HR Objašnjena konfiguracija porta mrežnog prekidača
Dec 19, 2025|
Konfiguracija gigabitnog Ethernet porta je u središtu administracije mreže Layer 2-koja reguliše kako se okviri kreću kroz komutiranu infrastrukturu, koji uređaji dobijaju pristup i šta se dešava kada nešto krene u stranu. Skok sa 100 Mbps na gigabit je doveo do operativnih čuda koje i dalje sablažnjavaju ljude: obavezni puni-dupleks pri 1000 Mbps, zahtjevniji kablovi i ponašanje automatskog-pregovaranja koje se ne ponaša uvijek ispravno. Ovaj vodič prolazi kroz praktičnu mehaniku konfigurisanja GB portova na upravljanim prekidačima, s posebnom pažnjom na stvari koje se zapravo prekidaju u proizvodnji.

Zašto pregovori o brzini porta ne uspijevaju (i šta zapravo možete učiniti)
Evo stvari koje vam niko ne kaže kada počnete: automatsko-pregovaranje na gigabitnim portovima radi drugačije nego na 10/100 interfejsima. Specifikacija IEEE 802.3ab zahtijeva da 1000BASE-T veze rade isključivo u full-dupleks modu. Ne postoji opcija polu{9}}dupleksa pri gigabitnim brzinama. Period.
Dakle, kada vidite da je port zaglavljen na 100 Mbps i pitate se šta je pošlo po zlu, krivac je obično jedna od tri stvari:
Kabl. Cat5 bi tehnički mogao podržavati gigabit na kratkim serijama, ali sam gledao inženjere kako gube sate rješavajući probleme prije nego što je neko konačno zamijenio Cat5e ili Cat6. Sva četiri para moraju biti ispravno prekinuta-a ne samo dva kao što biste se mogli izvući na brzim Ethernet brzinama.
Prisilno podešavanje na jednom kraju. Ako je neko konfigurisao brzinu na 100 na uplink prekidaču dok je vaš port automatski, imaćete loš dan. Auto-strana za pregovaranje vraća se na paralelnu detekciju, a taj mehanizam ne razvrstava parametre na graciozan način kako biste se nadali.
Loši SFP moduli. Naročito sa optičkim uplinkovima. Nisu svi primopredajnici dobri sa svim dobavljačima-neki prekidači postanu istinski izbirljivi u pogledu toga šta će prihvatiti u tim slotovima.
Ulazak u konfiguraciju interfejsa
Put do konfiguracionog režima interfejsa je dovoljno jednostavan na Cisco IOS. Počinjete tako što upisujete enable na početnom promptu, a zatim ulazite u konfiguracijski terminal da biste došli do globalnog konfiguracijskog moda. Odatle, navođenje interfejsa GigabitEthernet0/1 vodi vas u kontekst konfiguracije interfejsa za taj određeni port.
Kada ste tamo, podešavanje brzine i dupleksa je jednostavno. Brzina 1000 komanda zaključava port za gigabitni rad, dok duplex full osigurava dvosmjerni simultani prijenos. Većina administratora ostavlja oba parametra na automatski, što dobro funkcionira za pristupne portove koji se povezuju na radne stanice krajnjih{3}}korisnika. Moderni NIC-i upravljaju pregovorima bez drame. Ali među-linkovi za prebacivanje zaslužuju više razmišljanja-neki mrežni timovi ih hardkodiraju kako bi eliminisali još jednu varijablu tokom rješavanja problema.
Vrijedi napomenuti: kada zaključate brzinu 1000, port odbija sve sporije. Laptop sa pokvarenom NIC-om neće pasti na 100 Mbps; jednostavno se uopšte neće povezati. To je povremeno ponašanje koje želite. Često nije.

VLAN dodjela: pristupni portovi i trankovi
Ovdje konfiguracija postaje zanimljiva-i gdje se greške najbrže gomilaju.
Pristupni port pripada tačno jednom VLAN-u. Dolazni okviri stižu neoznačeni; prekidač ih povezuje sa bilo kojim VLAN-om koji ste naveli. Ovo postižete ulaskom u interfejs, izdavanjem pristupa režimu switchport da definišete tip porta, zatim switchport pristupom vlan 10 (ili bilo kog VLAN broja koji se primenjuje) da biste izvršili dodelu.
Trank portovi prenose saobraćaj za više VLAN-ova istovremeno. Svaki okvir dobiva 802.1Q zaglavlje koje identificira kojem VLAN-u pripada. Izuzetak je izvorni VLAN-njegovi okviri prelaze trunk neoznačeni. Konfiguracija uključuje postavljanje trunk režima switchport, zatim definiranje izvornog VLAN-a sa switchport trunk izvornog vlan-a 99, i konačno ograničavanje koje VLAN-ove prolaze kroz vezu koristeći switchport trunk dozvoljeni vlan praćen vašom zarezima-odvojenom listom VLAN ID-ova.
To je omogućilo da je specifikacija VLAN-a važnija nego što ljudi shvataju. Trankovi dozvoljavaju sve VLAN-ove prema zadanim postavkama-svaki pojedinačni od 1 do 4094. To je rijetko ono što želite. Orezujte agresivno.
Native VLAN Neskladi
Kada trunk prekidača A koristi izvorni VLAN 1, dok prekidač B koristi izvorni VLAN 99, neoznačeni okviri slijeću u različite VLAN sa svake strane. Izračuni razapinjućeg stabla postaju zbunjeni. Uređaji gube vezu na načine koji izgledaju gotovo nasumično.
CDP hvata ovo i evidentira upozorenje, ali zapravo morate pogledati dnevnike. I CDP treba biti omogućen, što neke sigurnosne politike zabranjuju. Dakle, neusklađenost ostaje tu, uzrokujući povremene čudnosti, sve dok neko konačno ne pomisli da uporedi konfiguracije.
Osnove sigurnosti luke
Sigurnost porta ograničava koje MAC adrese mogu slati promet kroz interfejs. Klasičan scenario: spriječiti nekoga da isključi svoj dodijeljeni desktop i umjesto toga poveže lični uređaj.
Podešavanje počinje omogućavanjem funkcije preko switchport porta-sigurnosti na interfejsu. Zatim definirate koliko MAC adresa port treba tolerirati-port porta-sigurnost maksimalno 2 dozvoljava dva uređaja. Sljedeće se specificira odgovor na kršenje; switchport port-isključivanje zbog kršenja sigurnosti govori prekidaču da u potpunosti onemogući port kada se pojave neovlašteni MAC-ovi. Konačno, switchport port-sigurnosna mac{9}}address sticky daje instrukcije prekidaču da dinamički uči adrese i upisuje ih u konfiguraciju koja radi.
Lepljiva opcija je zaista zgodna. Prekidač dinamički uči MAC adrese i upisuje ih u konfiguraciju koja radi. Nakon spremanja, te adrese preživljavaju ponovno pokretanje bez ručnog unosa.
Načini kršenja određuju šta će se dogoditi kada se pojavi neovlašteni MAC:
Isključivanje stavlja port u err-isključeno stanje. Saobraćaj se potpuno zaustavlja. Neko ga mora ručno oporaviti ili vam je potrebna EEM skripta koja rukuje automatskim oporavkom.
Ograničenje isključuje promet sa MAC-a koji je prekršio, ali održava portu operativnom. Syslog poruka bilježi događaj. Legitimni uređaj nastavlja sa radom.
Protect radi kao ograničenje, ali ne generira zapisnik. Tihi neuspjeh. Nisam fan-nećete znati da se ništa nije dogodilo dok se neko ne požali.
Glavobolja koja se ponavlja: IP telefoni sa računarima u nizu-uza njih. To su dvije MAC adrese kroz jedan port. Ako ste postavili maksimum na 1, port se isključuje u trenutku kada PC pošalje okvir. Uzmite u obzir scenarije glasovnog VLAN-a prilikom postavljanja ovih ograničenja.

Duplex Mismatches: The Quiet Performance Killer
Pogrešne konfiguracije punog{0}}dupleksa u odnosu na pola{1}}dupleksa ne prekidaju potpuno povezivanje. Postepeno ga degradiraju. Paketi se sudaraju kada ne bi trebali. Brojači kasnih sudara se penju. Retransmisije se akumuliraju. Korisnici navode da je "mreža spora", ali ping radi dobro i ništa očigledno nije pokvareno.
Provjerite brojače interfejsa pomoću naredbe show interface nakon koje slijedi specifični identifikator porta. Potražite kasne kolizije, greške u unosu, CRC greške, runts. Zdrav gigabitni port koji radi puni-dupleks pokazuje nule u ovim poljima. Sve ostalo treba istražiti.
Tipičan scenario neusklađenosti: jedna strana tvrdo kodirana na puni-dupleks, druga strana ostavljena na automatski. Automatska strana ne može pravilno odrediti dupleks način jer udaljeni kraj ne učestvuje u pregovorima. Zadano je polu{3}}dupleks kao sigurnosni rezervni. Sada imate jednu stranu koja istovremeno emituje i prima, dok druga strana misli da treba da sačeka tišinu pre slanja. Sudari se dešavaju konstantno.
Popravak je jednostavan: podudaranje postavki na oba kraja. Ili oba automatska, ili oba eksplicitno konfigurirana na iste vrijednosti.
Broadcast Storm Control
Emitovana oluja će apsolutno spljoštiti mrežu. Jedan pogrešno konfigurisan uređaj ili petlja za prebacivanje sa onemogućenim razapinjućim stablom preplavi tkaninu sa emitovanim saobraćajem. Svaki prekidač to replicira. Svaki port ga prosljeđuje. Iskorištenje CPU-a naglo raste u cijeloj infrastrukturi.
Kontrola oluje omogućava prigušivanje. U režimu konfiguracije interfejsa, specificirate nivo{1}}kontrole oluje praćenog postotkom-recimo 20.00-da biste ograničili saobraćaj emitovanja na tom pragu. Slične komande postoje za višestruki i jednosmjerni promet. Direktiva o gašenju akcije kontrole oluje govori prekidaču da onemogući port kada se prekorače pragovi; alternativno, trap generiše SNMP upozorenje dok održava port živim.
Nivo predstavlja postotak propusnog opsega porta. Kada saobraćaj emitiranja premaši 20% gigabitne veze-to je 200 Mbps emitiranja-port poduzima akciju. Isključivanje je agresivno, ali efikasno.
Ne konfigurišem kontrolu oluje na svakom pojedinačnom portu. To dodaje operativnu složenost. Ali za pristupne slojeve u nepredvidivim okruženjima-proizvodnja podova, univerzitetskih rezidencijalnih sala, konferencijskih sala-dokazano je da vrijedi više od jednom.
PortFast i BPDU Guard
Razdvojnom stablu potrebno je 30 do 50 sekundi za tranziciju porta sa blokiranja na prosljeđivanje. To kašnjenje štiti od petlji u preklopnim-ko-vezama gdje su promjene topologije važne. Za portove krajnjeg{6}}korisnika na koje neko samo želi da se uključi i dobije IP adresu, to je frustrirajuće.
PortFast zaobilazi stanja slušanja i učenja. Omogućavate ga na interfejsu sa brzim portom za razgranato{1}}drvo i port počinje sa prosljeđivanjem odmah nakon uspostavljanja veze.
Rizik: ako neko uključi neupravljani prekidač u taj port, potencijalno ste stvorili petlju. PortFast ne onemogućuje razapinjuće stablo-port i dalje obrađuje BPDU-ove. Ali promet prosljeđuje odmah umjesto da čeka.
BPDU Guard dodaje zaštitu. Omogućavanje putem razmjenskog-drveta bpduguard enable na interfejsu znači da svaki primljeni BPDU pokreće trenutno err-onemogućavanje. Ako BPDU stigne na ovaj port, nešto nije u redu-tamo ne bi trebao biti drugi prekidač. Dobit ćete upozorenje, ali mreža ostaje netaknuta.
Globalne zadane postavke automatski primjenjuju ove funkcije na sve pristupne portove. U globalnom konfiguracijskom modu, spanning-tree portfast default omogućava PortFast univerzalno, dok spanning-tree portfast bpduguard default aktivira BPDU Guard na tim istim portovima. Trank portovi su isključeni iz ovih zadanih postavki. To je razumna osnova za pristupne slojeve preduzeća.

EtherChannel: Agregiranje veza
Kada jedna gigabitna veza ne pruža dovoljno propusnog opsega između prekidača, EtherChannel spaja više fizičkih portova u jedan logički interfejs. Dva, četiri ili osam portova agregiranih zajedno, koji se pojavljuju kao jedna veza za proračune razapetog stabla.
LACP upravlja pregovorima koristeći standard 802.3ad. Odabirete fizičke interfejse-koristeći opseg interfejsa GigabitEthernet0/1 - 4 da konfigurišete više portova istovremeno-a zatim ih dodijelite grupi kanala s aktivnim načinom rada grupe 1 kanala-. Nakon izlaska iz konfiguracije opsega, konfigurišete sam logički interfejs tako što ćete uneti port interfejsa-kanal1 i primeniti željena podešavanja, obično switchport mod trunk za među-veze za prebacivanje.
Udaljenom kraju je potrebna odgovarajuća konfiguracija. Aktivno-aktivno radi. Aktivni-pasivni radovi. Pasivna-pasivna ne-obje strane zauvijek čekaju da druga započne.
Distribucija saobraćaja preko linkova članova koristi hash algoritam, obično zasnovan na izvornoj-odredišnoj MAC ili IP adresi. Pojedinačni tokovi i dalje prolaze kroz pojedinačne fizičke veze; prekidač ne dijeli TCP sesije na više putanja. Veliki prijenos datoteka između dva servera koristi jednu vezu člana bez obzira na to koliko ste ih udružili.
Voice VLAN konfiguracija
IP telefoni dodaju složenost. Telefonu je potrebno postavljanje na glasovni VLAN za QoS tretman, dok PC povezan preko svog prolaznog porta treba da sleti na podatkovni VLAN. Oba uređaja dijele jedan fizički port prekidača.
Konfiguracija uključuje postavljanje porta kao pristupnog porta sa pristupom u switchport modu, dodjelu podatkovnog VLAN-a preko switchport access vlan-a 10, a zatim posebno specificiranje glasovnog VLAN-a koristeći switchport glasovni vlan 50. Telefon prima svoju VLAN dodjelu preko CDP-a ili LLDP-MED-a i označava svoj promet u skladu s tim. Računar šalje neoznačene okvire koji dolaze u podatkovni VLAN. Sve radi preko jednog kabla.
To znači dvije MAC adrese na jednom portu. Sigurnosne postavke porta moraju prihvatiti oba, ili ćete potrošiti vrijeme na obnavljanje greškom-onemogućenih interfejsa svaki put kada objekti pomjere sto.
Automatski{0}}MDIX
Ranije su bili važni ukršteni kablovi u odnosu na pravi{0}}prolaz. Spojite prekidač na prekidač sa pravim-kablom na starijoj opremi i veza se neće pojaviti-trebao vam je crossover.
Moderni Gigabit Ethernet interfejsi sa automatskim-MDIX-om otkrivaju potrebno ožičenje i interno kompenzuju. Funkcija se kontroliše preko mdix auto u režimu konfiguracije interfejsa, a podrazumevano je omogućena na najnovijem Cisco hardveru. Nekoj zastarjeloj opremi i određenoj opremi koja nije-Cisco nedostaje ova funkcija. Ako veza odbije da se uspostavi i isključili ste oštećenje kabla, pokušajte da se prebacite na skretnicu pre nego što pretpostavite kvar porta.
Korisne naredbe za verifikaciju
Komande koje stalno izvodim:
Komanda statusa show interfaces pruža brzi pregled-povezanog naspram nekonektivnog, dodjelu VLAN-a, brzinu, dupleks na svim portovima u jednom prikazu.
Pokretanje show interfejsa praćenih specifičnim identifikatorom porta daje detaljne brojače: ulazno/izlazne pakete, greške, spuštanje reda, vrijeme posljednjeg brisanja.
Komanda interfejsa tabele show mac address- praćena portom otkriva koje su MAC adrese naučene na tom interfejsu.
Za stanje razdvojenog stabla, prikaži interfejs -drveta razapinjućeg stabla prikazuje STP ulogu porta i cijenu putanje.
Komanda show interfaces trunk navodi sve aktivne trankove sa njihovim dozvoljenim i aktivnim VLAN-ovima.
Sigurnosni status porta dolazi iz sigurnosnog interfejsa show port-, koji prijavljuje broj kršenja i trenutno naučene adrese.
Možete usmjeriti izlaz kroz uključivanje za filtriranje. Izvođenje naredbe statusa sa cijevi za uključivanje povezanih prikazuje samo portove s aktivnim vezama. Čuva skrolovanje kroz stranice onemogućenih interfejsa.
Oporavak Err-onemogućenih portova
Port prikazuje grešku-onemogućeno. Prije nego što ga odskočite, shvatite zašto. Naredba show interfaces status otkriva trenutno stanje, dok show errdisable recovery prikazuje koji su mehanizmi oporavka konfigurirani i njihovi tajmeri.
Uobičajeni okidači uključuju kršenja sigurnosti porta, aktivaciju BPDU Guard-a, prekomjerno klapanje veze i kvarove UDLD-a koji otkrivaju probleme s jednosmjernim vlaknima.
Automatski oporavak se može konfigurirati u načinu globalne konfiguracije. Naredba errdisable recovery reason all omogućava automatski oporavak za sve tipove okidača, dok interval oporavka koji se može isključiti 300 postavlja tajmer ponovnog pokušaja na 300 sekundi.
Bez konfigurisanog automatskog oporavka, potrebna je ručna intervencija. Unesite kontekst konfiguracije interfejsa, izdajte gašenje da biste administrativno onemogućili port, a zatim bez isključivanja da biste ga ponovo pokrenuli.
Slijepo ponovno{0}}omogućavanje bez istrage garantuje da ćete to uskoro ponoviti. Ako se BPDU Guard aktivira, neko je uključio prekidač. Ako se aktivira zaštita porta, pojavio se neovlašteni uređaj. Osnovni uzrok treba da se riješi.
Završna zapažanja
Konfiguracija GB porta nije konceptualno složena, ali detalji se akumuliraju. Propuštena dodjela VLAN-a, neispravna postavka trank-a, sigurnosno ograničenje porta koje ne uzima u obzir IP telefon-mali previdi kaskadiraju u značajne prekide.
Dokumentirajte svoje konfiguracije. Jasno označite fizičke portove. Napravite šablone za uobičajene scenarije i dosljedno ih primijenite.
Testirajte promjene tokom perioda održavanja kad god je to moguće. To je očigledan savet. To je također savjet koji sam zanemario u 15:00 nasumično utorkom, s potpuno predvidljivim rezultatima.


