Author Topic: Core Switch Network  (Read 32803 times)

0 Members และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

momaydopod

  • Layer 2
  • **
  • Posts: 66
  • จิตพิสัย +1/-0
    • Email
Core Switch Network
« on: 27 สิงหาคม , 2013, 10:35:07 am »
 [onion14]

ปรึกาษาเรื่อง Core Switch หน่อยครับใช้ Cisco 3750 และ user Switch ใช้ 2960  ครับ  ตอนนี้ต่อแบบตามรูปเลยครับ  server ทุกตัวเข้าที่ Core Switch และ  User Switch เข้าไปที่ Core Switc ไม่ทราบว่าต่อแบบ เราต้อง COnfig บน COre Swith เพิ่มรึเปล่าครับ หรือ แค่ Plug & play ครับ

fairy

  • Head Master
  • Layer 7
  • *
  • Posts: 2177
  • จิตพิสัย +34/-1
    • ucbook
Re: Core Switch Network
« Reply #1 on: 27 สิงหาคม , 2013, 08:11:00 pm »
ถ้าไม่แบ่ง vlan ก็ไม่ต้องทำอะไรเลย ทุกอย่างจัดการด้วยตัว router แต่ถ้าให้ดี ก็ต้องแบ่ง vlan มีการจัดการ acl และทำ route เป็นอย่างน้อย
แนะนำหนังสือดีๆ จาก UCBOOK
http://www.ebooks.in.th/ucbook

CCNA Labs Walkthrough book one (คู่มือตัวอย่าง CCNA พร้อมเฉลย เล่มหนึ่ง)
http://www.ebooks.in.th/ebook/3670/

CCNA Labs Walkthrough book two
http://www.ebooks.in.th/ebook/5137/

--- CISCO CCNA LAB SOLUTION CCNP ---

momaydopod

  • Layer 2
  • **
  • Posts: 66
  • จิตพิสัย +1/-0
    • Email
Re: Core Switch Network
« Reply #2 on: 28 สิงหาคม , 2013, 08:51:42 am »
พวก Port ที่ต่อกับ Server  และ Port ที่ต่อกับ Switch  จะใช้คำสั่ง Port fast ดีด้วยรึเปล่าครับ  [onion56]

fairy

  • Head Master
  • Layer 7
  • *
  • Posts: 2177
  • จิตพิสัย +34/-1
    • ucbook
Re: Core Switch Network
« Reply #3 on: 28 สิงหาคม , 2013, 10:43:59 am »
port ที่ต่อกับสวิส ไปใช้ Portfast ก็บรรลัย จิฮะ [onion41]
แนะนำหนังสือดีๆ จาก UCBOOK
http://www.ebooks.in.th/ucbook

CCNA Labs Walkthrough book one (คู่มือตัวอย่าง CCNA พร้อมเฉลย เล่มหนึ่ง)
http://www.ebooks.in.th/ebook/3670/

CCNA Labs Walkthrough book two
http://www.ebooks.in.th/ebook/5137/

--- CISCO CCNA LAB SOLUTION CCNP ---

At lease 8

  • VIP Member
  • Layer 4
  • *****
  • Posts: 329
  • จิตพิสัย +4/-0
    • Email
Re: Core Switch Network
« Reply #4 on: 28 สิงหาคม , 2013, 03:15:58 pm »
ถ้าถามว่า Portfast ระหว่าง Switch คงต้องไปอ่านเรื่อง Spanning-tree เพิ่มเติมนะครับ  [onion79]
การทำเช่นนี้จะทำให้เกิด Loop   [onion15]

การต่อดังรูป OK ในระดับหนึ่ง แต่ถ้าจะให้แรงและเร็วกว่านี้ต้องดูว่า Traffic วิ่งอย่างไร ไปไหนมาไหน มากที่สุด จะต้องทำ Etherchannel กี่เส้นไปยัง 2960 หรือ ทำ Link Aggregate ไปบน Server หรือเปล่า ปกติเซิร์ฟเวอร์รุ่นใหม่ๆมี Gigabit Port อยู่สองพอร์ตแล้ว คุณมี Switch ดีอยู่แล้วใช้ให้หมด 

ก้าวต่อไป ลองสอบ CCIE SP

momaydopod

  • Layer 2
  • **
  • Posts: 66
  • จิตพิสัย +1/-0
    • Email
Re: Core Switch Network
« Reply #5 on: 28 สิงหาคม , 2013, 05:16:47 pm »
Post fast จะทำกับ Server ครับ  แต่  พวก Port ที่ต่อกับ Switch ไม่มี Idae เลยครับ  ปัญหาคือกลัว เกิด Loop ใน Network ครับ [onion79]

fairy

  • Head Master
  • Layer 7
  • *
  • Posts: 2177
  • จิตพิสัย +34/-1
    • ucbook
Re: Core Switch Network
« Reply #6 on: 28 สิงหาคม , 2013, 08:02:35 pm »
ตามลุงท่านบนว่าละฮะ acc ทำ lacp กับปรับ pri stp ลง ไม่ให้ มันเป็น root
ส่วน core ก็ทำ root guard เช่นกัน
แนะนำหนังสือดีๆ จาก UCBOOK
http://www.ebooks.in.th/ucbook

CCNA Labs Walkthrough book one (คู่มือตัวอย่าง CCNA พร้อมเฉลย เล่มหนึ่ง)
http://www.ebooks.in.th/ebook/3670/

CCNA Labs Walkthrough book two
http://www.ebooks.in.th/ebook/5137/

--- CISCO CCNA LAB SOLUTION CCNP ---

Coresora

  • Layer 1
  • *
  • Posts: 36
  • จิตพิสัย +0/-0
Re: Core Switch Network
« Reply #7 on: 31 สิงหาคม , 2013, 10:41:28 pm »
มาอ่านเก็บความรู้ครับ  [onion49]

ปลาวาฬทราย

  • Layer 5
  • *****
  • Posts: 558
  • จิตพิสัย +1/-0
    • ไทยซีพีอี
    • Email
Re: Core Switch Network
« Reply #8 on: 09 กันยายน , 2013, 09:37:58 am »
ปลาวาฬทราย
RMUTT CPE IX

At lease 8

  • VIP Member
  • Layer 4
  • *****
  • Posts: 329
  • จิตพิสัย +4/-0
    • Email
Re: Core Switch Network
« Reply #9 on: 10 กันยายน , 2013, 11:56:37 am »
ในระบบเครือข่าย สิ่งที่เราพบกันมากก็คือ rogue เรียกว่า โร๊ก  เอาภาษาไทยเรียกว่า รกแล้วกัน
rogue dhcp เป็นสิ่งที่เราพบกันมากที่สุด มันเกิดจากเราเอา adsl router มาตั้งในเครือข่าย มันจะจ่าย ip ในกลุ่ม 192.168.1.0/24 หรือ 192.168.1.0/24 ออกมา ด้วยค่า Default GW และค่า DNS นี้จะทำให้เครือข่ายปั่นป่วน สิ่งที่ถูกต้องก็คือ การย้ายการจ่าย ip จาก Class c ที่ใช้กันมากคือ 192.168.1.0/24 หรือ 192.168.1.0/24  ไปเป็น class A หรือ class B นี้ก็หลบเลี่ยงได้ แต่สิ่งที่ต้องเสริมขึ้นมาคือ การปิด rogue dhcp นี้ ไว้วันหลังจะกล่าวถึง ตอนนี้ขอเล่นเรื่อง

Rogue Switch ก่อน ในเครือข่าย Switch layer 2 จะมีการแต่งตั้งและเลือกตั้งตามค่า priority ของ Switch ซึ่งปกติจะมีค่าเท่ากับ 32769

sh span bridge
                                                   Hello  Max  Fwd
Vlan                         Bridge ID              Time  Age  Dly  Protocol
---------------- --------------------------------- -----  ---  ---  --------
VLAN0001         32769 (32768,   1) 000e.84a9.9c00    2    20   15  rstp

ค่า Bridge นี้จะมีค่าเท่ากับ  Priority นี้บวกด้วยหมายเลข vlan

ใน layer 2 ค่าน้อยๆจะพึงปรารถนาเป็นอย่างมาก ใครได้ค่าน้อยๆจะได้เป็นหัวหน้าในการเลือกตั้ง root bridge แต่ในที่นี้ขอพูดถึงการแต่งตั้ง root bridge เพราะหากเราปล่อยให้มันเลือกตั้งกันเอง จะเกิดความวุ่นวายกันมากใน Layer 2 switch ที่เป็น root อาจจะกลายเป็น access switch ได้ แทนที่จะเป็น core switch

ในที่นี้ขอกล่าวถึง rapid pvst ซึ่งเป็นตัว top ที่น่าใช้ เร็ว และแยก spanning tree ออกตาม vlan อีกตัว แถมยัง backward compatible กับ 802.1d (standard spanning-tree ) และ 802.1w (rapid spanning-tree)

เราจะมาเอาให้ SW1 ที่ให้เป็น root ของทุก vlan ด้วยคำสั่งนี้คือ

Sw1(config)#spanning mode rapid-pvst
Sw1(config)#spanning-tree vlan 1-4094 priority 0

ตอนนี้ก็ได้ SW1 เป็น root โดยการแต่งตั้งแล้ว แต่วันใดวันหนึ่งก็จะมีคนมาท้าทาย พยามจะมา join spanning-tree โดเมน โดยการนำเอา switch มาต่อพ่วงแล้วตั้งค่าให้ต่ำๆ เพื่อรบกวนหรือแย่งหน้าที่ root bridge ไป แต่เราไม่ยอม ไม่เพียงแต่นิ่งเฉย เราจะปิดการติดต่อด้วย ทันทีที่พบว่ามี BPDU เขามา เราจะปิดพอร์ตนี้แล้วเข้าสู่ err-disable ทันที ด้วยคำสั่ง spanning-tree bpduguard enable

มีด้วยกันสองวิธีคือ การคอนฟิกไปที่ interface และคอนฟิกแบบ Global ที่จะส่งผลทุก interface

ในระดับ interface นั้น
spanning-tree bpduguard enable

เมื่อพอรต์รับ BPDU เข้ามาจะหันหน้าหนี ปิดประตู ปิดพอร์ตทิ้งเข้าสู่ err-disable state ทันที พอร์ตจะถูกปิดโดยอัตโนมัติ วิธีการเปิดใหม่ทำได้โดย shut / no shut แต่ถ้ายังมี Switch แปลกปลอมต่ออยู่ก็จะจ่าย BPDU ออกมาอยู่ดี ทำให้เกิดปัญหาพอร์ตปิดตายถาวร

ในระดับ Global นั้น

spanning-tree portfast bpduguard default 

จะทำให้พอร์ต porfast ทุกพอร์ตที่เป็น access port เข้าสู่ err-disable state ทันที พอร์ต portfast นี้มีไว้สำหรับต่อคอมพิวเตอร์ปลายทางเท่านั้น ไม่มีการต่อเข้าสวิตช์ เช่น ต่อไปที่หน้า outlet ของ user ถ้ามีคนนำ Switch ต่อกับ outlet นี้ก็เป็นการพ่วง เป็นสิ่งที่ไม่ผิดที่จะปิดพอร์ตนี้ลงเพื่อป้องกันปัญหาที่จะเกิดขึ้นในอนาคต

แต่การทำเช่นนี้มันจะรุนแรงไปหรือเปล่าสำหรับผู้ที่ไม่รู้ พอรต์จะปิดตัวลงทุกทีที่มีใครเอา Switch มาเสียบ

มีอีกวิธีที่ทำได้คือ ต่อได้นะแต่ห้ามมายุ่งกับ spanning-tree domain ของฉัน ฉันเป็นของฉันอย่างนี้  อย่ามาเปลี่ยนฉัน เพราะฉันไม่ฟังคุณ

ในระดับ interface

spanning-tree bpdufilter enable

ในระดับ Global

spanning-tree portfast bpdufilter default

เมื่อรับ BPDU มามันจะไม่ทำอะไรกับ BPDU นี้ทั้งรับและส่ง แต่ปล่อยให้ frame ข้อมูลผ่านไปมาได้ ไม่เหมือนกับ bpduguard ที่ปิดทุกอย่าง


Switch(config-if)#spanning-tree bpdufilter ena


วิธีตรวจการบ้านคือ


show spanning-tree int f1/0/10 det

root guard

ท่านี้มีไว้สำหรับจัดการปัญหาภายใน Spanning-tree domain ที่มีการแก่งแย่งกันเป็น root bridge
คำสั่งนี้จะเซ็ตไว้ในระดับ interface เพื่อป้องกันไม่ให้ state เปลี่ยนไปเป็น root port  ในกรณีที่รับ BPDU ที่มีค่าดีกว่าระดับเทพ  นั่นหมายความว่าพอร์ตนี้จะมี state เป็น designated port เสมอ
เมื่อมี BPDU ที่มีค่าดีกว่าถูกส่งมาถึงพอร์ตนี้ พอร์ตนี้จะป้องกันไม่ให้ BPDU นี้เขามาก่อกวน root ตัวนี้ โดยเปลี่ยนให้มีสถานะเป็น root-inconsistent state ซึ่งข้อมูลไม่สามารถส่งผ่านไปมาได้  ตราบใดที่ BPDU ที่มีค่าสูงกว่านี้ พอร์ตนี้ก็ยังไม่สามารถใช้งานได้ ต่อเมื่อ Switch ที่ปล่อยค่า BPDU สูงๆนี้ ปรับค่าลง พอร์ตก็จะสามารถกลับมาใช้งานได้ตามปกติ

ความแตกต่างของ BPDU guard กับ Guard root คือ
BPDU guard ไม่ฟังเสียงใคร รับ BPDU ได้เข้าสู่ err-disable ทำให้พอร์ตใช้งานไม่ได้เลย จนกระทั่ง shut/no shut หรือ ครบเวลาที่กำหนดไว้ตาม errdisable-timeout ก็จะปล่อยเข้าสู่ state ปกติ แต่ถ้าพบ BPDU ก็เข้าสู่ err-disable อีก
Guard root ฟังบ้าง คือ เมื่อรับ BPDU มาแล้ว แต่ถ้าค่าไม่ดีก็ไม่ทำอะไร หากค่าดีกว่าที่จะทำให้ root เปลี่ยนตัว ก็จะจัดการให้พอร์ตเข้าสู่สถานะ root-inconsistent state ซึ่งข้อมูลก็ไม่ไหลผ่านเช่นกัน แต่เมื่อ Switch ตัวนั้นหยุดส่ง BPDU ที่เหนือกว่าออกมายัง root switch ทุกอย่างเป็นอันจบกัน พอร์ตจะใช้งานได้ตามปกติ

 [onion79]
« Last Edit: 18 ตุลาคม , 2017, 05:28:10 pm by zenze »
ก้าวต่อไป ลองสอบ CCIE SP

Coresora

  • Layer 1
  • *
  • Posts: 36
  • จิตพิสัย +0/-0
Re: Core Switch Network
« Reply #10 on: 10 กันยายน , 2013, 03:52:58 pm »
ขอบคุณครับ  [onion49]

At lease 8

  • VIP Member
  • Layer 4
  • *****
  • Posts: 329
  • จิตพิสัย +4/-0
    • Email
Re: Core Switch Network
« Reply #11 on: 11 กันยายน , 2013, 12:58:10 pm »
เคล็ดลับการกำหนดค่า vtp domain
แรกๆมันดูเหมือนไม่มีอะไร แต่ความจริงแล้วมันมีเรื่องให้ปวดหัวกันมากมาย ขออย่างแรกคือ
revision ค่าเลขสูงจะเป็นตัวกำหนดว่าจะก้อปปี้จาก Server ไป Client  หากไม่ระวังก็จะโดนก็อปปี้กลับ แบบหักหลัง ง่ายๆ โดยเฉพาะตอนที่สวิตช์ สองตัวเป็นโหมด Server กันทั้งคู่ ใครดีใครได้ ใคร revision สูงกว่าก็ทับกันไปมา

SW1 มี vlan 10 ตัว (revison 2) server mode   <--- > SW2 มี vlan 1 ตัว (revison 3) server mode

ทันทีที่ต่อและ syn เข้าด้วยกัน มันจะลบ vlan เราทิ้งทั้งหมดเลย เหลือ vlan  1 ตัวเท่านั้น

วิธีแก้ก็ทำง่ายๆคือ การเปลี่ยน SW2 ให้เป็นโหมด Transparent มันจะเปลี่ยน revision ให้เป็น 0  จากนั้นก็เปลี่ยนโหมดให้เป็น client หรือ server ตามต้องการเท่านี้ ก็เป็นการรับประกันว่า SW2 จะรับ vlan จาก SW1 มาทั้ง 10 vlans

วิธีทีสองคือ การเพิ่ม revision ให้กับ SW1 คือ
config t
vlan 998
no vlan 998

คือ ต้องสร้าง vlan และลบ vlan ไปด้วย revision จะเพิ่มอีกสอง ถ้าสร้างอย่างเดียวไม่ลบ ลองเช็ค vtp status ดูมันจะไม่เปลี่ยน revision
ส่วนนี้สามารถแก้ไขปัญหาเรื่อง md5 authen ระหว่าง trunk ไม่ผ่านได้อีกด้วย (ต้องเช็ค switchport trunk encap xxx ให้ตรงกันก่อน)

อีกส่วนหนึ่งที่แนะนะคือ ลำดับการคีย์สำหรับเช่นกันคือ

vtp mode client
vtp version 2
vtp domain Haswell
vtp password intel

เมื่อคีย์แบบนี้มันจะให้ผลที่ช้ากว่า คือ จะจำค่า vtp version domain password เก่าก่อนแรกๆจะพยาย Syn ทำให้ช้า แต่ถ้าคีย์เป็น

vtp version 2
vtp domain Haswell
vtp password intel
vtp mode client

แบบนี้ เราจะแก้ค่า vtp คอนฟิกให้ถูกหมดก่อน แล้วเปลี่ยน โหมดในการ syn จะทำกันครั้งเดียวทำให้รวดเร็ว ไม่มี error แปลกมาให้ตกใจ

จำไว้ว่า mode xxx เป็นการ apply config ให้มีผล  ตัวนี้ใช้กับ  spanning-tree mode mst ได้เช่นกัน พอ รันคำสั่งนี้ค่าคอนฟิกสำหรับการทำ spanning-tree แบบ mst จะถูกเอาไปใช้ทันที ถ้าไม่คีย์ก็เก็บไว้ในเมมโมรีแต่ไม่ถูกเอาไปใช้เช่นกัน

วิธีการเช็คว่ามัน syn กันในโดเมนแบบง่ายสุดคือ ดูค่า MD5 บรรทัดสุดท้าย ต้องตรงกันทุกตัว

« Last Edit: 18 ตุลาคม , 2017, 05:49:08 pm by zenze »
ก้าวต่อไป ลองสอบ CCIE SP

plz

  • Layer 1
  • *
  • Posts: 10
  • จิตพิสัย +0/-0
Re: Core Switch Network
« Reply #12 on: 17 กันยายน , 2013, 02:18:07 pm »
มาทัศนศึกษา  [onion28]

At lease 8

  • VIP Member
  • Layer 4
  • *****
  • Posts: 329
  • จิตพิสัย +4/-0
    • Email
Re: Core Switch Network
« Reply #13 on: 17 กันยายน , 2013, 05:37:53 pm »
spanning-tree ที่ใช้กันมากใน cisco มี 3 ตัว คือ
pvst แต่ละ vlan มี spanning-tree domain ของตนเอง
rapid-pvst  แบบเร็ว เข้าชาร์ตแล้วจบไว แต่ละ vlan มี spanning-tree domain ของตัวเอง
mst แบบมาตรฐาน หลายๆ vlan ใช้ mst ร่วมกัน
 
ตัวอย่างการคอนฟิก spanning-tree mst ซึ่งเป็นสายพันธุ์หนึ่งของ spanning-tree

spanning-tree mst configuration
rev 1.0
name cisco

instance 1 vlan 1,22,44,55
instance 2 vlan 66,78,89

spanning-tree mode mst

คำสั่งสุดท้ายนี้จะเป็นการ apply spanning-tree mst มิเช่นนั้นจะเก็บค่าไว้ในคอนฟิกเท่านันแต่จะไม่นำไปใช้
« Last Edit: 17 กันยายน , 2013, 09:29:15 pm by At lease 8 »
ก้าวต่อไป ลองสอบ CCIE SP

momaydopod

  • Layer 2
  • **
  • Posts: 66
  • จิตพิสัย +1/-0
    • Email
Re: Core Switch Network
« Reply #14 on: 18 ตุลาคม , 2013, 01:54:24 pm »
ไล่อ่าน [onion28]