneen uitgebreide IPX-toegangslijst.

access-list {number} {permit/deny} {protocol} {source}{socket} {destination} {socket}

Nogmaals: het verschil tussen een standaardlijst en een uitgebreide lijst is demogelijkheid te kunnen filteren op basis van protocol en socket (poort in geval vanIP).

9.2.2 IPX-filters voor SAP

IPX-filters voor SAP worden geïmplementeerd met dezelfde opdrachten die u tot nutoe hebt gebruikt. Deze filters vormen een belangrijk onderdeel bij het beheersen vanhet IPX-SAP-verkeer. Waarom zijn ze belangrijk? Als u in staat bent om de SAPs tebeheren, hebt u tevens controle over de toegang naar IPX-apparaten. IPX-filters voorSAP gebruiken toegangslijsten die genummerd zijn tussen 1000 en 1099. IPX-filtersvoor SAP moet u dicht mogelijk bij de bron van SAP-broadcasts plaatsen. Op diemanier voorkomt u dat ongewenst SAP-verkeer eerst een hele tijd over het netwerkrondzwerft, en uiteindelijk alsnog weggeworpen wordt.

Er bestaan twee soorten toegangslijstfilters voor het beheren van SAP-verkeer:

IPX-invoerfilter voor SAPWordt gebruikt om te voorkomen dat bepaalde SAP-gegeven een router bereikt ende SAP-tabel bijwerkt.

IPX-uitvoerfilter voor SAPWordt gebruikt om te voorkomen dat er elke 60 seconden bepaalde SAP-updatesworden verstuurd.


Hier is de blauwdruk voor het bouwen van een IPX-filter voor SAP:

access-list {number} {permit/deny} {source} {service type}

Een voorbeeld van een IPX-filter voor SAP dat service-type 4 (file services,bestandsservices) van een Netware-service met de naam Verkoop toestaat.

Router(config)#a ccess-list 1010 permit ? -1 Any IPX net <0-FFFFFFFF> Source net N.H.H.H Source net.host address Router(config)# access-list 1010 permit -1 ? <0-FFFF> Service type-code (0 matches all services) N.H.H.H Source net.host mask <cr> Router(config)# access-list 1010 permit -1 4 ? WORD A SAP server name <cr> Router(config)# access-list 1010 permit -1 4 Sales

De waarde –1 in de toegangslijst is een wildcard. Deze staat voor ‘elk knooppunten elk netwerk’. Is de lijst gemaakt, pas deze dan met een van de volgende tweeopdrachten toe op een interface:

RouterA(config-if)# ipx input-sap-filterRouterA(config-if)# ipx output-sap-filter

De opdracht input-sap-filter wordt gebruikt om te voorkomen dat SAP-gegevens worden toegevoegd aan de SAP-tabel op de router. De opdracht output-sap-filter wordt gebruikt om te voorkomen dat SAP-invoergegevens zich vanaf derouter over het hele netwerk voortplanten.

9.2.3 IPX-toegangslijsten controleren

Gebruik de opdrachten show ipx interface en show ipx access-list om deIPX-toegangslijsten en implementatie ervan op de router te verifiëren.

Merk op dat in de uitvoer van de opdracht show ipx interface het IPX-adresgetoond wordt, de uitgaande toegangslijst is ingesteld met lijst 810 en invoerfiltervoor SAP 1010 is.

Router# sh ipx int Ethernet0 is up, line protocol is up IPX address is 10.0060.7015.63d6, NOVELL-ETHER [up] Delay of this IPX network, in ticks is 1 throughput 0 link


delay 0 IPXWAN processing not enabled on this interface. IPX SAP update interval is 1 minute(s) IPX type 20 propagation packet forwarding is disabled Incoming access list is not set Outgoing access list is 810 IPX helper access list is not set SAP GNS processing enabled, delay 0 ms, output filter list is not set SAP Input filter list is 1010 SAP Output filter list is not set SAP Router filter list is not set Input filter list is not set Output filter list is not set Router filter list is not set Netbios Input host access list is not set Netbios Input bytes access list is not set Netbios Output host access list is not set Netbios Output bytes access list is not set Updates each 60 seconds, aging multiples RIP: 3 SAP: 3 SAP interpacket delay is 55 ms, maximum size is 480 bytes RIP interpacket delay is 55 ms, maximum size is 432 bytes—More—

De opdracht show ipx access-list toont de beide IPX-lijsten op de router.

Router# sh ipx access-list IPX access list 810 permit FFFFFFFF 30 IPX SAP access list 1010 permit FFFFFFFF 4 SalesRouter#

De F-jes zijn hexadecimale getallen en hetzelfde als allemaal enen (1) en als deopdracht permit any . Omdat u –1 hebt gebruikt in de IPX-opdrachten zal dedraaiende configuratie ze weergeven als allemaal F-jes.

9.3 SamenvattingIn dit hoofdstuk zijn de volgende onderwerpen behandeld:

• De configuratie van standaardtoegangslijsten (standard access lists) om IP-verkeer te filteren: wat is een staandaardtoegangslijst en hoe kan deze toegepastworden op een Cisco-router om een veilig netwerk te creëren?


• De configuratie van uitgebreide toegangslijsten (extended access lists) om IP-verkeer te filteren: wat is het verschil tussen een standaard en een uitgebreidetoegangslijst en hoe kunt u deze op Cisco-routers toepassen?

• De configuratie van IPX-toegangslijsten en SAP-filters om eenvoudig Novell-verkeer te beheren: wat is het verschil tussen een standaard en uitgebreide IPX-toegangslijst en hoe kunt u deze lijsten op een Cisco-router toepassen?

• Het monitoren en verifiëren van opgegeven interactie met toegangslijsten op derouter: wat zijn de belangrijkste opdrachten voor het testen en verifiëren van IP-en IPX-toegangslijsten?

9.4 KernbegrippenZorg ervoor dat u de volgende termen kent als u opgaat voor het examen:

IP-standaardtoegangslijst

IPX-standaardtoegangslijs

toegangslijst

uitgebreide IP-toegangslijst

uitgebreide IPX- toegangslijst

wildcard

9.5 Opdrachten in dit hoofdstukOverzicht van alle in dit hoofdstuk behandelde opdrachten:


0.0.0.0 255.255.255.255 Opdracht met een wildcard, hetzelfde als de opdrachtany

access-class Past een IP-standaardlijst toe op een VTY-lijn

Access-list Maakt een toegangslijst om de netwerken te filteren

Any Elke host of elk netwerk; zelfde als de opdracht0.0.0.0 255.255.255.255 .

Host Specificeert een hostadres

ip access-group Past een IP-toegangslijst toe op een interface



ipx access-group Past een IPX-toegangslijst toe op een interface

ipx input-sap-filter Past een binnenkomende (inbound) IPX-filter voorSAP toe op een interface

ipx output-sap-filter Past een uitgaande (outbound) IPX-filter voor SAP toeop een interface

show access-list Toont alle geconfigureerde filters op de router

show access-list 110 Toont alleen toegangslijst 110

show ip access-list Toont alleen de IP-toegangslijsten

show ip interface Toont welke interfaces IP-toegangslijsten benutten

show ipx access-list Toont de op de router geconfigureerde IPX-toegangslijsten

show ipx interface Laat zien op welke interfaces IPX-toegangslijsten

Hoofdstuk

10WAN-protocollen

IN DIT HOOFDSTUK WORDEN DEVOLGENDE ONDERWERPEN VOOR HETCCNA-EXAMEN BEHANDELD:

✓ Wide Area Networking-protocollen.

• Kennen van belangrijke Frame Relay-kenmerken enuitdrukkingen.

• Opsommen van opdrachten voor het configureren vanFrame Relay-LMI’s, maps en subinterfaces.

• Opsommen van opdrachten om Frame Relay-bewerkin-gen in de router te monitoren.

• Benoemen van situaties waarin ISDN-netwerken eenrelevante rol kunnen spelen.

• Identificeren van ISDN-protocollen, functiegroepen,referentiepunten en kanalen.

• Identificeren van PPP-bewerkingen voor de inkapseling(encapsulation) van WAN-gegevens op Cisco-routers.

De Cisco IOS WAN ondersteunt verschillende WAN-protocollen die ukunnen helpen om een LAN-verbinding naar andere remote-LAN’s te leggen. Vandaagde dag is het een ‘must’ de netwerken van bedrijven onderling koppelen. Gegevenstussen gekoppelde bedrijven kunnen snel en effectief uitgewisseld worden. Maar hetkost veel te veel om met eigen middelen permanent verbindingen met verderopgelegen lokaties te onderhouden. Bij serviceproviders kunt u bestaande verbindingenhuren of leasen. Door dit te doen bespaart u veel tijd en geld.

U moet weten op welke verschillende manieren Cisco de verschillende soortenWAN’s ondersteunt. Omdat dit hoofdstuk niet elk type WAN kan beschrijven, wordenalleen HDLC, PPP, Frame Relay en ISDN-protocollen behandeld.

10.1 Wide Area NetworksOm de technologieën achter WAN-netwerken te begrijpen, moet u de verschillendeWAN-termen en verbindingtypen kennen. In deze paragraaf worden een aantalbegrippen behaldeld. Bovendien wordt uitgebreid aandacht besteed aan deverbindingtypen die serviceproviders vaak gebruiken.

10.1.1 WAN-termen definiëren

Voordat u een bepaalde WAN-service bestelt moet u de door serviceprovidersgebezigde terminologie begrijpen.

Customer premises equipment (CPE)De apparatuur, die het bezit is van de klant en op de lokatie van de abonneeaanwezig is.

Demarc (afbakening)Het laatste punt dat nog valt onder de verantwoordelijkheid van deserviceprovider. Dit is meestal een RJ-45-aansluitpunt dat dicht bij de CPE ligt. DeCPE is waarschijnlijk een CSU/DSU of ISDN-interface die verbinding heeft met dedemarc (afbakening).


Lokale lusVerbindt de demarc met het dichtstbijzijnde schakelstation: het hoofdkantoor (CO,central office).

CO (hoofdkantoor, central office)Verbindt de klanten met het geschakelde netwerk van de serviceprovider. In plaatsvan CO wordt ook wel de term point of presence (POP) gehanteerd.

Toll-netwerkTrunklijnen (bundellijnen) in een WAN-netwerk van de serviceprovider.Trunklijnen zijn een verzameling switches en faciliteiten.

Het is belangrijk dat u deze termen kunt dromen. Anders wordt het moeilijk deWAN-technologie te begrijpen en toe te passen.

10.1.2 Typen WAN-verbindingen

Figuur 10.1 toont de verschillende typen WAN-verbindingen. Ze worden worden omLAN’s in een DCE-netwerk te verbinden.

Figuur 10.1 Typen WAN-verbindingen

Dedicated

Circuitgeschakeld(circruit-switched)

Pakketgeschakeld(Packet-switched)

Synchroon serieel

Asynchroon serieel, ISDN

Synchronoos serieel

Telefoonmaatschappij

Internet ServiceProvider

442 Hoofdstuk 10 • WAN-protocollen

Onderstaand worden de diverse WAN-verbindingen toegelicht:

HuurlijnenMeestal aangeduid als point-to-point- of gereserveerde verbinding (dedicatedconnections). Het is een vooraf door de CPE ingesteld WAN-communicatiepad,dat via de DCE-switch naar de CPE van een verderop gelegen lokatie gaat. Dankzijhuurlijnen kunnen DTE-netwerken op elk moment gegevens overdragen, zonderconfiguratie vooraf. Dit pad maakt gebruik van gesynchroniseerde seriële lijnen tot45Mbps.

Circuit-switchenBouwt een verbinding op, op dezelfde manier als bij een normaal telefoongesprek.Gegevensoverdracht is pas mogelijk als een end-to-end-verbinding tot stand isgebracht. Gebruikt kiesmodems en ISDN. Circuit-switchen wordt gebruikt voorgegevensoverdracht in situaties met geringe bandbreedte.

Pakket-switchenDit is een methode van WAN-switchen waarbij u bandbreedte kunt delen. Dit isgoedkoper. Vergelijk pakket-switchen met groepsgespreklijnen. Zo lang u nietvoortdurend bezig bent om gegevens te verzenden maar in plaats daarvanonregelmatig dataverkeer hebt, bespaart u met pakket-switchen veel geld. Hebt uechter voortdurend dataverkeer, dan is het raadzaam om een huurlijn te nemen.De technologie van Frame Relay en X.25 zijn gebaseerd op pakket-switchen.Snelheden variëren van 56Kbps tot 2.048Mbps.

10.1.3 WAN-ondersteuning

In deze paragraaf worden de belangrijkste WAN-protocollen behandeld. Dit zijnISDN, LAPB, HDLC en PPP. In de rest van het hoofdstuk wordt uitvoerig ingegaan opde werking en het configureren van Cisco-routers.

Frame relayIn the begin van de jaren negentig ontstond de technologie van het pakket-switchen. Frame relay is hiermee uitgerust. Frame Relay is een specificatie op delaag Data Link en op de laag Physical. He doel van de specificatie is hetwaarborgen van een goede prestatie. Frame Relay gaat uit van de aanname dat degebruikte voorzieningen minder foutgevoelig zijn dan in de tijd dat X.25 werd,want gegevens worden met minder overhead verzonden. Frame Relay heeft eenhoger rendement dan point-to-point-verbindingen. Het draait meestal metsnelheden van 64Kbps tot 1.544Mbps. Met Frame Relay kan bandbreedtedynamisch worden toegewezen en wordt gecontroleerd op congestie(opstoppingen).


ISDNIntegrated Services Digital Network is een verzameling digitale services die spraak(voice) en data (gegevens) over bestaande telefoonlijnen verstuurt. ISDN is eenrendabel alternatief voor gebruikers die op afstand met een computer willenwerken en die behoefte hebben aan een snellere gegevensoverdracht dan analogekieslijnen kunnen bieden. ISDN is een goede keuze als back-upverbinding voorandere soorten lijnen als Frame Relay- of T-1-verbindingen.

LAPBLink Access Procedure, Balanced is gemaakt voor X.25 om te worden gebruikt alsverbindinggeoriënteerd protocol in de laag Data Link. Het kan ook gebruiktworden als een eenvoudig Data Link-transport. LAPB heeft een grote overheadvanwege de stringent toegepaste technieken voor time-outs (tijdoverschrijdingen)en windowing. U kunt LAPB in plaats van HDLC gebruiken. HDLC heeft minderoverhead, maar LAPB is een betere keuze als uw verbinding erg foutgevoelig is.Maar dit is meestal geen groot probleem meer.

HDLCHigh-Level Data Link Control is afgeleid van Synchronous Data Link Control(SDLC). SDLC werd door IBM ontwikkeld als een verbindingprotocol op de laagData Link. HDLC is een verbindinggeoriënteerd protocol in de laag Data Linkmaar heeft weinig overhead in vergelijking met LAPB. Het is niet de opzet vanHDLC geweest om binnen één verbinding meer protocollen op de laag Network inte kapselen. De HDLC-header kent geen veld ‘. Daarom heeft elk bedrijf datHDLC gebruikt een eigen manier om het op de laag Network gebruikte protocolvast te leggen. Het komt er dus op neer dat elke HDLC proprietary is(bedrijfspecifiek en alleen geschikt voor de apparatuur die door dat bedrijf isgeleverd).

PPPPoint-to-Point Protocol is een protocol dat als industiestandaard geldt. Omdat veelHDLC-versies proprietary (bedrijfspecifiek) zijn, kan PPP gebruikt worden omverbindingen tussen twee punten (point-to-point links) te maken. Zo kunnenapparaten van verschillende leveranciers worden gekoppeld. PPP gebruikt een veldNetwork Control Protocol in de Data Link-header om het op de laag Networkgebruikte protocol vast te leggen. PPP staat authenticatie en multilinkverbindingentoe en kan draaien over asynchrone en synchrone verbindingen.

Asynchronous Transfer Mode (ATM)ATM is ontworpen voor gegevensverkeer waarbij de factor tijd een belangrijke rolspeelt. Geluid, video en gegevens kunnen simultaan worden verzonden. ATMgebruikt geen pakketten maar cellen. Deze hebben een standaardlengte van53 bytes. Bovendien past ATM isochroon klokken (extern klokken) toe omgegevens sneller te transporteren. Local Area Network Emulation (LANE) wordtgebruikt om ATM te draaien op Ethernet- en Token Ring-LANs.


10.2 High-Level Data-Link Control Protocol(HDLC)High-Level Data-Link Control Protocol is een bit-georiënteerd protocol dat voldoetaan de eisen die ISO stelt. HDLC bevindt zich op de laag Data Link van het OSI-model. HDLC bepaalt de inkapselingsmethode op een seriële dataverbinding. Erworden frame-tekens en controlegetallen gebruikt. HDLC is een point-to-pointprotocol dat op huurlijnen wordt gebruikt. Authenticatie is niet mogelijk.

In byte-georiënteerde protocollen is de controle-informatie gecodeerd; hiervoorworden hele bytes gebruikt. Bitgeoriënteerde protocollen gebruiken slechts enkele bitsom de controle-informatie in op te slaan. SDLC, LLC, HDLC, TCP, IP, enzovoort zijnbitgeoriënteerde protocollen

HDLC is de standaard-inkapseling (encapsulation) voor Cisco-routers opsynchrone seriële verbindingen. HDLC van Cisco is altijd proprietary(producentspecifiek) en het zal nooit werken met de HDLC-implementatie van eenandere producent. Maar Cisco is niets aan te rekenen, want elke HDLC-implementatie is proprietary. Figuur 10.2 toont de HDLC-opmaak van Cisco.

Figuur 10.2 Cisco HDLC-opmaak

AdresVlag

• Elke leverancier defineert het proprietary-deel van HDSL op zijn eigen manier. Dit veld ondersteunt multiprotocol-omgevingen.

• Ondersteunt alleen omgevingen met een protocol.

Vlag Adres Control Gegevens(Data)

FCS Vlag

ControlLeverancier-

specifiek(Proprietary)

Gegevens(Data) FCS Vlag

Cisco HDLC

HDLC

Elke producent heeft een proprietary (producentspecifieke) methode voor HDLC-inkapseling. De reden hiervoor is dat elke producent een eigen manier vancommuniceren met protocollen op de laag Network heeft. Zouden de producentengeen manier hebben gevonden om via HDLC te laten communiceren metverschillende protocollen in laag-3, dan zou HDLC alleen maar een enkel protocolkunnen dragen. De proprietary header wordt geplaatst in het veld HDLC-inkapseling(HDCL-encapsulation).


Stel, u hebt maar een Cisco-router en u legt een verbinding met een Bay-routeromdat uw andere Cisco-router nog niet beschikbaar is. U kunt dan niet de standaardseriële HDLC-inkapseling gebruiken. De beste oplossing is PPP, de standaard ISO-aanpak is om protocollen in de bovenste laag te identificeren.

10.3 Point-to-Point Protocol (PPP)PPP (Point-to-Point Protocol) is een protocol op de laag Data Link dat gebruikt kanworden met asynchrone seriële media (dial-up) of synchrone seriële media (ISDN).PPP gebruikt LCP (Link Control Protocol) om verbindingen tot stand te brengen en teonderhouden.

Het eigenlijke doel van PPP is het transporteren van pakketten uit laag 3 over eenpoint-to-point-verbinding op de laag Data Link. Figuur 10.3 vergelijkt de protocol-stack met het OSI-referentiemodel.

Figuur 10.3 Point-to-point protocol-stack

Protocollen op de bovenste lagen(zoals IP, IPX, AppleTalk)

Fysieke laag(zoals EIA/TIA-232, V.24, V.35, ISDN)

Network Control Protocol (NCP)(specifiek voor elk protocol op de netwerk-laag)

Link Control Protocol (LCP)

High-Level Data Link Control Protocol (HDLC)

OSI layer

3

2

1

PPP bevat vier basiscomponenten:

EIA/TIA-232-CEen internationale standaard voor seriële communicatie op de laag Physical(Fysiek).

HDLCEen methode voor het inkapselen van datagrammen op seriële verbindingen.

LCPEen methode voor het opbouwen, configureren, onderhouden en beëindigen vaneen point-to-point-verbinding.


NCPEen methode voor het opbouwen en configureren van verschillende protocollenop de laag Network. PPP is ontworpen om te zorgen dat meer protocollen op delaag Network gelijktijdig en zonder problemen gebruik kunnen worden.Voorbeelden hiervan zijn IPCP (Internet Protocol Control Protocol) en IPXCP(Internetwork Packet Exchange Control Protocol).

PPP-protocollen hebben uitsluitend betrekking op de lagen Physical en Data Link.NCP wordt gebruikt voor communicatie met meer protocollen op de laag Network.De protocollen worden ingekapseld tijdens het transport over een PPP-verbinding.

Op het examen moet u alle PPP-protocollen kennen!

10.3.1 Het configureren van Link Control Protocol (LCP)

Link Control Protocol biedt verschillende inkapselingsopties:

Authenticatie (Authentication)Deze optie geeft de kieszijde van de verbinding de opdracht informatie teversturen ter identificatie van de gebruiker. Op het CCNA-examen moet u PAP enCHAP kennen!

Compressie (Compression)Dit wordt gebruikt om de verwerkingscapaciteit van PPP-verbindingen tevergroten. PPP decomprimeert het gegevensframe aan de ontvangstzijde. Ciscogebruikt de compressiemethode Stacker en Predictor. Deze worden uitgebreidbehandeld in CCNP: Routing Study Guide (Sybex, 2000).

Foutopsporing (Error detection)PPP gebruikt de opties Quality en Magic Number om verzekerd te zijn van eenbetrouwbare en lusvrije verbinding.

MultilinkVanaf IOS versie 11.1 wordt multilink met Cisco-routers op PPP-verbindingenondersteund. Dit verdeelt de PPP-belasting over twee (of meer) parallelle circuitsen wordt bundle genoemd.


10.3.2 Een PPP-sessie opbouwen

PPP wordt gebruikt met authenticatie. Dit betekent dat communicerende routersinformatie verstrekken om de verbinding te identificeren als geldigecommunicatieverbinding. Wanneer de PPP-verbindingen geactiveerd zijn, volgen drieinstellingsfases:

Link-opbouwfase (Link-establishment phase)LCP-pakketten worden door elk PPP-apparaat verstuurd om de verbinding tetesten en configureren. Deze pakketten bevatten een veld (Configuration Option),waarin voor elk apparaat de gegevensomvang, compressie en authenticatie vermeldis. Is dit veld niet aanwezig, dan wordt de standaardconfiguratie gebruikt.

Authenticatiefase (Authentication phase)Indien geconfigureerd kan CHAP of PAP gebruikt worden voor de authenticatievan de verbinding. De authenticatie vindt plaats voordat de informatie van hetprotocol op de laag Network wordt gelezen.

Netwerklaagprotocolfase (Network-layer protocol phase)PPP gebruikt het Network Control Protocol voor inkapseling van meerprotocollen op de laag Network, opdat ze via een PPP-verbinding (PPP data link)getransporteerd kunnen worden.

10.3.3 PPP-authenticatiemethoden

Er bestaan twee authenticatiemethoden voor PPP-verbindingen: PasswordAuthentication Protocol (PAP) of Challenge Authentication Protocol (CHAP).

Password Authentication Protocol (PAP)

De methode Password Authentication Protocol (PAP) is de minst betrouwbare van detwee. Wachtwoorden worden in platte tekst verzonden en PAP wordt alleen maaruitgevoerd bij het opbouwen van de verbinding. Wanneer de verbinding tot stand isgebracht, stuurt het andere knooppunt (de remote node) de gebruikersnaam en hetwachtwoord terug voor authenticatie. Meer gebeurt er niet.

Challenge Authentication Protocol (CHAP)

Het Challenge Authentication Protocol (CHAP) wordt toegepast bij de opbouw(initial setup) van de verbinding. Op vastgestelde tijdstippen daarna worden er


controles (check-ups) uitgevoerd om er zeker van te zijn dat de router nog steeds metdezelfde host communiceert.

Na deze beginfase stuurt de lokale router een proefverzoek (challenge) naar deremote service. Deze berekent een waarde en stuurt deze terug in de vorm van eenhash-functie (MD5). De lokale router controleert of deze waarden overeenkomen. Isdit niet het geval, dan wordt de verbinding onmiddellijk verbroken.

10.3.4 PPP-configuratie op Cisco-routers

PPP-inkapseling (PPP-encapsulation) configureren op een interface is eigenlijk eeneenvoudige zaak. Voor deze configuratie gebruikt u de volgende opdrachten:

Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# int s0Router(config-if)# encapsulation pppRouter(config-if)# ^ZRouter#

PPP- inkapseling moet op beide met een seriële lijn verbonden interfaces geactiveerdzijn. Om de overige configuratieopties te bekijken geeft u de opdracht help .

10.3.5 PPP-authenticatie configureren

Hebt u de seriële interface geconfigureerd om PPP- inkapseling te ondersteunen, danconfigureert u de authenticatie om PPP tussen routers te kunnen gebruiken. Typ eerstde hostnaam en daarna de gebruikersnaam en wachtwoord voor de remote router, derouter die met uw router verbonden is.

Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# hostname RouterARouterA(config)# username todd password cisco

Gebruikt u de opdracht hostname , vergeet dan niet dat de gebruikersnaamdezelfde is als de hostnaam van de remote router die met uw router gaat verbinden.De gebruikersnaam is hoofdlettergevoelig. Maar ook het wachtwoord op beiderouters met gelijk zijn. Dit is een wachtwoord in gewone tekst (plain text password),dat getoond wordt als u de opdracht show run geeft. Het wachtwoord kan wordenversleuteld met de opdracht service password-encryption . U moet eengebruikersnaam en wachtwoord hebben ingevoerd voordat u de verbinding gaatmaken. Uiteraard meten ook de remote routers met gebruikersnamen en


wachtwoorden geconfigureerd zijn. Na het instellen van de hostnaam, degebruikersnaam en het wachtwoord kiest u het inkapselingstype, bijvoorbeeld CHAPof PAP.

RouterA# config tVoer per regel de configuratieopdrachten in. Eindig met CNTL/Z.RouterA(config)# int s0RouterA(config-if)# ppp authentication chapRouterA(config-if)# ppp authentication papRouterA(config-if)# ^ZRouterA#

Zijn beide methoden geconfigureerd, zoals in het bovenstaande voorbeeld, danwordt altijd eerst de als eerste vermelde optie gebruikt wordt tijdens hetonderhandelen over de te gebruiken methode. Werkt de eerste methode niet, danwordt automatisch de tweede methode gebruikt.

10.3.6 PPP-inkapseling controleren

De PPP-inkapseling is klaar. U wilt controleren of alles naar behoren functioneert.Daartoe geeft u de opdracht show interface :

RouterA# show int s0Serial0 is up, line protocol is up Hardware is HD64570 Internet address is 172.16.20.1/24 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255 Encapsulation PP P, loopback not set, keepalive set (10 sec) LCP Open Listen: IPXCP Open: IPCP, CDPCP, ATCP Last input 00:00:05, output 00:00:05, output hang never Last clearing of “show interface” counters never Input queue: 0/75/0 (size/max/drops); Total output drops: 0 Queueing strategy: weighted fair Output queue: 0/1000/64/0 (size/max total<tip>hreshold/drops) Conversations 0/2/256 (active/max active/max total) Reserved Conversations 0/0 (allocated/max allocated) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 670 packets input, 31845 bytes, 0 no buffer Received 596 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 707 packets output, 31553 bytes, 0 underruns


0 output errors, 0 collisions, 18 interface resets 0 output buffer failures, 0 output buffers swapped out21 carrier transitions DCD=up DSR=up DTR=up RTS=up CTS=upRouterA#

Merk op dat de zesde regel de inkapseling als PPP aanmerkt en dat de zevenderegel vertelt dat LCP open is. Onthoud dat de taak van LCP het opbouwen enbeheren van verbindingen is. De negende regel laat zien dat IPCP, CDPCP en ATCPopen zijn. Dit geeft IP-, CDP-, en AppleTalk-ondersteuning voor NCP. De achtste regelmeldt dat er gewacht wordt op IPXCP.

U kunt de configuratie voor PPP-authenticatie controleren met de opdracht debug pppauthentication.

10.4 Frame RelayDe WAN- inkapselingsmethode die bekend staat als Frame Relay, is momenteel ergpopulair. Frame Relay draait op de lagen Physical en Data Link van het OSI-referentiemodel. Oorspronkelijk was het ontworpen om alleen gebruikt te wordenmet ISDN-interfaces. Maar het wordt nu gebruikt met verscheidenenetwerkinterfaces.

Cisco Frame Relay ondersteunt de volgende protocollen:

• IP

• DECnet

• AppleTalk

• Xerox Network Service (XNS)

• Novell IPX

• Connectionless Network Service (CLNS)

• International Organization for Standards (ISO)

• Banyan Vines

• Transparent bridging

Frame Relay verzorgt een communicatie interface tussen DTE- (Data TerminalEquipment) en DCE- (Data Circuit-Terminating Equipment, zoals een pakket-switch)apparaten. Voorbeelden van DTE-apparaten zijn terminals, pc’s, routers en bridges.


Het zijn eindknooppunt- en internetwerkapparaten die het eigendom van de klant(uw eigendom) zijn. DCE bestaat uit proprietary (producentspecifieke)internetwerkapparaten.

Frame Relay wordt door velen beschouwd als efficiënter en sneller is dan X.25.Dit komt doordat ervan wordt uitgegaan dat foutcontrole de taak is van protocollenop de hogere lagen van toepassingsdiensten (application services).

Frame Relay levert verbindinggeoriënteerde communicatie in de laag Data (viavirtuele circuits, zoals ook X.25 dit doet). Deze virtuele circuits zijn logischeverbindingen tussen twee DTE’s over een pakketgeswitcht netwerk. De circuitsworden geïdentificeerd door een DLCI, oftewel Data Link Connection Identifier.(LCI’s komen later aan de orde). Frame Relay gebruikt PVC’s (Permanent VirtualCircuits) en SVC’s (Switched Virtual Circuits). X.25 doet dit ook, maar de meesteFrame Relay-netwerken gebruiken alleen PVC’s. Het virtuele circuit legt het volledigepad naar het bestemmingsnetwerk voordat het eerste frame verstuurd wordt.

10.4.1 Frame Relay-terminologie

Om de terminologie van Frame Relay-netwerken te begrijpen moet u weten hoe dezetechnologie werkt. In figuur 10.4 zie u de termen om diverse onderdelen van eenFrame Relay-netwerk te beschrijven.

Figuur 10.4 Frame Relay-technologie en termen

CSU/DSU CSU/DSUDemarc Demarc

Hub ofswitch

Hub ofswitch

RouterDLCI 16

RouterDLCI 17

CO

Gebruiker Server

In werkelijkheid legt het frame deze weg af.

Gebruikers zien alleen dit.

PVCRouters zien dit

Het basisprincipe van Frame Relay-netwerken is gebruikers de mogelijkheid tegeven om te communiceren tussen twee DTE-apparaten met DCE-apparaten. Het isvoor de gebruiker niet interessant of er een verbinding is met een lokale server of meteen server die op afstand staat en verbonden is via een Frame-Relay-netwerk. De kansis groot dat deze verbinding langzamer is dan een 10Mbps Ethernet LAN, maar het


fysieke verschil moet voor de gebruiker geen consequenties hebben (in vaktermen:moet transparant zijn).

Figuur 10.4 illustreert wat er nodig is om twee DTE-apparaten te latencommuniceren. Dit proces verloopt als volgt:

1. Het netwerkapparaat van de gebruiker verstuurt een frame naar een lokaalnetwerk. Het hardware-adres van de router (de default gateway) staat in deheader van het frame.

2. De router ontvangt het frame, pakt het pakket uit en gooit het frame weg.Hierna kijkt de router naar het IP-adres van de bestemming en zoekt in deroutetabel of het adres bekend is. Is dit het geval dan wordt vastgesteld welkpad gekozen moet worden om de bestemming te bereiken.

3. De router stuurt de gegevens naar de interface die het remote netwerk kanvinden (als het netwerk niet in de routetabel staat, wordt het pakketweggegooid). Omdat het een seriële interface met Frame Relay-inkapseling is,zet de router het pakket in een Frame Relay-frame op het netwerk. Er wordteen van de seriële interface afgeleid DLCI-waarde aan het frame toegevoegd.DLCI’s maken het virtuele circuit (PVC of SVC) bekend aan de routers en deswitches van providers in het Frame Relay-netwerk.

4. De CSU/DSU ontvangt het digitale signaal en decodeert dit naar een digitalesignaal dat de PSE-switch begrijpt. De PSE ontvangt dit digitale signaal en haaltde nullen en enen van de lijn.

5. De CSU/DSU is verbonden aan een demarc die door de serviceprovidergeïnstalleerd is. De locatie hiervan is de eerste verantwoordelijkheid van deprovider. De demarc is meestal een RJ-45-aansluitpunt, dat dichtbij de routeren de CDU/CSU geïnstalleerd is.

6. De demarc bestaat meestal uit aderparen (twisted pair cable) die met de lokalelus verbonden zijn. De lokale lus loopt meestal naar de dichtstbijzijnde CO(central office, ook wel POP genoemd (point of presence). De lokale lus kanverschillende fysieke media accepteren, maar aderparen of glasfiber komt hetmeeste voor.

7. De CO ontvangt het frame en transporteert door de Frame Relay-‘wolk’ naarde bestemming. Deze wolk kan bestaan uit honderden schakelstations. Hetzoekt het IP-adres van de bestemming en het DLCI-waarde. Het vindt meestalhet DLCI-waarde van de remote router door in een mapping (vertaaltabel) vanIP naar DLCI te zoeken. Frame Relay-mappings worden meestal statisch (dsu:met de hand) door de provider ingevoerd, maar ze kunnen ook dynamischworden gemaakt door het protocol IARP (Inverse ARP). Onthoud: er wordenpas gegevens verzonden worden als het hele virtuele circuit in orde is, vanbegin tot einde.


8. Wanneer het frame het dichtst ligt bij het bestemmingsadres gelegen switch-office bereikt heeft, wordt het door de lokale lus gestuurd. Het frame wordtontvangen op de demarc en naar de CSU/DSU doorgestuurd. De router pakthet pakket of de datagram uit en stopt dit in een nieuw LAN-frame omafgeleverd te worden bij de host. Het hardware-adres van de uiteindelijkebestemming staat in de header LAN-frame. Dit adres wordt gevonden in deARP-cache van de router (en als het daar niet staat, vindt er een ARP-broadcastplaats).

De gebruiker en de server hoeven hier niets van te weten Alles gebeurt onderweg,terwijl het frame zich een weg baant door het Frame Relay-netwerk.

10.4.2 Frame Relay-inkapseling

Als u Frame Relay op Cisco-routers configureert, moet u het op seriële interfaces alseen inkapseling (encapsulation) aanmerken. Er zijn twee soorten inkapseling: Cisco enIETF (Internet Engineering Task Force). De volgende uitvoer van een router laat detwee encapsulationmethoden voor Frame Relay op een Cisco-router zien:

RouterA(config)# int s0RouterA(config-if)# encapsulation frame-relay ? ietf Use RFC1490 encapsulation <cr>

De standaardinkapseling is Cisco. Om hiervan af te wijken moet u met de handIETF opgeven. Cisco is standaard het type dat wordt gebruikt wanneer twee Cisco-apparaten met elkaar verbonden worden. IETF is de beste optie als u een Cisco-apparaat met een niet-Cisco-apparaat met Frame Relay wilt verbinden. Vraag voordatu een inkapselingtype kiest, bij uw ISP na welk type gebruikt wordt. (Weet men hetniet, kies dan een andere ISP!)

10.4.3 Data Link Connection Identifiers (DLCI’s)

PVC’s (Frame Relay virtual circuits) worden geïdentificeerd door DLCI’s. Een FrameRelay-serviceprovider, zoals een telefoonmaatschappij, wijst DLCI-waarden toe, diedoor Frame Relay gebruikt worden om verschillende virtuele circuits uit elkaar tehouden. op Op een Frame Relay-interface kan er sprake zijn van veel virtuele circuits;daarom worden er veel DLCI’s gebruikt.

IP-apparaten aan weerseinde van het virtuele circuit kunnen communiceren als debijbehorende IP-adressen ook een mapping hebben op (toegewezen zijn aan) deDLCI’s. De mapping kan werken als een multipoint-apparaat. Die kan dan op hetFrame Relay-netwerk het juiste virtuele circuit voor elk pakket vinden dat over een


enkele fysieke interface wordt gestuurd. De mappings kunnen dynamisch tot standkomen door IARP of statisch, dus met de hand, zijn ingevoerd, met de opdracht map.

Frame Relay gebruikt DLCI’s zoals X.25 de X.121-adressen gebruikt. En elkeDLCI-waarde kan overal op het Frame Relay-netwerk een algemene of een lokalebetekenis krijgen.

Soms wijst een provider aan een site (een lokatie) een DLCI toe die geadverteerdwordt naar alle remote lokaties met dezelfde PVC. Van zo’n PVC wordt gezegd datdeze een algemene betekenis heeft.

Een hoofdkantoor heeft bijvoorbeeld een DLCI met de waarde 20. Alle overigelocaties weten dat DLCI 20 het hoofdkantoor is en gebruiken deze PVC om met hethoofdkantoor te communiceren. Maar het is gebruikelijk om elke DLCI een lokalebetekenis te geven. Wat houdt dit nu in? Het betekent dat DLCI-waarden niet uniekhoeven te zijn. Twee DLCI-waarden kunnen hetzelfde zijn aan ieder eind van deverbinding omdat Frame Relay op elke interface van de switch een lokale DLCI-waarde aan een virtueel circuit toewijst. Het komt er dus op neer, dat een DLCI alleenlokaal belangrijk is voor een fysieke seriële interface. Elk ander kantoor kan zijn eigenDLCI-waarde hebben en toch met het hoofdkantoor communiceren, ook al wordeneigen DLCI-waarden gebruikt.

DLCI-waarden die gebruikt worden om een PVC te identificeren, wordendoorgaans toegekend door de provider en beginnen bij 16. Onderstaand ziet u eenvoorbeeld van de manier waarop een DLCI-waarde aan een interface wordtgekoppeld:

RouterA(config-if)# frame-relay interface-dlci ? <16-1007> Define a DLCI as part of the current subinterfaceRouterA(config-if)# frame-relay interface-dlci 16

10.4.4 Local Management Interface (LMI)

Local Management Interface (LMI) is in 1990 door Cisco Systems, StrataCom,Northern Telecom en Digital Equipment Corporation ontwikkeld. Het werd bekendals Gang-of-Four-LMI (de LMI van de bende van vier) maar wordt ook aangeduid alsCisco-LMI. Deze ‘bende’ nam het eenvoudige Frame Relay-protocol van de CCITT enbreidde de eigenschappen van dit protocol zo uit dat internetwerkapparatengemakkelijker konden communiceren met een Frame Relay-netwerk.

LMI is een signaalstandaard tussen een CPE-apparaat (een router) en een frameswitch. De LMI is verantwoordelijk voor het beheren en het onderhouden van destatus tussen twee apparaten. LMI-berichten geven informatie over het volgende:

KeepalivesControleert of gegevens verstuurd worden.

MulticastingLokale DLCI PVC.


Multicast-adresseringZorgt voor global significance (betekenis over het hele netwerk).

Status van virtuele circuitsDLCI-status.

Vanaf IOS-versie 11.2 is het LMI-type ‘auto-sense’. Dit stelt de interface in staat tebepalen of het LMI-type door de switch wordt ondersteund.

U moet de Frame Relay-provider vragen welk type u moet gebruiken als u geengebruik gaat maken van de automatisch detectie. Het standaardtype is Cisco, maarmisschien moet u op ANSI of Q.933A overstappen. De drie verschillende LMI-typenworden hieronder beschreven.

RouterA(config-if)# frame-relay lmi-type ? cisco ansi q933a

Zoals u in de uitvoer ziet, worden drie algemene formaten voor LMI-signaleringondersteund:

CiscoLMI zoals gedefinieerd door de Gang of Four (standaard).

ANSIAnnex D zoals gedefinieerd door ANSI-standaard T1.617

ITU-T (q933a)Annex A zoals gedefinieerd door Q.933

Routers ontvangen LMI-informatie op een interface met frameinkapseling (frame-encapsulation). De routers veranderen de status van het virtuele circuit in een van devolgende stadia:

Actief (Active state)Alles is actief en routers kunnen gegevens uitwisselen.

Inactief (Inactive state)De interface van de router is actief en werkt met een verbinding naar de switch-lokatie, maar de remote router werkt niet.


Gewist (Deleted state)Dit betekent dat op de interface geen LMI-informatie van de switch ontvangen is.Dit kan het gevolg zijn van een mapping-probleem of te wijten zijn aan eenlijnstoring.

10.4.5 Subinterfaces

Het is mogelijk om meer virtuele circuits op een enkele seriële interface te hebben entoch elk circuit als een afzonderlijke interface te beschouwen. Dit wordensubinterfaces genoemd. De subinterfaces kunt u zien als een door IOS-softwaregedefinieerde hardware-interface. Een groot voordeel in het gebruik van subinterfacesis de mogelijkheid om verschillende kenmerken van netwerklagen toe te kennen aanelke subinterface en elk virtueel circuit. Bijvoorbeeld IP-routing op het ene virtueelcircuit en IPX op een ander.

Partial mesh-netwerken

U kunt subinterfaces gebruiken om Frame Relay-netwerken met partial mesh(gedeeltelijke maastopologie) te ontlasten en horizontale protocollen te splitsen.Neem als voorbeeld een IP-protocol op een LAN-netwerk. Als op hetzelfde netwerkrouter A kan communiceren met router B en router B met router C, dan is het logischte veronderstellen dat router A kan communiceren met router C. Dit is waar als hetgaat om een LAN maar het gaat niet op voor een Frame Relay-netwerk, tenzij routerA een PVC heeft naar router C.

Figuur 10.5 toont netwerk 1 dat geconfigureerd is met vijf locaties. Om dit te latenwerken moet u een maasvorming netwerk maken zoals netwerk 2. Maar bedenk weldat netwerk 2 een dure oplossing is. Subinterfaces configureren zoals bij netwerk 3 isvanuit kostenoogpunt wél erantwoord.

In netwerk 3 zijn de subinterfaces zo geconfigureerd dat het Frame Relay-netwerkonderverdeeld is in kleinere subnetwerken met elk een eigen netwerknummer. Delocaties A, B en C zijn verbonden in een volledig maasvormig netwerk, terwijl locatiesC en D en de locaties D en E middels point-to-point verbonden zijn. De locaties C enD zijn verbonden met twee subinterfaces en sturen pakketten door.

Subinterfaces lossen het probleem op met routeprotocollen die ‘split horizon’gebruiken. Misschien herinnert u zich nog dat protocollen met split horizon geenroutes adverteren vanaf de interface waarop zij de route-update hebben ontvangen.Dit kan een probleem veroorzaken op een maasvormig Frame Relay-netwerk. Maarvergeet niet dat routeprotocollen die de update ontvangen op de ene subinterfacediezelfde route-update via een andere subinterface weer kunnen versturen.


Figuur 10.5 Voorbeelden van netwerken met een gedeeltelijke maastopologie (partial mesh)

Gedeeltelijk maasnetwerk; volledige connectiviteit

met sub-interface

Gedeeltelijk maasnetwerk; volledige connectiviteit

met sub-interface

Volledig maasnetwerk

Subinterfaces maken

U kunt subinterfaces definiëren met de opdracht int s0.subinterface getal .Stel eerst de inkapseling vast op de seriële interface om daarna de subinterfaces tedefiniëren:

RouterA(config)# int s0RouterA(config)# encapsulation frame-relayRouterA(config)# int s0.? <0-4294967295> Serial interface numberRouterA(config)# int s0.16 ? multipoint Treat as a multipoint link point-to-point Treat as a point-to-point link

U kunt op een gekozen interface een vrijwel onbeperkt aantal subinterfacesdefiniëren (houd wel rekening met het geheugen in de router). In bovenstaandvoorbeeld hebt u ervoor gekozen subinterface 16 te gebruiken; de DLCI-waarde


correspondeert immers met die interface. Maar u kunt elk getal tussen 0 en4.292.967.295 kiezen.

Er bestaan twee subinterfaces-typen:

Point-to-pointDit wordt gebruikt wanneer in een virtueel circuit een router met een andereverbonden is. Elke point-to-point subinterface vereist een eigen subnet.

MultipointDit wordt gebruikt wanneer de router het middelpunt is van een stervormig stelselvan virtuele circuits. De subinterface gebruikt één subnet voor alle seriëleinterfaces van de router die verbonden zijn met de frame-switch.

Hieronder is bij wijze van voorbeeld de situatie geschetst van een productieroutermet meer subinterfaces. Let op het getal van de subinterface: dit is hetzelfde als hetDLCI-getal. Niet per se nodig, maar het vereenvoudigt het beheren van de interfaces.Merk ook op dat er geen LMI-type gedefinieerd is. Dit betekent dat een standaard-Cisco in het spel is of autodetect wordt gebruikt bij Cisco IOS versie 11.2 of recenter.

Elke interface is gedefinieerd als een afzonderlijke subnet, afzonderlijk IPX-netwerk en afzonderlijk AppleTalk-kabelbereik (AppleTalk maakt geen onderdeel uitvan het examen):

interface Serial0 no ip address no ip directed-broadcast encapsulation frame-relay!interface Serial0.102 point-to-point ip address 10.1.12.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 12-12 12.65 appletalk zone wan2 appletalk protocol eigrp no appletalk protocol rtmp ipx network 12 frame-relay interface-dlci 102!interface Serial0.103 point-to-point ip address 10.1.13.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 13-13 13.174 appletalk zone wan3 appletalk protocol eigrp no appletalk protocol rtmp ipx network 13 frame-relay interface-dlci 103


!interface Serial0.104 point-to-point ip address 10.1.14.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 14-14 14.131 appletalk zone wan4 appletalk protocol eigrp no appletalk protocol rtmp ipx network 14 frame-relay interface-dlci 104!interface Serial0.105 point-to-point ip address 10.1.15.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 15-15 15.184 appletalk zone wan5 appletalk protocol eigrp no appletalk protocol rtmp ipx network 15 frame-relay interface-dlci 105!interface Serial0.106 point-to-point ip address 10.1.16.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 16-16 16.28 appletalk zone wan6 appletalk protocol eigrp no appletalk protocol rtmp ipx network 16 frame-relay interface-dlci 106!interface Serial0.107 point-to-point ip address 10.1.17.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 17-17 17.223 appletalk zone wan7 appletalk protocol eigrp no appletalk protocol rtmp ipx network 17 frame-relay interface-dlci 107!interface Serial0.108 point-to-point ip address 10.1.18.1 255.255.255.0 no ip directed-broadcast appletalk cable-range 18-18 18.43 appletalk zone wan8 appletalk protocol eigrp


no appletalk protocol rtmp ipx network 18 frame-relay interface-dlci 108

10.4.6 Mapping Frame Relay

Wilt u dat de IP-apparaten aan de uiteinden van de virtuele circuits met elkaarcommuniceren, zorg er dan voor dat de adressen een mapping hebben naar(toegewezen zijn aan) de DLCI’s. Dit kan op twee manieren gebeuren:

• Met behulp van de Frame Relay-opdracht map .

• Met behulp van de functie inverse-arp .

Een voorbeeld van de opdracht map:

RouterA(config)# int s0RouterA(config-if)# encap frameRouterA(config-if)# int s0.16 point-to-pointRouterA(config-subif)# no inverse-arpRouterA(config-subif)# ip address 172.16.30.1 255.255.255.0RouterA(config-subif)# frame-relay map ip 172.16.30.17 16 ietfbroadcastRouterA(config-subif)# frame-relay map ip 172.16.30.18 17broadcastRouterA(config-subif)# frame-relay map ip 172.16.30.19 18

Eerst kiest u de geconfigureerde interface serial 0 om het inkapseltype Cisco(standaard) te gebruiken. Daarna maakt u de subinterface. Vervolgens wordt deopdracht inverse arp uitgeschakeld en er wordt een mapping gemaakt van de drievirtuele circuits op de corresponderende DLCI-waarden.

Let op dat het inkapseltype (encapsulation type) van de eerste mapping veranderdis. De opdracht frame map is de enige manier om inkapseltypen van meer frames opeen subinterface te configureren.

Het trefwoord broadcast aan het einde van de opdracht map zorgt ervoor dat derouter alle broadcasts doorstuurt naar dit speciale virtuele circuit. Onthoud dat FrameRelay een NBMA-inkapselmethode is (NonBroadcast MultiAccess), dat geenrouteprotocollen broadcast. Gebruik de opdracht map met als trefwoord broadcastof de opdracht neighbor in het routeringsproces.

U hoeft niet voor elk virtueel circuit de opdracht map te geven: kunt u ook defunctie inverse-arp uitvoeren. Deze functie zorgt voor het dynamisch toewijzenvan het IP-adres aan de DLCI-waarde. De configuratie ziet er dan als volgt uit:

RouterA(config)# int s0.16 point-to-pointRouterA(config-subif)# encap frame-relay ietfRouterA(config-subif)# ip address 172.16.30.1 255.255.255.0


Deze configuratie is een stuk eenvoudiger, maar niet zo stabiel als de opdrachtmap.Waarom? Als de functie inverse-arp gebruikt wordt, vinden vaker foutenplaats. Virtuele circuits zijn verraderlijk en kunnen dynamisch gemapt zijn op(toegewezen zijn aan) onbekende apparaten.

10.4.7 Frame Relay-filebeheersing

In deze subparagraaf bekijkt u hoe de Frame Relay-switch met opstoppingsproblemen(congestion) omgaat.

DE (Discard Eligibility)Als een Frame Relay-router een opstopping in een Frame Relay-netwerk ontdekt,zet deze de DE-bit in de header van het Frame Relay-pakket. In het geval van eenopstopping zal de Frame Relay-switch eerst de met een geactiveerde DE-bitpakketten afdanken. Als u de bandbreedte met een CIR gelijk aan nul hebtgeconfigureerd, staat DE altijd aan.

FECN (Forward-Explicit Congestion Notification)Als het Frame Relay-netwerk opstopping ontdekt in de wolk (cloud), zal de switchin een Frame Relay-pakketheader de FECN-bit op 1 zetten. Dit is een teken voorde bestemmings-DCE, dat er op het zojuist afgelegde pad een opstopping is.

BECN (Backward-Explicit Congestion Notification)Als de switch een opstopping in een Frame Relay-netwerk ontdekt, zet deze deBECN-bit en stuurt die informatie naar de bronrouter met het verzoek pakkettenminder snel te versturen.

10.4.8 Committed Information Rate (CIR)

Frame Relay levert een pakketgeschakeld netwerk dat gelijktijdig door veelverschillende klanten gebruikt kan worden. Dit is een goede gedachte, omdat het dekosten over veel klanten uitsmeert. Maar Frame Relay is gebaseerd op de aanname datklanten niet op precies hetzelfde moment gegevens versturen. Frame Relay werkt hetbeste met onregelmatig verkeer.

In het begin van dit hoofdstuk is de vergelijking getrokken metgroepsgespreklijnen. Kent u die nog? Misschien de ouderen onder u. In vroeger tijdenwerd, met name in Amerika, een telefoonlijn door een heel huizenblok gedeeld. Hethele blok deelde ook hetzelfde telefoonnummer. Wilde je in die dagen veel bellen, danmoest je een eigen lijn aanschaffen. Frame Relay werkt ongeveer op dezelfde manier,al kunnen apparaten op hetzelfde moment gegevens verzenden (in tegenstelling tottelefoongesprekken die niet door elkaar heen kunnen lopen). Hebt u echter behoefteaan een constante stroom van gegevens, dan is Frame Relay niets voor u. Schaf danliever een point-to-point T-1-verbinding aan.


Frame Relay reserveert per gebruiker een bepaalde bandbreedte, die de gebruikerop elk moment gewenst kan benutten. Frame Relay-providers kunnen ervoor zorgendat klanten een lagere hoeveelheid bandbreedte kopen dan ze werkelijk nodig zullenhebben. Dit wordt de Committed Information Rate (CIR) genoemd. Een klant kooptbijvoorbeeld een bandbreedte van 256 K, maar het is mogelijk om deze op te blazennaar snelheden van een T-1. In een Frame Relay-netwerk zorgt de CIR ervoor er voordat zolang de hoeveelheid door een apparaat aangeboden gegevens lager is dan ofgelijk is aan de CIR, het netwerk de gegevens van de PVC blijft versturen. Is dehoeveelheid groter dan de CIR, dan is er geen garantie dat de gegevens debestemming zullen bereiken.

De CIR is de afgesproken ‘rate’ (hoeveelheid per tijdeenheid, in bits per seconde),waarmee de Frame Relay-switch gegevens doorstuurt.

Soms is het mogelijk een Bc (Committed Burst) te kopen. Een Bc stelt klanten instaat hun CIR gedurende een bepaalde tijd te verhogen. In dit geval is de DE-bit altijdgezet (1).

Kies een CIR op basis van een realistische, toekomstvaste rate. Enkele FrameRelay-providers staan toe dat u een CIR gelijk aan nul aanschaft. U kunt een nul-CIRgebruiken om geld te besparen, maar dan moet het opnieuw zenden van pakkettenacceptabel zijn. Bedenk dat in een dergelijke situatie de DE altijd in elk frame gezet is(1).

10.4.9 Frame Relay beheren

Er bestaan verschillende manieren om na het instellen van de Frame Relay-inkapseling(encapsulation) de status van de interfaces en PVC’s te controleren:

RouterA> sho frame ? ip show frame relay IP statistics lmi show frame relay lmi statistics map Frame-Relay map table pvc show frame relay pvc statistics route show frame relay route traffic Frame-Relay protocol statistics

Show Frame Relay lmi

De opdracht show frame relay lmi geeft u de LMI-statistieken die uitgewisseldwerden tussen de lokale router en de Frame Relay-switch.


Router# sh frame lmi

LMI Statistics for interface Serial0 (Frame Relay DTE) LMITYPE = CISCO Invalid Unnumbered info 0 Invalid Prot Disc 0 Invalid dummy Call Ref 0 Invalid Msg Type 0 Invalid Status Message 0 Invalid Lock Shift 0 Invalid Information ID 0 Invalid Report IE Len 0 Invalid Report Request 0 Invalid Keep IE Len 0 Num Status Enq. Sent 0 Num Status msgs Rcvd 0 Num Update Status Rcvd 0 Num Status Timeouts 0Router#

De router-output van de opdracht show frame relay lmi toont zowel de LMI-fouten als het LMI-type.

Show Frame Relay pvc

De opdracht show frame pvc geeft een overzicht van alle geconfigureerde PVC’s enDLCI-waarden. Het toont de status van elke PVC-verbinding en laat deverkeerstatistieken zien. Ook worden het aantal op ontvangen de router BECN- enFECN-pakketten gepresenteerd.

RouterA# sho frame pvc

PVC Statistics for interface Serial0 (Frame Relay DTE)

DLCI = 16,DLCI USAGE = LOCAL,PVC STATUS =ACTIVE,INTERFACE =Serial0.1 input pkts 50977876 output pkts 41822892 in bytes 3137403144 out bytes 3408047602 dropped pkts 5 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 9393 out DE pkts 0 pvc create time 7w3d, last time pvc status changed 7w3d

DLCI = 18,DLCI USAGE =LOCAL,PVC STATUS =ACTIVE,INTERFACE =Serial0.3 input pkts 30572401 output pkts 31139837 in bytes 1797291100 out bytes 3227181474 dropped pkts 5 in FECN pkts 0 in BECN pkts 0 out FECN pkts 0 out BECN pkts 0 in DE pkts 28 out DE pkts 0 pvc create time 7w3d, last time pvc status changed 7w3d


Om alleen de gegevens van PVC 16 te zien, geeft u de opdracht show framerelay pvc 16 .

Show Interface

Om het LMI-verkeer te controleren geeft u de opdracht show interface. Dezeopdracht toont de wijze van inkapselen maar ook de informatie over laag-2 en laag-3.Het in de opdracht vet weergegeven gedeelte met betrekking tot LMI DLCI dient omhet gebruikte LMI-type te definiëren. 1023 is het standaard LMI-type Cisco. Als dewaarde van LMI DLCI 0 is, wordt het type ANSI LMI gebruikt. Als u een waardekrijgt die niet tussen 0 en 1023 ligt, neem dan contact op met uw provider, want indit geval hebben zij een probleem.

RouterA# sho int s0Serial0 is up, line protocol is up Hardware is HD64570 MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 2/255 Encapsulation FRAME-RELAY, loopback not set, keepalive set

(10 sec) LMI enq sent 451751,LMI stat recvd 451750,LMI upd recvd 164,DTE LMI up LMI enq recvd 0, LMI stat sent 0, LMI upd sent 0 LMI DLCI 1023 LMI type is CISCO frame relay DTE Broadcast queue 0/64, broadcasts sent/dropped 0/0, interface broadcasts 839294

De opdracht show interface toont de lijn, het protocol, de DLCI en de LMI-informatie.

Show Frame Map

De opdracht show frame map toont de mappings van de Network laag naar DLCI.

RouterB# show frame map Serial0 (up): ipx 20.0007.7842.3575 dlci 16(0x10,0x400), dynamic, broadcast,, status defined, active Serial0 (up): ip 172.16.20.1 dlci 16(0x10,0x400), dynamic, broadcast,, status defined, active Serial1 (up): ipx 40.0007.7842.153a dlci 17(0x11,0x410), dynamic, broadcast,, status defined, active Serial1 (up): ip 172.16.40.2 dlci 17(0x11,0x410), dynamic, broadcast,, status defined, active


Merk op dat de seriële interface twee mappings heeft, een voor IP en een voorIPX. Merk tevens op dat de adressen van de laag Network vertaald worden metbehulp van het dynamische protocol Inverse ARP (IARP). Als een beheerder demapping van de adressen zou hebben verzorgd, had de uitvoer ‘static’ gemeld.

Achter de DLCI-waarde ziet u een paar getallen tussen haakjes. Het eerstegetallenpaar is 0x10. Dit is het hexadecimale equivalent van de DLCI-waarde 16 diewordt gebruikt op serial 0. Het getallenpaar 0x11 is het hexadecimale equivalent vande DLCI-waarde 17, gebruikt op serial 1. De twee volgende getallenparen, 0x400 en0x410, zijn de in het Frame Relay-frame geconfigureerde DLCI-waarden. Het verschilwordt veroorzaakt door de plaats van de bits in het frame.

Om de dynamische mappings te wissen gebruikt u de opdracht clear frame-relay -inarp .

Debug Frame lmi

De opdracht debug frame lmi toont standaard de uitvoer op de router-console. Deinformatie die deze opdracht levert,stelt u in staat de Frame Relay-verbinding tecontroleren. Met deze informatie kunt u fouten opsporen en bepalen of de router enswitch de juiste LMI-informatie uitwisselen.

Router# debug frame-relay lmiSerial3/1(in): Status, myseq 214RT IE 1, length 1, type 0KA IE 3, length 2, yourseq 214, myseq 214PVC IE 0x7 , length 0x6 , dlci 130, status 0x2 , bw 0Serial3/1(out): StEnq, myseq 215, yourseen 214, DTE updatagramstart = 0x1959DF4, datagramsize = 13FR encap = 0xFCF1030900 75 01 01 01 03 02 D7 D6

Serial3/1(in): Status, myseq 215RT IE 1, length 1, type 1KA IE 3, length 2, yourseq 215, myseq 215Serial3/1(out): StEnq, myseq 216, yourseen 215, DTE updatagramstart = 0x1959DF4, datagramsize = 13FR encap = 0xFCF1030900 75 01 01 01 03 02 D8 D7


10.5 Integrated Services Digital Network (ISDN)Integrated Services Digital Network (ISDN) is een digitale service die ontworpen isvoor bestaande telefoonnetwerken. ISDN ondersteunt zowel spraak alsgegevensoverdracht – ideaal voor mensen die willen telewerken. Maar ISDN-toepassingen hebben bandbreedte nodig. Typische ISDN-toepassingen en-implementaties zijn hoge snelheid beeldtoepassingen (bijvoorbeeld Group IVfascimile), supersnelle bestandsoverdracht, videoconferenties en meerdere gelijktijdigeverbindingen van huis naar kantoor, bedoeld voor telewerkers.

ISDN is een door telefoonmaatschappijen aangeboden verzamelingcommunicatieprotocollen. Dankzij ISDN kan een aantal digitale services wordenaangeboden die gelijktijdig gegevens, tekst, spraak, muziek, afbeeldingen en videonaar eindgebruikers kunnen transporteren. ISDN is ontwikkeld voor gebruik met hetbestaande telefoonnet.

ISDN-standaards specificeren de hardware en bepalen hoe digitale end-to-end-verbin-dingen tot stand komen.

PPP wordt gebruikt in combinatie met ISDN. Het is een protocol voor inkapselingvan gegevens (data encapsulation), voor vaststelling van integriteit van deverbindingen en voor authenticatie.

De voordelen van ISDN zijn:

• Gelijktijdige overdracht van spraak,video en gegevens.

• Snellere opbouw van een verbinding dan bij gebruik van een analoog modem.

• Snellere gegevensoverdracht dan in geval van een modemverbinding.

• Constante connectiviteit over een ISDN-netwerk wordt gesimuleerd (spoofed)door de Cisco IOS-routers door het gebruik van DDR-routing.

• ISDN kan gebruikt worden als een backup-service voor een huurlijnverbindingtussen de centrale en de andere locaties.

• Inbouw van modems en bekabeling kunnen achterwege blijven door de integratievan digitale modemkaarten op een Cisco IOS Network Access Server (NAS).

10.5.1 ISDN-componenten

ISDN-componenten bevatten onder andere referentiepunten en functies. Figuur 10.6laat zien hoe verschillende soorten terminals en referentiepunten in een ISDN-netwerk kunnen worden toegepast


Figuur 10.6 ISDN-referentiepunten en -functies

R

S/T

U

S/T

U

U

TA NT1

NT1

ISDN switch-service

Router met ingebouwde NT1

ISDN-apparaat (TE1)

Niet-ISDNapparaat (TE2)

In Noord-Amerika gebruikt ISDN een tweedraadsverbinding naar een huis ofkantoor. Dit wordt het U-referentiepunt genoemd. NT1 is het apparaat dat u nodighebt om een vierdraadsverbinding om te kunnen zetten in de tweedraadsverbindingvoor ISDN-telefoons en TA’s (terminal adapters). De meeste routers die utegenwoordig te koop worden aangeboden, zijn uitgerust met een ingebouwde NT1(U)-interface.

Figuur 10.7 toont de verschillende referentiepunten en terminal-apparaten (TE’s)die in combinatie met Cisco ISDN BRI-interfaces gebruikt kunnen worden.

ISDN-terminals

Apparaten die zijn aangesloten op het ISDN-netwerk worden aangeduid met determen terminal equipment (TE) en network termination (NT). Er bestaan tweetypen:

TE1Terminal equipment type 1 duidt op terminals die ISDN-standaards begrijpen enzonder problemen op een ISDN-netwerk kunnen worden aangesloten.


TE2Terminal equipment type 2 duidt op terminals die ouder zijn dan de ISDN-standaard. Gebruik van TE2’s is alleen mogelijk als u een terminal adapter hebt omhet apparaat op een ISDN-netwerk aan te sluiten.

NT1Network termination 1 implementeert de ISDN-specificaties voor de laag Physical.Het verbindt de apparaten van de eindgebruiker met het ISDN-netwerk middelsconversie van een vierdraadsnetwerk naar een tweedraadsnetwerk.

NT2Network termination 2 is de (doorgaans) apparatuur van de provider, zoals enswitch of PBX. Ook NT2 is een impelmentatievorm op de lagen Data Link enPhysical. NT2 treft u zelden op de locatie van de klant aan.

TATerminal adapter converteert TE2 niet-ISDN-signalen naar door de ISDN-switchgebruikte signalen. Daarna moet een NT1-apparaat nog zorgen voor de conversienaar een tweedraads ISDN-netwerk.

S/T

S/T

R

S0

U

bri0

bri0

Native ISDN-interface—int bri0

Niet-native ISDN interface-seriele interface 0(EIA/TIA-232, V.35, X.21)

Service providernetwerk

TE1NT1

NT1NT1TE1

NT1TE2

Figuur 10.7 ISDN BRI-referentiepunten en aansluitapparatuur


ISDN-referentiepunten

Referentiepunten zijn een verzameling specificaties die bepalen hoe de diverseapparaten in een ISDN-netwerk worden verbonden. ISDN heeft vier referentiepuntendie logische interfaces definiëren:

R-referentiepuntDefinieert het referentiepunt tussen niet-ISDN-apparatuur (TE2) en een TA.

S-referentiepuntDefinieert het referentiepunt tussen de router van de klant en een NT2. Maaktverbindingen mogelijk tussen de apparaten van de klant.

T-referentiepuntDefinieert het referentiepunt tussen NT1- en NT2-apparaten. S- en T-referentie-punten zijn elektrisch gelijkwaardig en kunnen dezelfde functie vervullen. Daaromworden ze ook wel aangeduid als S/T-referentiepunt.

U-referentiepuntDefinieert het referentiepunt tussen NT1-apparaten en een ISDN-netwerk. HetU-referentiepunt verstaat ISDN-signalen en maakt gebruik van een tweedraadsverbinding. (Het U-referentiepunt alleen van belang in Noord-Amerika, waar deNT1-functie niet geleverd wordt door het netwerkbedrijf).

ISDN-protocollen

ISDN-protocollen worden gedefinieerd door het ITU. Er zijn verschillendeprotocolseries voor verschillende situaties:

• Protocollen die met een E beginnen houden zich bezig met het gebruik van ISDNin een bestaand telefoonnetwerk.

• Protocollen die met een I beginnen hebben betrekking op concepten,eigenschappen en services.

• Protocollen die met de letter Q beginnen, zeggen iets over switchen en signalen.Dit zijn de protocollen waarmee u een verbinding maakt met een ISDN-netwerken die u gebruikt bij het opsporen van problemen.

Soorten ISDN-switches

AT&T en Nortel leveren het overgrote deel van de momenteel in Noord-Amerikagebruikte ISDN-switches. De kolom Trefwoord van tabel 10.1 toont de term die u inde opdracht isdn switch-type gebruikt. Met die term configureert u de router


voor de switches waarmee deze gaat verbinden. Zorg ervoor dat u op de hoogte bentwelke switch de CO gebruikt.

Tabel 10.1 Soorten ISDN-switches

Soort switch Trefwoord

AT&T basic rate switch Basic-5ess

Nortel DMS-100 basic rate switch Basic-dms100

National ISDN-1 switch Basic-ni

AT&T 4ESS (alleen ISDN PRI) Primary-4ess

AT&T 5ESS (alleen ISDN PRI) Primary-5ess

Nortel DMS-100 (alleen ISDN PRI) Primary-dms100

10.5.2 Basic Rate Interface (BRI)

De service ISDN Basic Rate Interface (BRI, ook wel 2B+1D genoemd) biedt tweeB-kanalen en een D-kanaal. Het BRI B-kanaal heeft een snelheid van 64 Kbps entransporteert gegevens. De service van het BRI D-kanaal werkt met een snelheid van16 Kbps en transporteert geen gegevens maar beheerinformatie (control data) ensignaalinformatie. De totale bandbreedte voor ISDN-BRI is 144 Kbps(64+64+16=144).

Het signaalprotocol op het D-kanaal vindt plaats op de lagen Physical, Data Linken Network van het OSI-referentiemodel. Het D-kanaal vervoert signaalinformatieom verbindingen op te bouwen en te onderhouden. Dit kanaal kan ook gebruiktworden als beveiligingssysteem voor een gebouw of voor iets anders waarvoor weinigbandbreedte nodig is; er is slechts 16 Kbps nodig. D-kanalen zorgen voorbetrouwbare verbindingen en werken met LAPD op de laag Data Link.

U moet over SPID’s (Service Profile Identifiers) beschikken om ISDN-BRI tekunnen configureren. Voor elk B-kanaal is een SPID nodig. U zou de SPID’s kunnenzien als het telefoonnummer van het betreffende B-kanaal. Het ISDN-apparaat kentde SPID toe aan de ISDN-switch, die het apparaat vervolgens de mogelijkheid geeftgebruik te maken van BRI- en PRI-services op het netwerk. Zonder SPID staan demeeste ISDN-switches geen sessie op het netwerk toe. Om een BRI-sessie te latenplaatsvinden, moeten vier gebeurtenissen plaatsgrijpen:

1. Het D-kanaal tussen router en lokale ISDN-switch wordt actief.

2. De ISDN-switch gebruikt de SS7-signaaltechniek om een pad naar een remoteswitch tot stand te brengen.

3. De remote switch bouwt een D-kanaal-verbinding op met de remote router.

4. De B-kanalen worden end-to-end verbonden.


10.5.3 Primary Rate Interface (PRI)

In Noord-Amerika en Japan biedt de ISDN Primary Rate Interface (PRI, of 23B+D1)23 B-kanalen van 64 Kbps en één D-kanaal van 64 Kbps. De totale bitsnelheid is dusmaximaal 1.544 Mbps.

In Europa, Australië en andere delen van de wereld levert ISDN 30 B-kanalen van64 Kbps één D-kanaal van 64 Kbps. Een totale bitsnelheid van maximaal 2.048 Mbps.

10.5.4 ISDN met Cisco-routers

Met behulp van een Cisco-router toegang krijgen tot ISDN betekent dat u een routermet een ingebouwde NT1 (U-referentiepunt) of een ISDN-modem (TA)moetaanschaffen. Heeft uw router een BRI-interface, dan kunt u meteen aan de slag. Maaru kunt ook een van de seriële poorten op de router gebruiken als u geen TA te pakkenkrijgt. Een router met een BRI-interface noemt men een TE1 (Terminal Equipmenttype 1). Een router die een TA nodig heeft, noemt men een TE2 (Terminal Equipmenttype 2).

ISDN ondersteunt vrijwel elk netwerkprotocol in de hogere lagen (bijvoorbeeld IP,IPX en AppleTalk). U kunt kiezen uit PPP, HDLC of LAPD als inkapselprotocol(encapsulation protocol).

Bij het configureren van ISDN moet u het switch-type van uw serviceprovider kennen.Als u wilt weten welke switch uw provider ondersteunt, gebruikt u de opdracht isdnswitch-type ? vanuit de algemene configuratiemodus of de interface-confgiureatie-modus. Dit is nodig, want elke leverancier heeft een proprietary (producentspecifiek)protocol voor het versturen van signalen.

Voor elke ISDN BRI-interface moet u opgeven welke SPID’s de interface-opdrachtenisdn spid1 en isdn spid2 gebruiken. Deze worden geleverd door de ISDN-provider en identificeren u op de switch, ze fungeren als een soort telefoonnummer.Sommige providers gebruiken de SPID’s niet meer. Neem contact op met uw providerom dit na te vragen.

In de laatste fase van het configureren van de SPID stelt u het lokale inbelnummervoor die SPID in. Bij sommige switches moet dit nummer op de router wordeningesteld, anders kunnen beide B-kanalen niet gelijktijdig worden gebruikt.

Een voorbeeld ziet u hieronder:

RouterA# config tEnter configuration commands, one per line. End with CNTL/Z.RouterA(config)# isdn switch-type basic-ni


RouterA(config)# int bri0RouterA(config-if)# encap ppp (optional)RouterA(config-if)# isdn spid1 086506610100 8650661RouterA(config-if)# isdn spid2 086506620100 8650662

De opdracht isdn switch-type kan op twee manieren geconfigureerd worden: in dealgemene configuratiemodus of in de modus interfaceconfiguratie. Gebruikt u dealgemene configuratiemodus dan stelt u het switch-type in voor alle BRI-interfaces opde router. Hebt u slechts één interface, dan maakt het niet uit in welke modus u deopdracht isdn switch-type geeft.

10.6 Dial-on-Demand Routing (DDR)Met Dial-on-demand routing (DDR) kunt u twee of meer Cisco-routers toestaan naarbehoefte een ISDN-inbelverbinding tot stand te brengen. DDR wordt alleen gebruiktvoor netwerkverbindingen die periodiek nodig zijn voor gegevensoverdracht in lagevolumes en die gebruik maken van Public Switched Telephone Network (PSTN) ofISDN. DDR is ontworpen om de kosten van WANs te beperken als per minuut of perpakket betaald moest worden.

DDR werkt wanneer een pakket op een interface ontvangen is en voldoet aan eendoor de beheerder opgestelde de toegangslijst (access list). Deze toegangslijst bevat devoorwaarden voor interessant verkeer. De volgende stappen vormen eenvereenvoudigde beschrijving van de activiteiten die een DDR onderneemt als eeninteressant pakket op een routerinterface is ontvangen.

1. Route naar het bestemmingsnetwerk wordt bepaald.

2. Interessante pakketten zorgen voor een DDR-oproep.

3. Kiesinformatie wordt opgezocht.

4. Verkeer wordt doorgezonden.

5. Oproep wordt beëindigd als over de verbinding geen verkeer meer verstuurdwordt en de leegloopperiode (idle-timeout period) verstrijkt.

10.6.1 DDR configureren

Om DDR te configureren moet u drie handelingen verrichten:

1. Definieer statische routes die aangeven hoe het remote netwerk te bereiken isen welke interface gebruikt moet worden om er te komen.


2. Specificeer het verkeer dat interessant is voor de router.

3. Configureer de kiesinformatie die gebruikt gaat worden om de interface teverbinden met het remote netwerk.

10.6.2 Statische routes configureren

Om verkeer door te sturen over een ISDN-verbinding configureert u statische routesop iedere router. Natuurlijk kunt u ook dynamische routeprotocollen configurerenvoor ISDN, maar de verbinding zal dan nooit verbroken worden. De aanbevolenrouting-methode is het gebruik van statische routes. Bij het maken van routes zijntwee regels erg belangrijk:

• Alle aangesloten routers moeten statische routes hebben die alle routes van allebekende netwerken definiëren.

• Heeft het netwerk maar een verbinding naar de router, gebruik danstandaardrouting.

Een voorbeeld van statische routering met ISDN:

RouterA(config)# ip route 172.16.50.0 255.255.255.0 172.16.60.2RouterA(config)# ip route 172.16.60.2 255.255.255.255 bri0

In dit voorbeeld wordt de router vertelt hoe deze via netwerk 172.16.60.2 hetnetwerk 172.16.50.0 kan bereiken. De tweede regel vertelt de router hoe netwerk172.16.60.2 te bereiken is.

10.6.3 Interessant verkeer specificeren

Nadat u de routetabellen in elke router hebt ingesteld, moet u de router configurerenom te kunnen bepalen wat aanleiding is de ISDN-lijn te activeren. De beheerdergebruikt de algemene configuratieopdracht dialer-list en definieert hiermeeinteressante pakketten.

De opdracht om al het IP-verkeer te activeren ziet er als volgt uit:

804A(config)# dialer-list 1 protocol ip permit804A(config)# int bri0804A(config-if)# dialer-group 1

De opdracht dialer-group stelt de toegangslijst op de BRI-interface in. Ominteressant verkeer te definiëren gebruikt u de opdracht dialer-list . Dezeopdracht maakt gebruik van uitgebreide toegangslijsten (extended access lists) om


alleen het verkeer van bepaalde toepassingen als interessant aan te merken. Ditonderdeel komt verderop aan de orde.

10.6.4 Dialer-informatie configureren

Er zijn vijf configuratiestappen:

1. Kies de interface.

2. Stel het IP-adres in.

3. Configureer het inkapseltype (encapsulation type).

4. Koppel interessant verkeer aan de interface.

5. Configureer het nummer of de nummers waarmee moet worden ingebeld.

Een voorbeeld van de manier waarop u de vijf stappen configureert:

804A#config t804A(config)# int bri0804A(config-if)# ip address 172.16.60.1 255.255.255.0804A(config-if)# no shut804A(config-if)# encapsulation ppp804A(config-if)# dialer-group 1804A(config-if)# dialer-string 8350661

In plaats van de opdracht dialer-string gebruikt u de opdracht dialer-map, diebetrouwbaarder is.

804A(config-if)# dialer map ip 172.16.60.2 name 804B 8350661

De opdracht dialer map kan samen met de opdracht dialer-group en dedaaraan gekoppelde toegangslijsten gebruikt worden om de inbelverbinding tot standte brengen. De opdracht dialer map gebruikt het IP-adres van de volgende hop-router, de hostnaam van de remote router voor authenticatie en daarna het nummerom in te bellen.

De configuratie van een 804-router:

804B#sh runBuilding configuration...Current configuration:!version 12.0no service padservice timestamps debug uptimeservice timestamps log uptime


no service password-encryption!hostname 804B!ip subnet-zero!isdn switch-type basic-ni!interface Ethernet0 ip address 172.16.50.10 255.255.255.0 no ip directed-broadcast!interface BRI0 ip address 172.16.60.2 255.255.255.0 no ip directed-broadcast encapsulation ppp dialer idle-timeout 300 dialer string 8358661 dialer load-threshold 2 either dialer-group 1 isdn switch-type basic-ni isdn spid1 0835866201 8358662 isdn spid2 0835866401 8358664 hold-queue 75 in!ip classlessip route 172.16.30.0 255.255.255.0 172.16.60.1ip route 172.16.60.1 255.255.255.255 BRI0!dialer-list 1 protocol ip permit!

De BRI-interface gebruikt PPP-inkapseling (PPP-encapsulation) en heeft eentimeout-waarde van 300 seconden. De opdracht load-threshold zorgt ervoor datde BRI-interfaces onmiddellijk geactiveerd worden. Waar u scherp op moet letten, isde opdracht dialer-group 1 . Dit nummer moet overeenkomen met het nummer vande kieslijst (dialer list ). De opdracht hold-queue 75 in vertelt de router om 75pakketten in de wachtrij te zetten, wanneer het een interessant pakket ontvangt. Erwordt gewacht totdat de BRI actief is. Zijn er meer dan 75 pakketten voordat deverbinding tot stand is gebracht, dan worden deze pakketten geweigerd.

10.6.5 Niet-verplichte opdrachten

Er zijn twee andere opdrachten die u op uw BRI-interface zou moeten configureren:de opdracht dialer load-threshold en de opdracht dialer idle-timeout .


De opdracht dialer load-threshold vertelt de BRI-interface wanneer hettweede B-kanaal actief kan worden. De opties gaan van 1 tot 255, waarbij 255 verteltdat het tweede kanaal pas actief mag worden als het eerste kanaal voor 100 procentbelast wordt. De tweede optie voor deze opdracht is inbound, outbound, either (in,uit of allebei). Dit berekent de werkelijke belasting op de interface voor uitgaandverkeer, binnenkomend verkeer of beide. De standaardwaarde is uitgaand.

De opdracht dialer idle-timeout specificeert het aantal seconden voordat deinbelverbinding verbroken wordt, nadat het laatste interessante pakket isdoorgestuurd. De standaardwaarde is 120 seconden.

RouterA(config-if)# dialer load-threshold 125 eitherRouterA(config-if)# dialer idle-timeout 180

De opdracht dialer load-threshold 125 vertelt de BRI-interface wanneer hettweede B-kanaal actief kan worden als de belasting voor uitgaand of binnenkomendverkeer 50 procent is. De opdracht dialer idle-timeout 180 verandert destandaardtijd voor het verbreken van de verbinding van 120 naar 180 seconden.

10.6.6 DDR met toegangslijsten

U kunt toegangslijsten gebruiken om duidelijkheid maken wat interessant verkeer is enwat niet. In het vorige voorbeeld zag u hoe een kieslijst opgesteld werd, zodat IP-verkeer een lijn kon activeren. Dit is prima voor een testsituatie, maar het kan ook hetdoel van een DDR-lijn voorbij schieten. U kunt uitgebreide toegangslijsten (extendedaccess lists) te gebruiken beperkingen op te leggen, zodat bijvoorbeeld alleen e-mail ofTelnet worden doorgestuurd.

Een voorbeeld van het definiëren van een kieslijst die een toegangslijst gebruikt:

804A(config)# dialer-list 1 list 110804A(config)# access-list 110 permit tcp any any eq smtp804A(config)# access-list 110 permit tcp any any eq telnet804A(config)# int bri0804A(config-if)# dialer-group 1

In dit voorbeeld ziet u de opdracht dialer-list zie zo is geconfigureerd datdeze rekening houdt met een toegangslijst. In het voorbeeld is IP gebruikt, maar ditkan ook elk ander protocol zijn. Maak uw lijst en pas deze daarna met de opdrachtdialer-group toe op de BRI-interface.


10.6.7 De werking van ISDN controleren

De volgende opdrachten worden gebruikt voor de verificatie van DDR en ISDN:

ping en telnet Geschikte IP-tools voor elk netwerk. Maar de definitievan interessant verkeer moet bepalen dat Ping en Telnetals interessant verkeer moeten worden beschouwd:interessant genoeg om een verbinding tot stand tebrengen. Wanneer de verbinding eenmaal actief is, kuntu met uw remote router pingen of telnetten, ongeacht deinhoud met de lijst van interessant verkeer.

show dialer Geeft diagnostische informatie over inbelverbinding entoont:• het aantal keren dat verbinding is gelegd met de

‘dialer string’ (het te bellen telefoonnummer)• per B-kanaal de leeglooptijd (idle time)• de lengte van het gesprek• de naam van de router waarmee de interface

verbonden is.

show isdn active Toont het gebelde nummer en laat zien of de lijn actiefis.

show isdn status Goede opdracht om te gebruiken voordat u inbelt. Laatzien of de SPID’s die u gebruikt geldig zijn. Geeft ookaan of u verbinding hebt en met de switch van deprovider communiceert.

show ip route Toont alle routes die de router kent.

debug isdn q921 Wordt alleen gebruikt om informatie van laag-2 tebekijken.

debug isdn q931 Wordt alleen gebruikt om informatie van laag-3 tebekijken, inclusief opzetten en afbreken verbinding.

debug dialer Geeft de informatie over opzetten en afbreken van deverbinding.

isdn disconnect Wist de interface en verbreekt verbinding. De interfaceint bri0 afsluiten levert hetzelfde resultaat.


10.7 SamenvattingIn dit hoofdstuk zijn de volgende onderdelen behandeld:

• Het verschil tussen de volgende WAN-services: X.25/LAPB, Frame Relay, ISDN/LAPD, SDLC, HDLC en PPP.

• Belangrijke termen en eigenschappen van Frame Relay en X.25.

• Kennen van de opdrachten om Frame Relay-LMIs, maps ensubinterfaces te configureren.

• Kennen van de opdrachten om Frame Relay-bewerkingen in de router temonitoren.

• Opnomene van PPP-bewerkingen die een rol spelen bij het inkapselen van WAN-gegevens op Cisco-routers.

• Uitleggen in welke situatie en voor welk gebruik ISDN-netwerken nuttig zijn.

• Noemen en herkennen van ISDN-protocollen, functiegroepen, referentiepuntenen kanalen.

• Beschrijven van de Cisco-implementatie van ISDN-BRI.

10.8 KernbegrippenZorg ervoor dat u de volgende termen kent als u examen gaat doen:

afbakening (demarc)

Basic Rate Interface

BECN (Backward-Explicit Congestion Notification)

Challenge Authentication Protocol (CHAP)

circuit-switchen

customer premises equipment (CPE)

DE (Discard Eligibility)

FECN (Forward-Explicit Congestion Notification)

Frame Relay

HDLC

hoofdkantoor (CO, central office)


huurlijnen

ISDN

LAPB

Local Management Interface (LMI)

lokale lus

NT1

NT1

NT2

pakket-switchen (packet switching)

Password Authentication Protocol (PAP)

PPP

R-referentiepunt

S-referentiepunt

TA

TE1

TE2

toll-netwerk

T-referentiepunt

U-referentiepunt

10.9 Opdrachten in dit hoofdstukOverzicht van alle in dit hoofdstuk behandelde opdrachten:


debug dialer Toont de instellingen voor de proceduresvoor het opbouwen en verbreken van eenverbinding.

debug frame-relay lmi Toont de LMI-uitwisselingen tussen derouter en de Frame Relay-switch.

debug isdn q921 Toont processen op laag 2.

debug isdn q931 Toont processen op laag 3.



dialer idle-timeout number Bepaalt wanneer een BRI-lijn de verbindingmoet verbreken als er geen interessantverkeer gevonden is.

dialer list number protocol Specificeert interessant verkeer voor eenprotocol permit/deny DDR-verbinding.

dialer load-threshold number Stelt de parameters in die beschrijveninbound/outbound/either wanneer de tweede BRI op een ISDN-

verbinding actief wordt.

dialer map protocol address Word gebruikt in plaats van een dialer stringname hostname number om meer veiligheid op een ISDN-netwerk te

bieden.

dialer-string Stelt het telefoonnummer vast voor een BRI-interface.

encapsulation frame-relay Verandert de inkapseling op een seriëleverbinding (encapsulation) in Frame Relay.

encapsulation frame-relay ietf Stelt het inkapseltype in op InternetEngineering Task Force (IETF). VerbindtCisco-routers met routers van anderemerken.

encapsulation hdlc Herstelt de standaardinkapseling (HDLC) opeen seriële verbinding.

encapsulation ppp Verandert de inkapseling op een seriëleverbinding in PPP.

frame-relay interface-dlci Configureert het PVC-adres op een seriëleinterface of subinterface.

frame-relay lmi-type Configureert het LMI-type op een seriëleverbinding.

frame-relay map protocol Zorgt voor statische mapping op een Frameaddress relay netwerk.

interface s0.16 multipoint Maakt een multipoint- subinterface op eenseriële verbinding die met Frame Relay-netwerken gebruikt kan worden.

interface s0.16 point-to- Maakt een point-to-point subinterface oppoint een seriële verbinding die met Frame Relay

gebruikt kan worden.

isdn spid1 Stelt het getal in dat de eerste DS0 voor deISDN-switch identificeert.

isdn spid2 Stelt het getal in dat de tweede DS0 voor deISDN-switch identificeert.



isdn switch-type Stelt het ISDN-type in waarmee de router gaatcommuniceren. Kan ingesteld worden opinterface-niveau of in algemeneconfiguratiemodus (global configuration mode).

no inverse-arp Schakelt de dynamische IARP voor FrameRelay uit. U moet statische mappingsconfigureren.

ppp authentication chap Zorgt ervoor dat PPP CHAP-authenticatiegebruikt.

ppp authentication pap Zorgt ervoor dat PPP PAP-authenticatiegebruikt.

show dialer Geeft diagnostische informatie overinbelverbinding en toont:

• het aantal keren dat verbinding is gelegdmet de ‘dialer string’ (het te bellentelefoonnummer)

• per B-kanaal de leeglooptijd (idle time)

• de lengte van het gesprek

• de naam van de router waarmee deinterface verbonden is.

show frame-relay lmi Stelt het LMI-type in op een seriële interface.

show frame-relay map Toont statische en dynamische mappings vande laag Network naar PVC.

show frame-relay pvc Toont de op een router geconfigureerde PVC’sen DLCI-waarden.

show ip route Toont de IP-routetabel.

show isdn active Toont het gekozen nummer en laat zien of eenverbinding actief is.

show isdn status Laat zien of de SPID’s die u gebruikt geldig zijn.Geeft ook aan of u verbinding hebt en met deswitch van de provider communiceert.

username name password Definieert een gebruikersnaam en eenpassword wachtwoord voor authenticatie op een Cisco-

router.


10.11 PraktijkoefeningenIn de volgende vier WAN-oefeningen configureert u Cisco-routers aan de hand vaneen situatieschets die bij elke opdracht wordt gegeven:

Oefening 10.1: PPP-inkapseling en authenticatie configureren

Oefening 10.2: HDLC configureren en beheren

Oefening 10.3: Frame Relay en subinterfaces configureren

Oefening 10.4: ISDN en BRI-interfaces configureren

Oefening 10.1: PPP-inkapseling en authenticatie configureren

Standaard gebruiken Cisco-routers HDLC (High-Level Data Link Control) als point-to-point inkapselmethode op seriële verbindingen. Als u op seriële poorten eenverbinding met niet-Cisco-apparatuur maakt, kunt u de PPP-inkapselmethodegebruiken om te communiceren.

De situatieschets ziet u in figuur 10.8.

Figuur 10.8 Uitgangssituatie PPP-oefening

E0 E0S0S0

1. Typ sh int s0 op routers A en B om de inkapselmethode te tonen.

2. Zorg ervoor dat elke router een hostnaam heeft:

RouterA# config tRouterA(config)# hostname RouterA

RouterB# config tRouterB(config)# hostname RouterB

3. Om de HDLC-inkapselmethode (standaard) op beide routers in PPP teveranderen, gebruikt u bij het configureren van de interface de opdrachtencapsulation . Beide uiteinden van de verbinding moeten de zelfdeinkapselmethode gebruiken.

RouterA# Config tRouterA(config)# Int s0RouterA(config)# Encap ppp


4. Ga naar router B en stel serial 0 in op PPP-inkapseling.

RouterB# config tRouterB(config)# int s0RouterB(config)# encap ppp

5. Verifieer de configuratie door op beide routers sh int s0 te typen.

6. Let op IPCP, IPXCP en CDPCP. Dit is de informatie die gebruikt wordt om deinformatie van de laag Netwerk (de hogere laag) over ISO-HDLC naar deMAC-sublaag te sturen.

7. Definieer op elke router een gebruikersnaam en een wachtwoord. Let er op datde gebruikersnaam de naam is van de remote router. Ook het wachtwoordmoet hetzelfde zijn!

RouterA# config tRouterA(config)# username RouterB password todd

RouterB# config tRouterB(config)# username RouterA password todd

8. Activeer CHAP- of PAP-authenticatie op elke interface.

RouterA(config)# int s0RouterA(config-if)# ppp authentication chap

RouterB(config)# int s0RouterB(config-if)# ppp authentication chap

9. Controleer de PPP-configuratie op elke router met de volgende tweeopdrachten:

sh int s0debug PPP authentication

Oefening 10.2: HDLC configureren en beheren

HDLC is niet geconfigureerd, maar als u oefening 10.1 gemaakt hebt, is de PPP-inkapseling op beide routers ingesteld. Daarom hebt u eerst met de PPP-oefeninggemaakt. Als dat gedaan is, kunt u HDLC-inkapseling op de router gaan configureren.

De tweede praktijkopdracht gaat ook uit van de situatie die in figuur 10.8 is geschetst.

1. Stel de inkapseling in voor iedere seriële interface. Doe dit door de opdrachtencapsulation hdlc te gebruiken.


RouterA# config tRouterA(config)# int s0RouterA(config-if)# encapsulation hdlc

RouterB# config tRouterB(config)# int s0RouterB(config-if)# encapsulation hdlc

2. Controleer de HDLC-inkapseling op elke router met de opdracht showinterface s0 .

Oefening 10.3: Frame Relay en subinterfaces configureren

Deze oefening gaat uit van de situatieschets in figuur 10.9. U doet ervaring op met hetbeschrijven en configureren van Frame Relay-configuraties.

Figuur 10.9 Uitgangssituatie Frame Relay-oefening

E0

S0

E0

S0

S0 S1

DLCI 102 DLCI 201

In cursussen wordt door de auteur meestal een 2522-router als frameswitchgebruikt. Deze biedt tien seriële verbindingen. Maar misschien hebt u alleen debeschikking over een stel 2501-routers. Daarom zijn de volgende praktijkopdrachtengeschreven voor een uitgangssituatie met drie 2501-routers.

1. Stel de hostnaam in; geef de opdracht frame-relay switching . Pas deinkapseling toe op elke seriële interface van de Frame Relay-switch.

Router# config tRouter(config)# hostname RouterBRouterB(config)# frame-relay switchingRouterB(config)# int s0RouterB(config-if)# encapsulation frame-relayRouterB(config-if)# int s1RouterB(config-if)# encapsulation frame-relay

2. Configureer de Frame Relay-mappings op elke interface. U hebt op dezeinterfaces geen IP-adressen nodig, want deze switchen met Frame Relay-framesde ene interface met de andere.


RouterB(config-if)# int s0RouterB(config-if)# frame-relay route 102 interface Serial1201RouterB(config-if)# frame intf-type dceRouterB(config-if)# clock rate 64000 [if you have this as DCE]

RouterB(config-if)# int s1RouterB(config-if)# frame-relay route 201 interface Serial0102RouterB(config-if)# frame intf-type dceRouterB(config-if)# clock rate 64000 [if you have this as DCE]

Het lijkt moeilijker dan het is. De opdracht route zorgt er alleen maar voor datals u frames van PVC102 ontvangt, deze worde doorgestuurd naar int s1 .Daarbij maakt u gebruik van PVC 201. De tweede mapping op serial 1 isprecies het tegenovergestelde. Alle gegevensstromen die binnenkomen op ints1 worden naar serial 0 gerouteerd. Hierbij wordt PVC 102 gebruikt.

3. Configureer router A met een point-to-point-subinterface.

Router# config tRouter(config)# hostname RouterARouterA(config)# int s0RouterA(config-if)# encapsulation frame-relayRouterA(config-if)# int s0.102 point-to-pointRouterA(config-if)# ip address 172.16.10.1 255.255.255.0RouterC(config-if)# ipx network 10RouterA(config-if)#f rame-relay interface-dlci 102

4. Configureer router C met een point-to-point-subinterface.

Router# config tRouter(config)# hostname RouterCRouterC(config)# int s0RouterC(config-if)# encapsulation frame-relayRouterC(config-if)# int s0.102 point-to-pointRouterC(config-if)# ip address 172.16.10.2 255.255.255.0RouterC(config-if)# ipx network 10RouterC(config-if)# frame-relay interface-dlci 201

5. Verifieer uw configuraties met de volgende opdrachten:

RouterA> sho frame ? ip show frame relay IP statistics lmi show frame relay lmi statistics map Frame-Relay map table pvc show frame relay pvc statistics route show frame relay route traffic Frame-Relay protocol statistics

6. Gebruik Ping en Telnet om de verbinding te controleren.


Oefening 10.4: ISDN- en BRI-interfaces configureren

In deze oefening wordt de in figuur 10.10 geschetste situatie gebruikt. U leert ISDNop Cisco-routers configureren en beheren. U configureert de routers 804A en 804Bzodanig dat een ISDN-kiesverbinding tussen de netwerken 172.16.30.0 en172.16.50.0 kan worden gemaakt. Hierbij wordt netwerk 172.16.60.0 gebruikt op deISDN BRI-interfaces.

Figuur 10.10 Uitgangssituatie ISDN-oefening

E0

bri0

E0

bri0

172.16.30.0

172.16.60.0

172.16.50.0

ISDN-switch

1. Ga naar 804B en stel de hostnaam en ISDN-switchtype in.

Router# Config tRouter(config)# hostname 804B804B(config)# isdn switch-type basic-ni

2. Stel de hostnaam en het switchtype bij de 804A in op interface-niveau. Destappen 1 en 2 laten zien dat u het switch-type kunt vaststellen door dealgemene (global) configuratiemodus te gebruiken of door te configureren opinterfaceniveau.

Router# Config tRouter(config)# hostname 804A804A(config)# int bri0804B(config-if)# isdn switch-type basic-ni

3. Stel op 804A de SPID-getallen op BRI 0 in en stel het IP-adres in op171.16.60.1/24 . Hebt u een bestaande verbinding naar een ISDN-netwerk ofeen ISDN-simulator, vul dan ook uw SPID-nummers in.

804a# config t804A(config)# int bri0804A(config-if)# isdn spid 1 0835866101 8358661804A(config-if)# isdn spid 2 0835866301 8358663804A(config-if)# ip address 172.16.60.1 255.255.255.0804A(config-if)# no shut


4. Stel de SPID’s op de 804B in en zorg ervoor dat het IP-adres van de interfacewordt ingesteld op 172.16.60.2/24 .

804A#config t804A(config)# int bri0804A(config-if)# isdn spid 1 0835866201 8358662804A(config-if)# isdn spid 2 0835866401 8358664804A(config-if)# ip address 172.16.60.2 255.255.255.0804A(config-if)# no shut

5. Definieer statische routes op de routers zodanig dat deze de remote ISDN-interface gebruiken. Dynamisch routeren veroorzaakt twee problemen: (1) deISDN-lijn is altijd actief en (2) er kan een netwerklus ontstaan. Dit laatste kangebeuren omdat er ‘multiple links’ (meer verbindingen) tussen dezelfde locatieszijn. Het CCNA-examen behandelt alleen distant-vector routing-protocollen(RIP en IGRP). In geval van ISDN worden statische routes aanbevolen.

804A(config)# ip route 172.16.50.0 255.255.255.0 172.16.60.2804A(config)# ip route 172.16.60.2 255.255.255.255 bri0

804B(config)# ip route 172.16.30.0 255.255.255.0 172.16.60.1804B(config)# ip route 172.16.60.1 255.255.255.255 bri0

6. Maak duidelijk welk verkeer interessant genoeg is om de ISDN-verbinding teactiveren: al het IP-verkeer. Hieronder volgt de opdracht voor de algemeneconfiguratiemodus:

804A(config)# dialer-list 1 protocol ip permit

804B(config)# dialer-list 1 protocol ip permit

7. Voorzie de BRI-interface van beide routers van de opdracht dialer-group 1,het getal dat overeenkomt met het kieslijstnummer.

804B(config)# config t804B(config)# int bri0804B(config)# dialer-group 1

8. Configureer de kiesinformatie (dialer information) op beide routers.

804A#Config t804A(config)# Int bri0804A(config-if)# Dialer string 8358662

804B#Config t804B(config)# Int bri0804B(config-if)# Dialer string 8358661

9. Geef de opdrachten dialer load-threshold en multilink . Stel hetpercentage voor leeglooptijd op beide 804-routers in.


804A#Config t804A(config)# int bri0804B(config-if)# Dialer load-threshold 125 either804B(config-if)# Dialer idle-timeout 180

804B#Config t804B(config)# int bri0804B(config-if)# Dialer load-threshold 125 either804B(config-if)# Dialer idle-timeout 180

10. Maak een wachtrij voor interessante pakketten. Deze pakketten hebben eenparkeerplaats nodig tot het moment de ISDN-verbinding actief wordt.

804A#Config t804A(config)# int bri0804B(config-if)# hold-queue 75 in

804B#Config t804B(config)# int bri0804B(config-if)# hold-queue 75 in

11. Controleer de ISDN-verbinding.

PingTelnetShow dialerShow isdn statusSh ip route

sybex cisco ccna reader datacom ict4 - …members.home.nl/rjcasteel/datacom niv4.pdf · de volgende...

Documents