GUIDA ALL'AMMINISTRAZIONE Guida all'amministrazione degli switch gestiti stackable Cisco Small Business serie 500
1 Sommario Sommario Capitolo 1: Sommario 1 Capitolo 2: Introduzione 11 Avvio dell'utilità di configurazione basata sul Web 11 Configurazione rapida del dispositivo 15 Convenzioni relative ai nomi dell'interfaccia 16 Differenze tra i dispositivi 500 16 Esplorazione delle finestre 17 Capitolo 3: Stato e statistiche 21 Riepilogo di sistema 21 Interfacce Ethernet 21 Statistiche Etherlike 23 Statistiche GVRP 24 Statistiche 802.
1 Sommario Capitolo 5: Amministrazione: Gestione file 41 File di sistema 41 Aggiornamento/Backup del firmware/Lingua 44 Immagine attiva 48 Download/Configurazione backup/Log 49 Proprietà file di configurazione 54 Copia/Salva configurazione 55 Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP 56 Capitolo 6: Amministrazione: gestione stack 66 Panoramica 66 Tipi di unità in stack 68 Topologia stack 69 Assegnazione ID unità 70 Processo di selezione dell'un
1 Sommario Gestione di stack e modalità di sistema 99 Account utente 99 Definizione di timeout sessione inattiva 99 Impostazioni ora 100 Log di sistema 100 Gestione dei file 100 Riavvio del dispositivo 100 Risorse di routing 102 Salute 106 Diagnostica 108 Rilevamento - Bonjour 108 Rilevamento - LLDP 108 Rilevamento - CDP 108 Ping 108 Traceroute 110 Capitolo 8: Amministrazione: Impostazioni relative all'ora 111 Opzioni Ora di sistema 111 Modalità SNTP 113 Configurazione
1 Sommario Configurazione di LLDP 132 Configurazione CDP 152 Statistiche CDP 159 Capitolo 11: Gestione porte 161 Configurazione delle porte 161 Rilevamento loopback 166 Aggregazione collegamenti 168 UDLD 176 PoE 176 Configurazione di Ethernet verde 176 Capitolo 12: Gestione delle porte: Rilevamento del collegamento unidirezionale Panoramica della funzione UDLD 184 Funzionamento di UDLD 185 Indicazioni di utilizzo 187 Dipendenze da altre funzioni 188 Impostazioni predefinite e c
1 Sommario Smartport automatico 200 Gestione degli errori 203 Configurazione predefinita 203 Relazioni con altre funzioni e retrocompatibilità 204 Attività comuni con Smartport 204 Configurare Smartport tramite l'interfaccia basata su Web 207 Macro Smartport integrate 211 Capitolo 14: Gestione delle porte: PoE 223 PoE sul dispositivo 223 Proprietà di PoE 226 Impostazioni PoE 227 Capitolo 15: Gestione VLAN 230 Panoramica 230 VLAN regolari 239 Impostazioni VLAN privata 247 Impo
1 Sommario VLAN a istanza MSTP 280 Impostazioni istanza MSTP 281 Impostazioni interfaccia MSTP 281 Capitolo 17: Gestione tabelle Indirizzi MAC 284 Indirizzi MAC statici 285 Indirizzi MAC dinamici 286 Indirizzi MAC riservati 287 Capitolo 18: Multicast 288 Reindirizzamento multicast 288 Proprietà multicast 293 Indirizzo gruppo MAC 293 Indirizzi IP gruppo multicast 295 Configurazione multicast IPv4 296 Configurazione multicast IPv6 302 Gruppo IP Multicast snooping IGMP/MLD 307 P
1 Sommario Capitolo 20: Configurazione IP: RIPv2 370 Panoramica 370 Funzionamento del protocollo RIP sul dispositivo 371 Configurazione del RIP 376 Capitolo 21: Configurazione IP: VRRP 382 Panoramica 382 Elementi configurabili di VRRP 385 Configurazione del protocollo VRRP 388 Capitolo 22: Protezione 391 Definizione degli utenti 392 Configurazione del protocollo TACACS+ 395 Configurazione del RADIUS 399 Gestione delle chiavi 403 Metodo di accesso a gestione 406 Autenticazione d
1 Sommario Capitolo 23: Protezione: autenticazione 802.1x 440 Panoramica di 802.1X 440 Panoramica sull'autenticatore 443 Attività comuni 452 Configurazione 802.
1 Sommario Attività comuni 506 Configurazione del client SSH con l'interfaccia utente 508 Capitolo 26: Protezione: Server SSH 512 Panoramica 512 Attività comuni 513 Pagine di configurazione del server SSH 514 Capitolo 27: Protezione: gestione sicura dei dati sensibili 517 Introduzione 517 Regole SSD 518 Proprietà SSD 523 File di configurazione 525 Canali di gestione SSD 530 CLI del menu e ripristino password 531 Configurazione dell'SSD 531 Capitolo 28: Controllo di accesso 534
1 Sommario Capitolo 30: SNMP 581 Versioni e flusso di lavoro di SNMP 581 OID del modello 584 ID motore SNMP 585 Configurazione Viste SNMP 586 Creazione di gruppi SNMP 588 Gestione degli utenti SNMP 589 Definizione delle comunità SNMP 591 Definizione delle impostazioni trap 593 Destinatari delle notifiche 593 Filtri di notifica SNMP 598 Guida all'amministrazione degli switch gestiti stackable Cisco Small Business serie 500 10
2 Introduzione Questa sezione fornisce un'introduzione all'utilità di configurazione basata sul Web e include i seguenti argomenti: • Avvio dell'utilità di configurazione basata sul Web • Configurazione rapida del dispositivo • Convenzioni relative ai nomi dell'interfaccia • Differenze tra i dispositivi 500 • Esplorazione delle finestre Avvio dell'utilità di configurazione basata sul Web In questa sezione viene descritto come esplorare l'utilità di configurazione dello switch basata sul Web.
Introduzione Avvio dell'utilità di configurazione basata sul Web 2 NOTA Se il dispositivo utilizza l'indirizzo IP predefinito 192.168.1.254, il LED di alimentazione continua a lampeggiare. Se il dispositivo utilizza un indirizzo IP assegnato da un server DHCP o un indirizzo IP statico configurato dall'amministratore, il LED di alimentazione rimane acceso in modo fisso. Accesso Il nome utente predefinito è cisco e la password predefinita è cisco.
Introduzione Avvio dell'utilità di configurazione basata sul Web 2 Se si immette un nome utente o una password errati, viene visualizzato un messaggio di errore e la pagina Accesso rimane visualizzata nella finestra. Se si riscontrano problemi durante l'accesso, vedere la sezione Lancio dell'utilità di configurazione della Guida all'amministrazione per ulteriori informazioni.
Introduzione Avvio dell'utilità di configurazione basata sul Web 2 Quando il dispositivo rileva automaticamente un dispositivo, ad esempio un telefono IP (vedere Descrizione di uno Smartport), procede con la configurazione della porta in modo appropriato per il dispositivo. Questi comandi di configurazione vengono scritti nel file Configurazione di esecuzione. Questo fa sì che l'icona Salva inizi a lampeggiare quando l'utente accede anche se l'utente non ha apportato modifiche alla configurazione.
2 Introduzione Configurazione rapida del dispositivo Configurazione rapida del dispositivo Per semplificare la configurazione del dispositivo attraverso una navigazione rapida, la pagina Introduzione fornisce collegamenti alle pagine più utilizzate.
Introduzione Convenzioni relative ai nomi dell'interfaccia 2 Convenzioni relative ai nomi dell'interfaccia All'interno dell'interfaccia utente, le interfacce sono identificate dalla concatenazione dei seguenti elementi: • Tipo di interfaccia: sui vari tipi di dispositivo si trovano i seguenti tipi di interfaccia: - Fast Ethernet (10/100 bit): visualizzata come FE. - Porte Gigabit Ethernet (10/100/1000 bit): visualizzate come GE. - Porte 10 Gigabit Ethernet (10000 bit): visualizzate come XG.
Introduzione Esplorazione delle finestre 2 Esplorazione delle finestre In questa sezione vengono descritte le funzioni dell'utilità di configurazione dello switch basata sul Web. Intestazione applicazione L'intestazione dell'applicazione viene visualizzata in ogni pagina.
2 Introduzione Esplorazione delle finestre Nome collegamento all'applicazione Descrizione Menu lingua Nel menu sono disponibili le seguenti opzioni: • Selezionare una lingua: consente di selezionare una delle lingue disponibili nel menu. La lingua selezionata diventerà la lingua utilizzata dell'utilità di configurazione Web. • Scarica lingua: consente di aggiungere una nuova lingua al dispositivo. • Elimina lingua: consente di eliminare la seconda lingua sul dispositivo.
Introduzione Esplorazione delle finestre 2 Pulsanti di gestione Nella tabella seguente vengono descritti i pulsanti più utilizzati visualizzati nelle diverse pagine del sistema. Nome pulsante Descrizione Utilizzare il menu a tendina per configurare il numero di voci per pagina. Indica un campo obbligatorio. Aggiungi Fare clic per visualizzare la pagina Aggiungi correlata e aggiungere una voce alla tabella. Immettere le informazioni e fare clic su Applica per salvarle nella Configurazione di esecuzione.
Introduzione Esplorazione delle finestre Nome pulsante Descrizione Chiudi Torna alla pagina principale. Se alcune modifiche non sono state applicate alla configurazione di esecuzione, viene visualizzato un messaggio. Copia impostazioni Di solito una tabella contiene una o più voci con impostazioni della configurazione. Anziché modificare ogni voce singolarmente, è possibile modificare una voce e copiarla in più voci, come descritto di seguito: 2 1. Selezionare la voce da copiare.
3 Stato e statistiche In questa sezione viene descritto come visualizzare le statistiche del dispositivo. Vengono trattati i seguenti argomenti: • Riepilogo di sistema • Interfacce Ethernet • Statistiche Etherlike • Statistiche GVRP • Statistiche 802.1X EAP • Statistiche ACL • Utilizzo di TCAM • Integrità • RMON • Visualizza log Riepilogo di sistema Vedere la sezione Impostazioni di sistema.
Stato e statistiche Interfacce Ethernet 3 Per visualizzare le statistiche Eternet e/o selezionare una frequenza di aggiornamento, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Stato e statistiche > Interfaccia. PASSAGGIO 2 Immettere i parametri. • Interfaccia: selezionare il tipo di interfaccia e l'interfaccia specifica di cui è necessario visualizzare le statistiche Ethernet.
Stato e statistiche Statistiche Etherlike 3 Statistiche Etherlike Nella pagina Etherlike vengono visualizzate le statistiche per porta in base alla definizione standard MIB Etherlike. È possibile selezionare la frequenza di aggiornamento delle informazioni. In questa pagina vengono fornite informazioni più dettagliate relative agli errori nel livello fisico (Livello1), che potrebbero compromettere il traffico.
Stato e statistiche Statistiche GVRP 3 Statistiche GVRP Nella pagina GVRP vengono visualizzate le informazioni relative ai frame GVRP (GARP VLAN Registration Protocol) inviati o ricevuti da una porta. GVRP è un protocollo di rete Livello 2 basato sugli standard, per la configurazione automatica delle informazioni sulla VLAN degli switch. È definito nell'emendamento 802.1ak per 802.1Q-2005. Le statistiche di GVRP per una porta vengono visualizzate solo se GVRP è attivato a livello globale e nella porta.
3 Stato e statistiche Statistiche 802.1X EAP Per cancellare i contatori delle statistiche, attenersi alla seguente procedura: • Scegliere Cancella contatori interfaccia per cancellare i contatori selezionati. • Fare clic su Visualizza tutte le statistiche delle interfacce per vedere tutte le porte su una singola pagina. Statistiche 802.1X EAP Nella pagina 802.1x EAP vengono visualizzate le informazioni dettagliate sui frame EAP (Extensible Authentication Protocol) inviati o ricevuti.
3 Stato e statistiche Statistiche ACL • Ultima versione frame EAPOL: numero versione di protocollo associato al frame EAPOL ricevuto più di recente. • Ultima origine frame EAPOL: indirizzo MAC di origine associato al frame EAPOL ricevuto più di recente. Per cancellare i contatori delle statistiche, attenersi alla seguente procedura: • Fare clic su Cancella contatori interfaccia per cancellare i contatori interfaccia selezionati.
Stato e statistiche Utilizzo di TCAM 3 Utilizzo di TCAM L'architettura del dispositivo utilizza una TCAM (Ternary Content Addressable Memory) per supportare le azioni del pacchetto a velocità wire-speed. TCAM mantiene le regole generate dalle applicazioni, come ACL (Access Control Lists), QoS (Quality of Service), routing IP e le regole create dall'utente. Alcune applicazioni allocano regole al loro avvio.
Stato e statistiche Integrità • 3 Regole non IP - In uso: numero di voci TCAM usate per regole non IP. - Massimo: numero di voci TCAM disponibili che possono essere usate per regole non IP. Per scoprire come modificare l'allocazione tra i vari processi (per la serie 500), vedere la sezione Risorse router. Integrità Vedere la sezione Salute.
3 Stato e statistiche RMON Statistiche RMON Nella pagina Statistiche vengono visualizzate informazioni dettagliate sulle dimensioni dei pacchetti e sugli errori del livello fisico. Le informazioni vengono visualizzate secondo lo standard RMON. Un pacchetto sovradimensionato viene definito come un frame Ethernet con i seguenti criteri: • La lunghezza del pacchetto è superiore alla dimensione in byte di MRU. • Non è stato rilevato un evento di collisione.
Stato e statistiche RMON • 3 Jabber: pacchetti ricevuti con lunghezza superiore ai 1632 ottetti. Questo numero esclude i bit raggruppati in frame, ma include gli ottetti FCS che avevano un FCS (Frame Check Sequence) errato con un numero integrale di ottetti (errore FCS) o un FCS con un numero non integrale di ottetti (errore di allineamento). Un pacchetto Jabber è definito come un frame Ethernet che soddisfa i criteri seguenti: - La lunghezza dei dati del pacchetto è maggiore di MRU.
3 Stato e statistiche RMON Per immettere le informazioni sul controllo RMON, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Stato e statistiche > RMON > Cronologia. I campi visualizzati in questa pagina sono definiti nella pagina Aggiungi cronologia RMON di seguito.
Stato e statistiche RMON 3 Vengono visualizzati i campi del campionamento selezionato. • Titolare: voce della tabella della cronologia. • N. campionamento: statistiche acquisite da questo campionamento. • Eventi di eliminazione: pacchetti eliminati a causa della mancanza di risorse di rete durante l'intervallo di campionamento. Non è possibile indicare il numero esatto di pacchetti eliminati però è possibile indicare il numero di volte in cui sono stati rilevati pacchetti eliminati.
3 Stato e statistiche RMON Per definire gli eventi RMON, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Stato e statistiche > RMON > Eventi. In questa pagina vengono visualizzati gli eventi definiti in precedenza. I campi in questa pagina sono definiti dalla finestra di dialogo Aggiungi eventi RMON ad eccezione del campo Ora. • Ora: mostra l'ora dell'evento (si tratta una tabella di sola lettura nella finestra principale che non può essere definita). PASSAGGIO 2 Fare clic su Aggiungi.
3 Stato e statistiche RMON Log degli eventi RMON Nella pagina Tabella Log evento viene mostrato il log degli eventi (azioni) che si sono verificati. È possibile registrare due tipi di eventi: Log o Log e Trap. L'azione specificata per l'evento viene eseguita quando l'evento è associato a un allarme (vedere la pagina Allarmi) e si sono verificate le condizioni dell'allarme. PASSAGGIO 1 Scegliere Stato e statistiche > RMON > Eventi. PASSAGGIO 2 Fare clic su Tabella Log evento.
3 Stato e statistiche Visualizza log • N. voce allarme: viene indicato il numero della voce dell'allarme. • Interfaccia: selezionare il tipo di interfaccia di cui vengono visualizzate le statistiche RMON. • Nome contatore: selezionare la variabile MIB che indica il tipo di occorrenza misurata. • Valore contatore: numero di occorrenze. • Tipo di campionamento: selezionare il metodo di campionamento per generare un allarme.
4 Amministrazione: Log di sistema In questa sezione viene descritta la registrazione dei log di sistema che consente al dispositivo di generare più log indipendenti. Ogni log è una serie di messaggi che descrivono gli eventi del sistema. Il dispositivo genera i seguenti log locali: • Log inviato all'interfaccia della console. • Log scritto in un elenco ciclico di eventi registrati nella RAM che viene cancellato quando al riavvio del dispositivo.
Amministrazione: Log di sistema Configurazione delle impostazioni log di sistema • Errore: il sistema è in una condizione di errore. • Avviso: è stato generato un avviso per il sistema. • Notifica: il sistema funziona correttamente, ma è stata generata una notifica per il sistema. • Informativo: informazioni sul dispositivo. • Debug: informazioni dettagliate su un evento. 4 È possibile selezionare diversi livelli di gravità per RAM e log Flash.
Amministrazione: Log di sistema Configurazione delle impostazioni di registrazione remote • 4 Registrazione memoria Flash: selezionare i livelli di gravità dei messaggi da registrare nella memoria Flash. PASSAGGIO 3 Fare clic su Applica. Il file Configurazione di esecuzione viene aggiornato. Configurazione delle impostazioni di registrazione remote Nella pagina Server di log remoti è possibile definire i server SYSLOG remoti a cui vengono inviati i messaggi di log.
Amministrazione: Log di sistema Visualizzazione dei log memoria 4 • Interfaccia locale collegamento: selezionare l'interfaccia locale collegamento (se Collega locale Tipo di indirizzo IPv6 è selezionato) dall'elenco. • Indirizzo IP/Nome server dei log: immettere l'indirizzo IP o il nome di dominio del server dei log. • Porta UDP: immettere la porta UDP a cui vengono inviati i messaggi di log.
Amministrazione: Log di sistema Visualizzazione dei log memoria 4 In questa pagina vengono visualizzati i seguenti campi per tutti i file di log. • Indice dei log: numero voce del log. • Ora di log: ora in cui è stato generato il messaggio. • Gravità: gravità evento. • Descrizione: messaggio di testo che descrive l'evento. Per cancellare i messaggi di log, fare clic su Cancella log. I messaggi vengono cancellati.
5 Amministrazione: Gestione file In questa sezione viene descritta la modalità di gestione dei file di sistema e vengono trattati i seguenti argomenti: • File di sistema • Aggiornamento/Backup del firmware/Lingua • Immagine attiva • Download/Configurazione backup/Log • Proprietà file di configurazione • Copia/Salva configurazione • Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP File di sistema I file di sistema sono file che contengono le informazioni sulla conf
Amministrazione: Gestione file File di sistema 5 Il riferimento a una configurazione nel dispositivo è dato dal tipo di file di configurazione (ad esempio configurazione di avvio o configurazione di esecuzione) e non da un nome file che può essere modificato dall'utente. I contenuti possono essere copiati da un tipo di file di configurazione all'altro ma i nomi dei tipi di file non possono essere modificati dall'utente.
Amministrazione: Gestione file File di sistema 5 • Configurazione di backup: una copia manuale di un file di configurazione utilizzato per la protezione contro l'arresto del sistema o per il mantenimento di uno stato operativo specifico. È possibile copiare la Configurazione mirror, la Configurazione di avvio o la Configurazione di esecuzione in un file di Configurazione di backup. La Configurazione di backup è presente in Flash e viene mantenuta anche se il dispositivo viene riavviato.
Amministrazione: Gestione file Aggiornamento/Backup del firmware/Lingua 5 Aggiornamento/Backup del firmware/Lingua La procedura di Aggiornamento/Backup del firmware/Lingua può essere utilizzata per: • Eseguire l'aggiornamento o il backup dell'immagine firmware. • Eseguire l'aggiornamento o il backup del codice di avvio. • Importare o aggiornare un secondo file di lingua. Sono supportati i seguenti metodi di trasferimento dei file: • HTTP/HTTPS, che utilizza le risorse fornite dal browser.
Amministrazione: Gestione file Aggiornamento/Backup del firmware/Lingua 5 Anche dopo aver caricato il nuovo firmware, il dispositivo continuerà a essere riavviato con l'immagine attiva (la versione precedente) fino a quando la nuova immagine non viene impostata come immagine attiva, mediante la procerdura descritta nella sezione Immagine attiva. Avviare, quindi, il dispositivo. NOTA Se il dispositivo funziona in modalità stack, il nuovo firmware viene caricato su tutte le unità dello stack.
Amministrazione: Gestione file Aggiornamento/Backup del firmware/Lingua • 5 Tipo di indirizzo IPv6: selezionare il tipo di indirizzo IPv6 (se IPv6 viene utilizzato). Sono disponibili le seguenti opzioni: - Collega locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale di collegamento presenta un prefisso FE80, non è instradabile e può essere utilizzato solo per le comunicazioni sulla rete locale.
Amministrazione: Gestione file Aggiornamento/Backup del firmware/Lingua 5 Autenticazione del client SSH: l'autenticazione client può essere eseguita in uno dei seguenti modi: • Utilizza credenziali di sistema client SSH: imposta le credenziali utente SSH definitive. Fare clic su Credenziali di sistema per accedere alla pagina Autenticazione degli utenti SSH in cui è possibile impostare il nome utente e la password da utilizzare in futuro.
Amministrazione: Gestione file Immagine attiva 5 PASSAGGIO 6 Fare clic su Applica. Se i file, le password e gli indirizzi server sono corretti, può verificarsi uno dei seguenti scenari: • Se l'autenticazione del server SSH è attiva (nella pagina Autenticazione server SSH) e il server SCP è attendibile, l'operazione ha esito positivo. Se il server SCP non è attendibile, l'operazione non sarà completata e verrà visualizzato un errore.
Amministrazione: Gestione file Download/Configurazione backup/Log 5 Download/Configurazione backup/Log La pagina Download/Configurazione backup/Log consente di: • Eseguire il backup dei file di configurazione o dei log dal dispositivo a un dispositivo esterno. • Ripristinare i file di configurazione da un dispositivo esterno al dispositivo. NOTA Se il dispositivo funziona in modalità stack, i file di configurazione vengono acquisiti dall'unità master.
Amministrazione: Gestione file Download/Configurazione backup/Log - 5 Se il file di configurazione viene scaricato durante un processo di configurazione automatica, il file di configurazione avvio viene eliminato e il dispositivo viene riavviato automaticamente nella nuova modalità di sistema. Il dispositivo viene configurato con un file di configurazione vuoto. Per una descrizione di ciò che accade quando si modificano le modalità stack, vedere la sezione Configurazione dopo il riavvio.
Amministrazione: Gestione file Download/Configurazione backup/Log f. 5 Nome file di origine: immettere il nome del file di origine. I nomi dei file non possono contenere barre (\ or /), non possono iniziare con un punto (.) e la lunghezza deve essere compresa tra 1 e 160 caratteri (caratteri validi: A-Z, a-z, 0-9, ".", "-", "_"). g. Tipo file di destinazione: immettere il tipo di file di configurazione di destinazione.
Amministrazione: Gestione file Download/Configurazione backup/Log i. 5 Fare clic su Applica. Viene eseguito l'aggiornamento o il backup del file. PASSAGGIO 4 Se è stato selezionato il metodo tramite HTTP/HTTPS, immettere i parametri come descritto in questo passaggio. Selezionare Salva azione. Se l'opzione Salva azione è impostata su Scarica (sostituzione del file nel dispositivo con una nuova versione proveniente da un altro dispositivo), attenersi alla seguente procedura.
Amministrazione: Gestione file Download/Configurazione backup/Log 5 Autenticazione del client SSH: l'autenticazione client può essere eseguita in uno dei seguenti modi: • Utilizza le credenziali di sistema client SSH: imposta le credenziali utente SSH definitive. Fare clic su Credenziali di sistema per accedere alla pagina Autenticazione degli utenti SSH in cui è possibile impostare il nome utente e la password da utilizzare in futuro.
Amministrazione: Gestione file Proprietà file di configurazione • 5 Dati sensibili: selezionare il modo in cui i dati sensibili devono essere inclusi nel file di backup. Sono disponibili le seguenti opzioni: - Escludi: non includere i dati sensibili nel backup. - Con crittografia: includere i dati sensibili nel backup in forma crittografata. - Testo normale: includere i dati sensibili nel backup in forma testo normale.
Amministrazione: Gestione file Copia/Salva configurazione 5 Copia/Salva configurazione Quando si fa clic su Applica in qualsiasi finestra, le modifiche apportate alle impostazioni di configurazione del dispositivo vengono memorizzate solo nella configurazione di esecuzione. Per conservare i parametri nella Configurazione di esecuzione, è necessario copiare la Configurazione di esecuzione in un altro tipo di configurazione oppure salvarla in un altro dispositivo.
Amministrazione: Gestione file Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP 5 NOTA Le opzioni disponibili per i dati sensibili sono determinate dalle regole SSD dell'utente corrente. Per i dettagli, consultare la pagina Gestione sicura dei dati sensibili > Regole SSD. PASSAGGIO 5 Il campo Icona di salvataggio lampeggiante indica che l'icona lampeggia quando ci sono dati non salvati.
Amministrazione: Gestione file Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP 5 Oltre alla capacità di tenere aggiornati i dispositivi nella rete con gli ultimi file di configurazione e l'ultima immagine firmware, la funzione Configurazione automatica/Aggiornamento automatico consente di installare rapidamente nuovi dispositivi sulla rete, poiché il dispositivo nuovo è configurato per recuperare il file di configurazione e l'immagine software dalla rete senza nessun interven
Amministrazione: Gestione file Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP 5 NOTA I parametri di autenticazione client SSH possono essere utilizzati anche quando si scarica un file manualmente (vale a dire un download che non viene eseguito tramite la funzione Configurazione automatica DHCP/Aggiornamento automatico dell'immagine).
Amministrazione: Gestione file Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP 5 Avvio configurazione automatica: • Il dispositivo utilizza l'indirizzo/il nome del server TFTP/SCP e il percorso/nome del file di configurazione (opzioni DHCPv4: 66,150 e 67; opzioni DHCPv6: 59 e 60), se presenti, nel messaggio DHCP ricevuto.
Amministrazione: Gestione file Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP 5 Attivazione Configurazione automatica/Aggiornamento automatico dell'immagine La procedura di Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCPv4 viene attivata quando vengono soddisfatte le seguenti condizioni: • L'indirizzo IP del dispositivo viene assegnato/rinnovato in modo dinamico al riavvio del dispositivo oppure rinnovato in forma esplicita mediante l'intervent
Amministrazione: Gestione file Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP 5 Garantire prestazioni adeguate Per garantire un'adeguata esecuzione della funzione Configurazione automatica/Aggiornamento automatico dell'immagine, tenere presente quanto segue: • Un file di configurazione sul server TFTP/SCP deve corrispondere ai requisiti di formato del file di configurazione supportato.
Amministrazione: Gestione file Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP 5 Operazioni di preparazione per la procedura di Configurazione automatica sul server Per preparare i server DHCP e TFTP/SCP, attenersi alla seguente procedura: Server TFTP/SCP • Posizionare un file di configurazione nella directory di lavoro. Tale file può essere creato copiando un file di configurazione da un dispositivo.
Amministrazione: Gestione file Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP 5 Flusso di lavoro client DHCP PASSAGGIO 1 Configurare i parametri di Configurazione automatica e/o Aggiornamento automatico dell'immagine nella pagina Amministrazione > Gestione file > Configurazione automatica DHCP/Aggiornamento automatico dell'immagine.
Amministrazione: Gestione file Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP • 5 Protocollo di download: selezionare una delle opzioni riportate di seguito. - Automatico per estensione del file: selezionare l'opzione per indicare che l'aggiornamento automatico utilizza il protocollo TFTP o SCP, a seconda dell'estensione del file immagine. Selezionando questa opzione, non sarà necessario indicare l'estensione del file immagine.
Amministrazione: Gestione file Configurazione automatica/Aggiornamento automatico dell'immagine tramite DHCP 5 • Indirizzo IP/Nome server di backup: immettere l'indirizzo IP o il nome del server di backup. • Nome file di configurazione per backup: immettere il nome del file di configurazione per il backup. • Nome file immagine indiretto per backup: immettere il nome del file immagine indiretto da utilizzare. Questo è un file che presenta il percorso all'immagine.
6 Amministrazione: gestione stack In questa sezione viene descritta la modalità di gestione degli stack Vengono trattati i seguenti argomenti: • Panoramica • Tipi di unità in stack • Topologia stack • Assegnazione ID unità • Processo di selezione dell'unità master • Modifiche dello stack • Malfunzionamento dell'unità in stack • Sincronizzazione automatica del software in stack • Modalità dell'unità stack • Porte stack • Configurazione predefinita • Interazioni con altre funzioni •
Amministrazione: gestione stack Panoramica 6 Di seguito viene riportato un esempio di otto dispositivi collegati in stack: Architettura stack (topologia a catena) Uno stack offre i seguenti vantaggi: • La capacità di rete può essere potenziata o ridotta in modo dinamico. Aggiungendo un'unità l'amministratore può aumentare il numero di porte nello stack in maniera dinamica, mantenendo una gestione unificata. In modo analogo, le unità possono essere rimosse per ridurre la capacità di rete.
Amministrazione: gestione stack Tipi di unità in stack 6 Tipi di unità in stack Uno stack è formato da massimo otto unità. In uno stack l'unità può essere di due tipi: • Master: l'ID dell'unità master deve essere 1 o 2. Lo stack è gestito dall'unità master che si autogestisce, dall'unità di backup e dalle unità dipendenti. • Backup: se l'unità master non funziona, l'unità di backup assume il ruolo di master (commutazione). L'ID dell'unità di backup deve essere 1 o 2.
Amministrazione: gestione stack Topologia stack 6 Topologia stack Tipi di topologia stack Le unità in uno stack possono essere collegate in uno dei seguenti tipi di topologie: • Topologia a catena: ogni unità è collegata all'unità adiacente, ma senza una connessione tramite cavo tra la prima e l'ultima unità. Vedere “Architettura stack (topologia a catena)” in cui viene illustrata una topologia a catena. • Topologia ad anello: ogni unità è collegata all'unità adiacente.
Amministrazione: gestione stack Assegnazione ID unità 6 • Suddivisione dello stack. • Inserimento nello stack di altre unità dipendenti (ad esempio, perché in precedenza le unità non erano collegate allo stack a causa di un malfunzionamento). Ciò può verificarsi in una topologia a catena se un'unità centrale dello stack non funziona. Durante il rilevamento della topologia, ciascuna unità dello stack procede allo scambio di pacchetti che contengono informazioni relative alla topologia.
Amministrazione: gestione stack Assegnazione ID unità 6 L'esempio seguente mostra un caso in cui è stato assegnato manualmente lo stesso ID a due unità. L'unità 1 non si collega allo stack e viene arrestata. Non è uscita vincitrice dal processo di selezione master tra le unità master attivate (1 o 2). Unità duplicata arrestata Di seguito viene illustrato il caso in cui una delle unità duplicate (numerate automaticamente) viene rinumerata.
Amministrazione: gestione stack Processo di selezione dell'unità master 6 Di seguito viene illustrato il caso in cui una delle unità duplicate viene rinumerata. Quella con MAC inferiore mantiene il proprio ID unità (vedere Processo di selezione dell'unità master per la descrizione di tale processo). Duplicazione tra due unità con ID unità a numerazione automatica NOTA Se un nuovo stack dispone di più di 8 unità (numero massimo), tutte le unità supplementari vengono arrestate.
Amministrazione: gestione stack Modifiche dello stack 6 NOTA Per funzionare, uno stack deve disporre di un'unità master. L'unità master viene definita come l'unità attiva che assume il ruolo di master. Dopo il processo di selezione master, lo stack deve contenere un'unità 1 e/o un'unità 2. In caso contrario, lo stack e tutte le unità vengono parzialmente arrestate; non si tratta di un arresto totale, ma le funzionalità di transito del traffico vengono interrotte.
Amministrazione: gestione stack Modifiche dello stack 6 Di seguito viene mostrato un esempio di numerazione automatica quando un'unità master attiva è collegata allo stack. Ci sono due unità con ID = 1. Il processo di selezione master sceglie l'unità più adatta come master. L'unità più adatta è quella con il tempo di attività maggiore in segmenti di 10 minuti. L'altra viene scelta come unità di backup.
Amministrazione: gestione stack Malfunzionamento dell'unità in stack 6 Di seguito viene mostrato cosa succede quando un'unità master attiva assegnata dall'utente con ID unità 1 viene collegata a uno stack che dispone già di un'unità master con ID unità assegnato dall'utente pari a 1. L'unità 1 più recente non viene collegata allo stack e subisce un arresto.
Amministrazione: gestione stack Malfunzionamento dell'unità in stack 6 Commutazione Master/Backup La commutazione si verifica quando l'unità master non funziona o quando l'opzione Forza master viene configurata sull'unità di backup. L'unità di backup assume il ruolo di master, tutti i relativi processi e stack del protocollo vengono inizializzati per assumere il controllo di tutto lo stack.
Amministrazione: gestione stack Sincronizzazione automatica del software in stack 6 Sincronizzazione automatica del software in stack Tutte le unità nello stack devono eseguire la stessa versione del software (firmware e codice di avvio). Ciascuna unità dello stack esegue automaticamente il download del firmware e del codice di avvio dall'unità master se il firmware e/o il codice di avvio utilizzati dall'unità e dal master non coincidono. L'unità si riavvia automaticamente per eseguire la nuova versione.
6 Amministrazione: gestione stack Modalità dell'unità stack Opzioni di configurazione dello stack La sezione seguente descrive alcune tradizionali configurazioni dello stack: Possibile configurazione dello stack Possibile supporto RIP/VRRP Velocità porte stack Lo stack è composto da tutte unità SG500X in modalità Stack nativo. Attivato/Disattivato 1G/10G o 1G/5G Lo stack è composto da tutte unità ESW2-550X in modalità Stack nativo.
Amministrazione: gestione stack Modalità dell'unità stack 6 Coerenza delle modalità dell'unità stack nello stack Tutte le unità nello stack devono avere la stessa modalità. Quando lo stack viene inizializzato, esegue un algoritmo di rilevamento della topologia che raccoglie informazioni sulle unità dello stack. L'unità selezionata come master può rifiutare la richiesta del dispositivo adiacente di collegarsi allo stack se la modalità dell'unità stack non corrisponde.
Amministrazione: gestione stack Porte stack 6 Configurazione dopo il riavvio Se si cambia la modalità stack di un dispositivo e lo si riavvia, il file di configurazione di avvio viene in genere eliminato, perché potrebbe contenere informazioni di configurazione non applicabili alla nuova modalità.
Amministrazione: gestione stack Porte stack 6 Aggregazione dei collegamenti delle porte stack Quando due unità adiacenti sono collegate, le porte che le collegano vengono assegnate automaticamente a un LAG stack. Questa funzione consente di aumentare la larghezza di banda stack della porta stack oltre a quella di una singola porta. È possibile immettere fino a un massimo due LAG stack per unità. Il LAG stack può essere composto da due a otto porte stack a seconda del tipo di unità.
Amministrazione: gestione stack Porte stack 6 Connessioni stack consigliate Nelle seguenti tabelle viene illustrata la modalità ottimale per collegare le unità di uno stack in base al tipo di unità dello stack. Quando si verifica un mancato collegamento su una porta di un LAG stack, il traffico sullo stack viene ridistribuito tra le porte stack rimaste nel LAG stack. Ciò può causare la modifica delle connessioni stack da una configurazione consigliata a una sconsigliata.
Amministrazione: gestione stack Porte stack Tabella 3 6 Stack SG500XG con SG500X/ESW2-550X Numero di porte stack attive Connessioni consigliate per le porte stack sul modello SG500XG 1 Qualsiasi porta 2 Una porta all'unità adiacente e un'altra porta a un'altra unità adiacente 2 porte alla stessa unità adiacente 4 2 porte a un'unità adiacente e altre 2 porte a un'altra unità adiacente Tabella 4 Stack Sx500XG con Sx500XG Numero di porte stack attive Connessioni consigliate per le porte stack su
6 Amministrazione: gestione stack Porte stack Velocità delle porte La velocità delle porte stack può essere impostata manualmente oppure selezionata automaticamente.
6 Amministrazione: gestione stack Porte stack Tipi di cavo Ogni tipo di porta stack può essere utilizzata con tipi di cavi specifici. Se la modalità stack è impostata su Stack nativo, è possibile utilizzare un cavo in fibra o in rame come cavo di stack. Se sono collegati entrambi i cavi (fibra e rame), scegliere quello in fibra. Per la ridondanza è possibile utilizzare una doppia connessione.
6 Amministrazione: gestione stack Porte stack Porte stack Porte di rete Tipo di connettore S1-S2-5G per SG500X/ ESW2550X e S3S4 per Sx500 S1, S2 per Sx500 S1,S2 - XG per SG500X/ ESW2550X S1,S2 - 5G per SG500X e S3, S4 per Sx500 S1,S2 per Sx500 S1,S2 - XG per SG500X 1G SFP Modulo MGBLX1 1G 1G 1G 1G 1G 1G 1G SFP Modulo MGBBX1 1G 1G 1G 1G 1G 1G 100Mbs SFP Modulo MFELX1 Non supportato Non supportato Non supportato Non supportato 100Mbs Non supportato 100Mbs SFP Modulo MFEFX1 Non
6 Amministrazione: gestione stack Configurazione predefinita Porte stack o porte di rete Tipo di connettore Tutte le porte 1G SFP Modulo MGBLX1 1G 1G SFP Modulo MGBBX1 1G 100Mbs SFP Modulo MFELX1 Non supportato 100Mbs SFP Modulo MFEFX1 Non supportato 100Mbs SFP Modulo MFEBX1 Non supportato Altri SFP 1G Configurazione predefinita Di seguito vengono indicati i valori predefiniti dei dispositivi nelle varie modalità di stack: Tipo di dispositivo Modalità stack Porte stack predefinite Modali
Amministrazione: gestione stack Interazioni con altre funzioni 6 Interazioni con altre funzioni RIP e VRRP non sono supportati nella modalità stack Ibrido di base. Modalità di sistema Utilizzare la pagina Modalità Sistema e Gestione Stack per eseguire le seguenti operazioni: • Impostare la modalità stack di un dispositivo su Indipendente.
Amministrazione: gestione stack Modalità di sistema • 6 Modalità di stack: la modalità di stack è stata ampliata per includere le modalità di stack ibrido. L'upgrade dalle versioni software precedenti non presenta alcun problema poiché il dispositivo viene avviato con una modalità di stack esistente (modalità Stack nativo).
Amministrazione: gestione stack Modalità di sistema • 6 Modalità di sistema: selezionare la modalità Livello 2 o Livello 3. NOTA Disponibile solo su dispositivi in cui è possibile selezionare la modalità di sistema. • Modalità code: selezionare se configurare 4 oppure 8 code QoS sul dispositivo. Vedere la sezione Configurazione delle code QoS.
6 Amministrazione: gestione stack Modalità di sistema Configurazione porte stack e visualizzazione unità Per selezionare le porte stack di un dispositivo, attenersi alla seguente procedura: a. Selezionare un dispositivo in Visualizzazione topologia stack. Qui vengono visualizzate le porte sul dispositivo. b. Quando si fa clic su una porta, nella descrizione comandi vengono visualizzati il numero di porta, l'unità a cui è connessa, la velocità della porta e il relativo stato di connessione.
7 Amministrazione In questa sezione viene descritto come visualizzare le informazioni di sistema e come configurare le diverse opzioni nel dispositivo.
7 Amministrazione Modelli dispositivo Modelli dispositivo È possibile gestire completamente tutti i modelli attraverso l'utilità di configurazione dello switch basata sul Web. Quando il dispositivo funziona in modalità di sistema Livello 3, il limite di velocità della VLAN e i monitoraggi QoS non funzionano. Le altre funzioni della modalità avanzata QoS funzionano. Solo i modelli SG500X/SG500XG/ESW2-550X supportano il VRRP (Virtual Router Redundancy Protocol) e il RIP (Routing Information Protocol).
7 Amministrazione Modelli dispositivo Nome modello ID prodotto (PID) Descrizione delle porte sul dispositivo Alimentazione riservata a PoE N.
Amministrazione Impostazioni di sistema 7 Impostazioni di sistema Nella pagina Riepilogo di sistema viene fornita una visualizzazione grafica del dispositivo e vengono visualizzati lo stato del dispositivo, le informazioni sull'hardware, le informazioni sulla versione firmware, lo stato PoE generale e altre voci. Visualizzazione del riepilogo di sistema Per visualizzare le informazioni di sistema, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Stato e statistiche > Riepilogo di sistema.
Amministrazione Impostazioni di sistema 7 • Indirizzo MAC di base: indirizzo MAC del dispositivo. Se il sistema è in modalità stack, viene visualizzato l'indirizzo MAC di base dell'unità master. • Frame jumbo: stato di supporto del frame jumbo. Questo supporto può essere attivato o disattivato tramite la pagina Impostazioni porta del menu Gestione porte. NOTA Il supporto per frame Jumbo diventa effettivo solo dopo l'attivazione e dopo il riavvio del dispositivo.
Amministrazione Impostazioni di sistema 7 Informazioni di alimentazione PoE sull'unità Master (su dispositivi che supportano PoE): • Potenza PoE disponibile massima (W): potenza disponibile massima che può essere fornita dal PoE. • Assorbimento principale totale PoE (W): potenza PoE totale offerta ai dispositivi PoE connessi. • Modalità alimentazione PoE: limite porta o limite classe.
Amministrazione Impostazioni console (supporto velocità di trasmissione automatica) • 7 Impostazioni banner personalizzate: è possibile impostare i seguenti banner: - Banner di accesso: immettere il testo che verrà visualizzato nella pagina di accesso prima di eseguire l'accesso. Scegliere Anteprima per visualizzare i risultati. - Banner di benvenuto: immettere il testo che verrà visualizzato nella pagina di accesso dopo aver eseguito l'accesso. Scegliere Anteprima per visualizzare i risultati.
7 Amministrazione Interfaccia di gestione Interfaccia di gestione Vedere la sezione Interfacce e gestione IPv4. Gestione di stack e modalità di sistema Vedere la sezione Amministrazione: gestione stack. Account utente Vedere la sezione Definizione degli utenti.
Amministrazione Impostazioni ora 7 Impostazioni ora Vedere la sezione Amministrazione: Impostazioni relative all'ora. Log di sistema Vedere la sezione Amministrazione: Log di sistema. Gestione dei file Vedere la sezione Amministrazione: Gestione file. Riavvio del dispositivo Alcune modifiche della configurazione, come l'attivazione del supporto del frame jumbo, affinché diventino effettive richiedono il riavvio del sistema.
Amministrazione Riavvio del dispositivo 7 Per riavviare il dispositivo, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Amministrazione > Riavvio. PASSAGGIO 2 Fare clic sul pulsante Riavvia per riavviare il dispositivo. • Riavvia: riavvia il dispositivo.
7 Amministrazione Risorse di routing Risorse di routing L'allocazione TCAM viene gestita in modo differente nei dispositivi Sx500 e SG500X/ESW2-550X. I dispositivi Sx500 dispongono di una TCAM singola utilizzata per il routing e le regole ACL. I dispositivi SG500X/SG500XG/ESW2-550X possiedono due TCAM: una per il routing e l'altra per le regole ACL. Quando i dispositivi SG500X/ESW2-550X sono in modalità stack ibrido hanno soltanto una TCAM (come i dispositivi Sx500).
Amministrazione Risorse di routing 7 Se si modifica l'assegnazione TCAM in modo non corretto, viene visualizzato un messaggio di errore. Se l'allocazione TCAM è fattibile, viene visualizzato un messaggio che informa che sarà effettuato un riavvio automatico con le nuove impostazioni. Le risorse di routing possono essere modificate in modo errato in uno dei seguenti modi: • Il numero di voci TCAM che si allocano è inferiore al numero attualmente in uso.
Amministrazione Risorse di routing 7 Risorse di routing IPv6 (solo per i dispositivi SG500XG e SG500X) • Router adiacenti (4 voci TCAM per percorso): Conteggio indica il numero di router adiacenti registrati sul dispositivo e Voci TCAM indica il numero di voci TCAM utilizzate per i router adiacenti. • Interfacce (8 voci TCAM per percorso): Conteggio indica il numero di interfacce sul dispositivo e Voci TCAM indica il numero di voci TCAM utilizzate per le interfacce.
7 Amministrazione Risorse di routing • • Routing IPv6 - In uso: numero di voci TCAM usate per il routing IPv6. - Massimo: numero massimo di voci TCAM disponibili per il routing IPv6. Routing multicast IPv6 - In uso: numero di voci TCAM usate per il routing multicast IPv6. - Massimo: numero massimo di voci TCAM disponibili per il routing multicast IPv6. • Numero massimo di voci TCAM per regole non IP: numero di voci TCAM disponibili per regole non IP.
7 Amministrazione Salute Salute Dalla pagina Salute è possibile monitorare lo stato della ventola su tutti i dispositivi dotati di ventola. A seconda del modello, un dispositivo può avere una o più ventole. Alcuni modelli, invece, sono privi di ventola. Alcuni dispositivi sono dotati di un sensore di temperatura per evitare il surriscaldamento dell'hardware.
Amministrazione Salute 7 Per visualizzare i parametri di integrità del dispositivo, fare clic su Stato e statistiche > Salute. Nella pagina Salute vengono visualizzati i seguenti campi: • Stato della ventola: stato della ventola. I valori selezionabili sono: - OK: la ventola funziona normalmente. - Guasto: la ventola non funziona correttamente. - N/A: l'ID della ventola non è applicabile al modello specifico.
Amministrazione Diagnostica 7 Diagnostica Vedere la sezione Amministrazione: Diagnostica. Rilevamento - Bonjour Vedere la sezione Bonjour. Rilevamento - LLDP Vedere la sezione Configurazione di LLDP. Rilevamento - CDP Vedere la sezione Configurazione CDP. Ping L'utilità Ping verifica se un host remoto può essere raggiunto e misura il tempo di andata e ritorno dei pacchetti inviati dal dispositivo a un dispositivo di destinazione.
7 Amministrazione Ping • Versione IP: se l'interfaccia di origine viene identificata tramite l'indirizzo IP, selezionare IPv4 o IPv6 per indicare che verrà inserita nel formato selezionato. • IP di origine: selezionare l'interfaccia di origine il cui indirizzo IPv4 verrà utilizzato come indirizzo IPv4 di origine per comunicare con la destinazione. Se il campo Definizione host field era Per nome, tutti gli indirizzi IPv4 e IPv6 verranno visualizzati in questo campo a discesa.
Amministrazione Traceroute 7 Traceroute Traceroute rileva i percorsi IP lungo i quali sono stati reindirizzati i pacchetti con l'invio di un pacchetto IP all'host di destinazione e di nuovo al dispositivo. La pagina Traceroute mostra ogni hop tra il dispositivo e un host di destinazione e il tempo di andata e ritorno per ciascun hop di questo tipo. PASSAGGIO 1 Scegliere Amministrazione > Traceroute.
8 Amministrazione: Impostazioni relative all'ora Gli orologi di sistema sincronizzati forniscono un frame di riferimento tra tutti i dispositivi della rete. La sincronizzazione dell'ora di rete è importante perché ogni aspetto della gestione, della protezione, della pianificazione e del debug di una rete comporta la determinazione di quando avverranno gli eventi.
Amministrazione: Impostazioni relative all'ora Opzioni Ora di sistema 8 Ora Per impostare l'ora di sistema sul dispositivo, sono disponibili i seguenti metodi: • Manuale: l'utente deve impostare l'ora manualmente. • Dal PC: l'ora può essere ricevuta dal PC utilizzando le informazioni del browser. La configurazione dell'ora dal computer viene salvata nel file Configurazione di esecuzione.
Amministrazione: Impostazioni relative all'ora Modalità SNTP • 8 La configurazione manuale del fuso orario e dell'ora legale viene utilizzata come configurazione del fuso orario e dell'ora legale operativi solo se la configurazione dinamica del fuso orario e dell'ora legale è disattivata o non funziona. NOTA Il server DHCP deve fornire l'opzione 100 DHCP affinché venga eseguita la configurazione dinamica del fuso orario.
Amministrazione: Impostazioni relative all'ora Configurazione dell'ora di sistema 8 Per definire l'ora di sistema, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Amministrazione > Impostazione ora > Ora di sistema. Vengono visualizzati i seguenti campi: • Ora corrente (statica): ora di sistema indicata sul dispositivo. Viene mostrato il fuso orario DHCP o l'acronimo del fuso orario definito dall'utente, se disponibile.
Amministrazione: Impostazioni relative all'ora Configurazione dell'ora di sistema • 8 Acronimo fuso orario: immettere un nome che rappresenterà questo fuso orario. L'acronimo mostrato qui, viene visualizzato nel campo Ora corrente. Impostazioni Ora legale: selezionare come viene definito il tipo di ora legale: • Ora legale: selezionare questa opzione per abilitare l'ora legale.
Amministrazione: Impostazioni relative all'ora Configurazione dell'ora di sistema 8 PASSAGGIO 3 Fare clic su Applica. I valori dell'ora di sistema vengono scritti nel file Configurazione di esecuzione. Aggiunta di un server unicast SNTP È possibile configurare massimo 16 server unicast SNTP. NOTA Per specificare un server unicast SNTP in base al nome, è necessario configurare i server DNS sul dispositivo (vedere la sezione Impostazioni DNS).
Amministrazione: Impostazioni relative all'ora Configurazione dell'ora di sistema 8 - Sconosciuto: sul dispositivo è in corso la ricerca del server SNTP. - In corso: si verifica quando il server SNTP non verifica completamente l'attendibilità del proprio server di riferimento, ovvero al primo avvio del server SNTP. • Ultima risposta: data e ora dell'ultima volta che è stata ricevuta una risposta da questo server SNTP.
Amministrazione: Impostazioni relative all'ora Configurazione dell'ora di sistema 8 • Intervallo di polling: selezionare per attivare il polling del server SNTP per le informazioni sull'ora di sistema. Di tutti i server NTP registrati per il polling viene effettuato il polling e l'orologio viene selezionato dal server con il livello di strato più basso (distanza dall'orologio di riferimento) raggiungibile. Il server con lo strato più basso viene considerato il server primario.
Amministrazione: Impostazioni relative all'ora Configurazione dell'ora di sistema 8 Scegliere un'interfaccia e selezionare le opzioni di ricezione/trasmissione. PASSAGGIO 4 Fare clic su Applica per salvare le impostazione nel file di configurazione esecuzione. Definizione di autenticazione SNTP I client SNTP possono autenticare le risposte tramite HMAC-MD5.
Amministrazione: Impostazioni relative all'ora Configurazione dell'ora di sistema • 8 Chiave affidabile: selezionare questa opzione per consentire al dispositivo di ricevere informazioni sulla sincronizzazione solo da un server SNTP utilizzando questa chiave di autenticazione. PASSAGGIO 6 Fare clic su Applica. I parametri di autenticazione SNTP vengono scritti nel file Configurazione di esecuzione.
Amministrazione: Impostazioni relative all'ora Configurazione dell'ora di sistema 8 Intervallo di tempo assoluto Per definire un intervallo di tempo assoluto, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Amministrazione > Impostazione ora > Ora Intervallo. Vengono visualizzati gli intervalli di tempo esistenti. PASSAGGIO 2 Per aggiungere un nuovo intervallo di tempo, fare clic su Aggiungi.
Amministrazione: Impostazioni relative all'ora Configurazione dell'ora di sistema • 8 Ora di fine ricorrente: immettere la data e l'ora di fine dell'intervallo di tempo su base regolare. PASSAGGIO 5 Fare clic su Applica. PASSAGGIO 6 Fare clic su Intervallo di tempo per accedere all'Intervallo di tempo assoluto.
9 Amministrazione: Diagnostica In questo capitolo vengono presentate le informazioni per la configurazione del mirroring delle porte, per l'esecuzione dei test sui cavi e per la visualizzazione delle informazioni operative sul dispositivo.
Amministrazione: Diagnostica Test delle porte in rame 9 La precisione dei risultati dei test può avere un intervallo di errore di +/- 10 per i test avanzati e +/- 2 per i test di base. ! ATTENZIONE Quando viene provata una porta, viene impostata sullo stato Inattivo e le comunicazioni vengono interrotte. Dopo il test, la porta torna allo stato Attivo.
Amministrazione: Diagnostica Visualizzazione dello stato Modulo ottico 9 • Stato: stato della coppia di cavi elettrici. Il rosso indica l'errore e il verde indica lo stato OK. • Canale: canale del cavo che indica se i cavi sono dritti o incrociati. • Polarità: indica se il rilevamento e la correzione automatici della polarità sono stati attivati per la coppia di cavi elettrici. • Differenza ritardo coppia: differenza del ritardo tra le coppie di cavi elettrici.
Amministrazione: Diagnostica Configurazione del mirroring di porte e VLAN 9 Per visualizzare i risultati dei test ottici, fare clic su Amministrazione > Diagnostica > Stato modulo ottico. In questa pagina vengono visualizzati i seguenti campi: • Porta: numero della porta su cui è connesso SFP. • Descrizione: la descrizione del ricetrasmettitore ottico. • Numero di serie: numero di serie del ricetrasmettitore ottico. • PID: ID VLAN. • VID: ID del ricetrasmettitore ottico.
Amministrazione: Diagnostica Configurazione del mirroring di porte e VLAN 9 Il mirroring non garantisce che tutto il traffico delle porte di origine venga ricevuto nella porta dell'analizzatore (di destinazione). Se alla porta dell'analizzatore vengono inviati più dati di quelli che può supportare, alcuni dati potrebbero andare persi. Il mirroring VLAN non è attivo in una VLAN che non è stata creata manualmente.
Amministrazione: Diagnostica Visualizzazione dell'utilizzo di CPU e della tecnologia Secure Core Technology 9 PASSAGGIO 4 Fare clic su Applica. Il mirroring della porta viene aggiunto alla Configurazione di esecuzione.
10 Amministrazione: Rilevamento In questa sezione vengono fornite le informazioni per la configurazione del rilevamento.
Amministrazione: Rilevamento Bonjour 10 Per attivare Bonjour a livello globale quando il sistema è in modalità Livello 2, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Amministrazione > Rilevamento - Bonjour. PASSAGGIO 2 Selezionare Attiva per attivare il Rilevamento Bonjour a livello globale sul dispositivo. PASSAGGIO 3 Fare clic su Applica. Bonjour viene attivato o disattivato sul dispositivo in base alla selezione.
Amministrazione: Rilevamento LLDP e CDP 10 La tabella Controllo interfaccia rilevamento Bonjour consente di visualizzare il Nome interfaccia delle interfacce sui cui è attivato Bonjour e il loro indirizzo IP. PASSAGGIO 4 Per abilitare Bonjour su un'interfaccia, fare clic su Aggiungi. PASSAGGIO 5 Selezionare un'interfaccia e fare clic su Applica.
Amministrazione: Rilevamento Configurazione di LLDP • 10 I dispositivi terminali CDP e LLDP, quali telefoni IP, apprendono la configurazione VLAN voce dagli annunci CDP e LLDP. Per impostazione predefinita, il dispositivo può inviare un annuncio CDP e LLDP basato sulla VLAN voce configurata sul dispositivo. Per informazioni, fare riferimento alla sezione VLAN voce. NOTA I protocolli CDP/LLDP non capiscono se una porta si trova in un LAG.
Amministrazione: Rilevamento Configurazione di LLDP 10 Panoramica di LLDP LLDP è un protocollo che consente ai manager di rete di risolvere i problemi e migliorare la gestione di rete in ambienti multi-vendor. LLDP standardizza i metodi con cui i dispositivi di rete si dichiarano ad altri sistemi e memorizzano le informazioni rilevate.
Amministrazione: Rilevamento Configurazione di LLDP 10 Proprietà LLDP La pagina Proprietà consente di immettere i parametri generali di LLDP, come l'attivazione/disattivazione della funzione a livello globale e di impostare i timer. Per immettere le proprietà LLDP, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Amministrazione > Rilevamento - LLDP > Proprietà. PASSAGGIO 2 Immettere i parametri.
Amministrazione: Rilevamento Configurazione di LLDP 10 PASSAGGIO 4 Fare clic su Applica. Le proprietà LLDP vengono aggiunte al file Configurazione di esecuzione. Impostazioni porte LLDP Nella pagina Impostazioni porta viene consentita l'attivazione della notifica LLDP e SNMP in base alla porta e l'immissione dei TLV che vengono inviati alla PDU LLDP.
Amministrazione: Rilevamento Configurazione di LLDP 10 - Nome del sistema: nome assegnato del sistema (in formato alfanumerico). Il valore è uguale all'oggetto sysName. - Descrizione del sistema: descrizione dell'entità di rete (in formato alfanumerico). Include il nome del sistema e le versioni dell'hardware, il sistema operativo e il software di rete supportato dal dispositivo. Il valore è uguale all'oggetto sysDescr.
Amministrazione: Rilevamento Configurazione di LLDP 10 I seguenti campi sono correlati al protocollo e alla VLAN 802.1: • PVID: selezionare questa opzione per dichiarare il PVID nel TLV. • ID VLAN protocollo e porta: selezionare di dichiare l'ID VLAN protocollo e porta. Questi vengono definiti nella pagina VLAN basate su protocollo. • ID VLAN: selezionare le VLAN da dichiarare. • ID protocollo: selezionare i protocolli da dichiarare.
Amministrazione: Rilevamento Configurazione di LLDP 10 Per associare i criteri di rete alle porte, utilizzare la pagina Impostazioni porte LLDP MED. Un amministratore può configurare manualmente uno o più criteri di rete e le interfacce alle quali i criteri devono essere inviati. È responsabilità dell'amministratore creare manualmente le VLAN e le loro appartenenze di porta in conformità ai criteri di rete e alle loro interfacce associate.
Amministrazione: Rilevamento Configurazione di LLDP 10 NOTA È necessario configurare manualmente le interfacce per includere i criteri di rete desiderati definiti manualmente per i pacchetti LLDP in uscita utilizzando la pagina Impostazioni porte LLDP MED. Impostazioni porte LLDP MED La pagina Impostazioni porte LLDP MED consente di selezionare i TLV LLDP MED e/o i criteri di rete da includere nell'annuncio LLDP in uscita per le interfacce desiderate.
Amministrazione: Rilevamento Configurazione di LLDP 10 • TLV facoltativi selezionati: selezionare i TLV che possono essere pubblicati dal dispositivo spostandoli dall'elenco TLV facoltativi disponibili all'elenco TLV facoltativi selezionati. • Criteri di rete disponibili: selezionare i criteri LLDP MED da pubblicare mediante LLDP, spostandoli dall'elenco Criteri di rete disponibili all'elenco Criteri di rete selezionati. Questi sono stati creati nella pagina Criteri di rete LLDP MED.
Amministrazione: Rilevamento Configurazione di LLDP • Funzionalità del sistema attivate: funzioni principali del dispositivo attivate. • Sottotipo ID porta: tipo di identificatore della porta mostrato. 10 Tabella Stato porte LLDP • Interfaccia: identificatore della porta. • Stato LLDP: opzione di pubblicazione di LLDP. • Stato LLDP MED: attivato o disattivato. • PoE locale: informazioni sul PoE locale dichiarate. • PoE remoto: informazioni sul PoE dichiarate dal router adiacente. • N.
Amministrazione: Rilevamento Configurazione di LLDP 10 • ID porta: identificatore della porta. • Descrizione della porta: informazioni sulla porta, inclusi il produttore, il nome del prodotto e la versione hardware/software. Indirizzo di gestione Viene visualizzata la tabella degli indirizzi dell'agente LLDP locale. Gli altri responsabili remoti possono utilizzare questo indirizzo per ottenere informazioni relative al dispositivo locale.
Amministrazione: Rilevamento Configurazione di LLDP 10 Energy Efficient Ethernet (EEE) 802.3 (se il dispositivo supporta EEE) • Tx locale: indica il tempo (in microsecondi) che il partner di collegamento di trasmissione attende prima di iniziare a trasmettere i dati all'uscita dalla modalità LPI (Low Power Idle).
Amministrazione: Rilevamento Configurazione di LLDP • Nome modello: nome del modello del dispositivo. • ID asset: ID asset. 10 Informazioni sulla posizione • Civico: indirizzo. • Coordinate: coordinate della mappa: latitudine, longitudine e altitudine. • ECS ELIN: numero ELIN (Emergency Location Identification Number) del servizio ECS (Emergency Call Service). Tabella Criteri di rete • Tipo di applicazione: tipo di applicazione dei criteri di rete, per esempio Voce.
Amministrazione: Rilevamento Configurazione di LLDP 10 In questa pagina vengono visualizzati i seguenti campi per l'interfaccia selezionata: • Porta locale: numero della porta locale a cui è connesso il router adiacente. • Sottotipo ID chassis: tipo di ID chassis (per esempio, indirizzo MAC). • ID chassis: identificatore di chassis del dispositivo adiacente 802 LAN. • Sottotipo ID porta: tipo di identificatore della porta mostrato. • ID porta: identificatore della porta.
Amministrazione: Rilevamento Configurazione di LLDP 10 Tabella Indirizzo di gestione • Sottotipo indirizzo: sottotipo di indirizzo di gestione, per esempio MAC o IPv4. • Indirizzo: indirizzo di gestione. • Sottotipo interfaccia: sottotipo di porta. • Numero interfaccia: numero di porta. Dettagli MAC/PHY • Negoziazione automatica supportata: stato di supporto della negoziazione automatica della velocità della porta. I possibili valori sono Vero e Falso.
Amministrazione: Rilevamento Configurazione di LLDP 10 Energy Efficient Ethernet (EEE) 802.3 • Tx remoto: indica il tempo (in microsecondi) che il partner di collegamento di trasmissione attende prima di iniziare a trasmettere i dati all'uscita dalla modalità LPI (Low Power Idle).
Amministrazione: Rilevamento Configurazione di LLDP • Nome produttore: nome del produttore del dispositivo. • Nome modello: nome del modello del dispositivo. • ID asset: ID asset. 10 VLAN e protocollo 802.1 • PVID: ID VLAN della porta dichiarato. PPVID Tabella PPVID • VID: ID VLAN del protocollo. • Supportato: ID VLAN del protocollo e della porta supportati. • Attivato: ID VLAN del protocollo e della porta attivati. ID VLAN Tabella ID VLAN • VID: ID VLAN del protocollo e della porta.
Amministrazione: Rilevamento Configurazione di LLDP 10 Criteri di rete Tabella Criteri di rete • Tipo di applicazione: tipo di applicazione dei criteri di rete, per esempio Voce. • ID VLAN: ID VLAN per cui viene definito il criterio di rete. • Tipo di VLAN: tipo di VLAN, Con tag o Senza tag, per cui viene definito il criterio di rete. • Priorità utente: priorità utente dei criteri di rete. • DSCP: DSCP criteri di rete.
Amministrazione: Rilevamento Configurazione di LLDP 10 PASSAGGIO 2 Fare clic su Aggiorna per visualizzare le ultime statistiche. Sovraccarico LLDP LLDP aggiunge informazioni come LLDP e TLV LLDP MED ai pacchetti LLDP. Il sovraccarico LLDP si verifica quando la quantità totale di informazioni da includere in un pacchetto LLDP eccede la dimensione massima PDU supportata da un'interfaccia.
Amministrazione: Rilevamento Configurazione di LLDP • • 10 Criteri di rete LLDP MED - Dimensioni (byte) : dimensioni totali in byte dei pacchetti dei criteri di rete LLDP MED. - Stato: se i pacchetti dei criteri di rete LLDP MED sono stati inviati oppure se sono stati sovraccaricati. Alimentazione estesa LLDP MED tramite MDI - Dimensioni (byte) : dimensioni totali in byte dei pacchetti con alimentazione estesa LLDP MED tramite MDI.
Amministrazione: Rilevamento Configurazione CDP 10 Configurazione CDP In questa sezione viene descritto come configurare CDP.
Amministrazione: Rilevamento Configurazione CDP • 10 Gestione frame CDP: se CDP non è abilitato, selezionare l'azione da intraprendere quando viene ricevuto un pacchetto corrispondente ai criteri selezionati: - Bridging: reindirizza il pacchetto in base alla VLAN. - Filtro: elimina il pacchetto. - Traffico: il traffico non in grado di rilevare reti VLAN reindirizza i pacchetti CDP in arrivo a tutte le porte esclusa la porta di ingresso.
Amministrazione: Rilevamento Configurazione CDP 10 • Interfaccia: se per Interfaccia origine è stata selezionata l'opzione Definito dall'utente, selezionare l'interfaccia. • Syslog VLAN voce non corrispondente: selezionare questa opzione per inviare un messaggio SYSLOG quando viene rilevata una mancata corrispondenza VLAN voce. Ciò significa che le informazioni della VLAN voce nel frame in ingresso non hanno corrispondenza con la dichiarazione del dispositivo locale.
Amministrazione: Rilevamento Configurazione CDP 10 Nella parte inferiore della pagina sono disponibili quattro pulsanti: • Copia impostazioni: consente di copiare una configurazione da una porta all'altra. • Modifica: campi spiegati al punto 2 sotto. • Dettagli informazioni locali CDP: consente di visualizzare la pagina Amministrazione > Rilevamento CDP > Informazioni locali CDP.
Amministrazione: Rilevamento Configurazione CDP 10 Informazioni locali CDP Per informazioni sul dispositivo locale dichiarate dal protocollo CDP, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Amministrazione > Rilevamento - CDP > Informazioni locali CPD. PASSAGGIO 2 Selezionare una porta locale per visualizzare i seguenti campi: • Interfaccia: numero della porta locale. • Stato CDP: visualizza se CDP è abilitato o meno.
Amministrazione: Rilevamento Configurazione CDP • TLV Trust esteso - • Trust esteso: se si seleziona questa opzione la porta è attendibile; questo significa che l'host/il server dal quale viene ricevuto il pacchetto è attendibile per contrassegnare i pacchetti. In questo caso, i pacchetti ricevuti su una porta non sono nuovamente contrassegnati. Se questa opzione è deselezionata significa che la porta non è attendibile; in questo caso, il campo seguente è rilevante.
Amministrazione: Rilevamento Configurazione CDP 10 Per visualizzare le informazioni dei router adiacenti CDP, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Amministrazione > Rilevamento - CDP > Informazioni router contigui CDP. PASSAGGIO 2 Per selezionare un filtro, selezionare la casella di controllo Filtro, selezionare un'interfaccia locale e fare clic su Vai. Vengono attivati il filtro e l'opzione Cancella filtro. PASSAGGIO 3 Fare clic su Cancella filtro per interrompere il filtro.
Amministrazione: Rilevamento Statistiche CDP 10 • Interfaccia router adiacente: numero di interfaccia del router adiacente da cui è arrivato il frame. • VLAN nativa: VLAN nativa del router adiacente. • Applicazione: nome dell'applicazione in esecuzione sul router adiacente. • Duplex: se l'interfaccia è half-duplex o full-duplex. • Indirizzi: indirizzi dei router adiacenti. • Energia assorbita: quantità di energia assorbita dal router adiacente sull'interfaccia.
Amministrazione: Rilevamento Statistiche CDP 10 Nella sezione Statistiche errore CDP vengono indicati i contatori degli errori CDP. • Checksum non valido: numero di pacchetti ricevuti con valore di checksum non valido. • Altri errori: numero di pacchetti ricevuti con errori diversi da checksum non valido. • Router adiacenti superano il massimo: numero di volte che le informazioni del pacchetto non possono essere memorizzate nella cache per mancanza di spazio.
11 Gestione porte In questa sezione vengono illustrate la configurazione delle porte, l'aggregazione collegamenti e la funzione Ethernet verde. Vengono trattati i seguenti argomenti: • Configurazione delle porte • Rilevamento loopback • Aggregazione collegamenti • UDLD • Configurazione di Ethernet verde Configurazione delle porte Flusso di lavoro Per configurare le porte, effettuare le seguenti operazioni: 1. Configurare la porta nella pagina Impostazioni porta. 2.
11 Gestione porte Configurazione delle porte Configurazione porta È possibile configurare le porte nelle seguenti pagine. Impostazioni porta Nella pagina Impostazioni porta vengono visualizzate le impostazioni generali e per porta relative a tutte le porte. In questa pagina è possibile selezionare le porte desiderate e configurarle nella pagina di modifica delle impostazioni della porta.
Gestione porte Configurazione delle porte 11 • Stato amministrativo: selezionare se, dopo il riavvio del dispositivo, la porta deve essere attiva o inattiva. • Stato operativo: in questo campo viene mostrato se la porta è attualmente attiva o inattiva. Se la porta è inattiva a causa di un errore, viene visualizzata la descrizione dell'errore.
Gestione porte Configurazione delle porte - 10 Full: velocità a 10 Mbps in modalità full-duplex. - 100 Half: velocità a 100 Mbps in modalità half-duplex. - 100 Full: velocità a 100 Mbps in modalità full-duplex. - 1000 Full: velocità a 1000 Mbps in modalità full-duplex. 11 • Annuncio operativo: indica le funzionalità attualmente dichiarate ai dispositivi adiacenti. Le opzioni possibili sono riportate nel campo Annuncio amministrativo.
11 Gestione porte Configurazione delle porte • • Porta protetta: consente di impostare la porta come porta protetta, nota anche come PVE (Private VLAN Edge). Le caratteristiche di una porta protetta sono le seguenti: - Le porte protette forniscono un isolamento tra le interfacce di Livello 2 (porte Ethernet e LAG) che condividono la stessa VLAN. - I pacchetti ricevuti da porte protette possono essere reindirizzati solo su porte di uscita non protette.
Gestione porte Rilevamento loopback 11 • Guardia BPDU STP: selezionare questa opzione per attivare il meccanismo di ripristino automatico errore quando la porta è stata bloccata da Guardia BPDU STP. • Protezione STP Loopback: attivare il ripristino automatico quando la porta è stata bloccata da Protezione STP Loopback. • UDLD: selezionare questa opzione per attivare il meccanismo di ripristino automatico errore per lo stato di arresto di UDLD.
11 Gestione porte Rilevamento loopback Funzionamento di LBD Il protocollo LBD trasmette periodicamente pacchetti di rilevamento loopback. Uno switch rileva un loop quando riceve i suoi pacchetti LBD. Le seguenti condizioni devono essere vere affinché LBD sia attivo su una porta: • LBD è attivo a livello globale. • LBD è attivo sulla porta. • Lo stato operativo della porta è attivo. • La porta è in stato disattivato/reindirizzamento STP (stato di reindirizzamento dell'istanza MSTP, istanza 0).
11 Gestione porte Aggregazione collegamenti PASSAGGIO 3 Attivare il ripristino automatico per Rilevamento loopback nella pagina Impostazioni ripristino errore. Per configurare Rilevamento loopback, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Gestione porte > Impostazioni Rilevamento loopback. PASSAGGIO 2 Selezionare Attiva nel campo globale Rilevamento loopback per attivare la funzione. PASSAGGIO 3 Inserire l'intervallo di rilevamento.
Gestione porte Aggregazione collegamenti 11 Panoramica dell'aggregazione dei collegamenti Il LACP (Link Aggregation Control Protocol) appartiene a una specifica IEEE (802.3az) che consente di raggruppare diverse porte fisiche formando un unico canale logico (LAG). I LAG consentono di aumentare la larghezza di banda e la flessibilità della porta e forniscono collegamenti ridondanti tra due dispositivi. Sono utilizzati due tipi di LAG: • Statico: un LAG è statico se LACP è disattivato su di esso.
Gestione porte Aggregazione collegamenti 11 • Le porte di un LAG devono essere assegnate a un altro LAG. • Su un LAG statico è possibile assegnare non più di otto porte e per un LAG dinamico è possibile sceglierne massimo 16. • Su tutte le porte di un LAG la negoziazione automatica deve essere disattivata, sebbene sul LAG sia possibile attivarla. • Quando una porta viene aggiunta a un LAG, la configurazione del LAG viene applicata alla porta.
11 Gestione porte Aggregazione collegamenti Definizione della Gestione LAG Nella pagina Gestione LAG vengono visualizzate sia le impostazioni generali che quelle dei LAG. Inoltre, la pagina consente di configurare le impostazioni generali e selezionare il LAG desiderato per modificarlo nella pagina Modifica appartenenza a LAG.
11 Gestione porte Aggregazione collegamenti • Elenco delle porte: spostare le porte da assegnare al LAG dall'Elenco delle porte all'elenco Membri LAG. È possibile assegnare un massimo di otto porte per LAG statico e 16 a un LAG dinamico. Si tratta di porte candidate. PASSAGGIO 3 Fare clic su Applica. L'appartenenza al LAG viene salvata nel file di configurazione esecuzione.
Gestione porte Aggregazione collegamenti 11 • Negoziazione automatica amministrativa: consente di attivare o disattivare la negoziazione automatica sul LAG. La negoziazione automatica è un protocollo utilizzato da due parti di un collegamento che consente a un LAG di dichiarare la propria velocità di trasmissione e il controllo del flusso (per impostazione predefinita il Controllo del flusso è disattivato).
Gestione porte Aggregazione collegamenti 11 Configurazione del LACP Un LAG dinamico è abilitato al LACP e LACP viene eseguito su ogni porta candidata definita nel LAG. Priorità e regole sul LACP La priorità sul sistema e quella sulla porta LACP sono entrambe utilizzate per determinare quale delle porte candidate diventerà porta membro attiva in un LAG dinamico configurato con più di otto porte candidate. Le porte candidate selezionate del LAG sono tutte collegate allo stesso dispositivo remoto.
11 Gestione porte Aggregazione collegamenti Se sono presenti più porte configurate con LACP e il collegamento viene attivato in una o più porte, ma non vengono ricevute risposte LACP dal partner di collegamento per tali porte, la prima porta con il collegamento attivo viene aggiunta al LAG LACP e diventa attiva, mentre le altre porte diventano non candidate.
Gestione porte UDLD 11 UDLD Vedere la sezione Gestione delle porte: Rilevamento del collegamento unidirezionale. PoE Vedere la sezione Gestione delle porte: PoE. Configurazione di Ethernet verde In questa sezione viene illustrata la funzione Ethernet verde, realizzata per risparmiare energia sul dispositivo.
Gestione porte Configurazione di Ethernet verde 11 Questa modalità è disattivata globalmente per impostazione predefinita. Non può essere attivata se la modalità EEE è attivata (vedi sotto). In aggiunta alle caratteristiche Ethernet verde di cui sopra, Energy Efficient Ethernet (EEE) 802.3az si trova su dispositivi che supportano le porte GE. EEE riduce l'assorbimento di energia quando non c'è traffico sulla porta. Vedere Funzione Energy Efficient Ethernet 802.
Gestione porte Configurazione di Ethernet verde 11 Funzione Energy Efficient Ethernet 802.3az In questa sezione viene illustrata la funzione Energy Efficient Ethernet (EEE) 802.3az. Vengono trattati i seguenti argomenti: • Panoramica di EEE 802.3az • Negoziazione delle funzionalità di annuncio • Rilevamento livello di collegamento per EEE 802.3az • Disponibilità di EEE 802.3az • Configurazione predefinita • Interazioni tra funzioni • Flusso di lavoro configurazione di EEE 802.
Gestione porte Configurazione di Ethernet verde 11 Negoziazione delle funzionalità di annuncio Il supporto per EEE 802.3az viene dichiarato durante la fase di negoziazione automatica. La negoziazione automatica fornisce un dispositivo collegato con la capacità di rilevare le funzionalità (modalità di funzionamento) supportate dal dispositivo all'altro capo del collegamento, di determinare le funzionalità comuni e di autoconfigurarsi per il funzionamento congiunto.
Gestione porte Configurazione di Ethernet verde 11 Flusso di lavoro configurazione di EEE 802.3az In questa sezione viene illustrato come configurare la funzione EEE 802.3az e visualizzarne i contatori. PASSAGGIO 1 Assicurarsi che la negoziazione automatica sia attivata sulla porta visualizzando la pagina Gestione porte > Impostazioni porta. a. Selezionare una porta e visualizzare la pagina Modifica impostazione porta. b. Selezionare il campo Negoziazione automatica per verificare che sia abilitato.
Gestione porte Configurazione di Ethernet verde 11 • Modalità di rilevamento energia: (non disponibile in SG500XG) disabilitata per impostazione predefinita. Fare clic sulla casella di controllo per attivarla. • Portata breve: se sul dispositivo sono presenti porte GE, attivare o disattivare la modalità Portata breve a livello globale. NOTA Se la modalità di raggiungimento breve è abilitata, è necessario disattivare EEE. • LED della porta: selezionare l'opzione per attivare i LED della porta.
Gestione porte Configurazione di Ethernet verde 11 Per definire le impostazioni di Ethernet verde per porta, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Gestione porte > Ethernet verde > Impostazioni porta. Nella pagina Impostazioni porta vengono visualizzati gli elementi seguenti: • Stato parametro globale: descrive le funzioni attive. Per ogni porta, vengono descritti i seguenti campi: • Porta: il numero della porta.
Gestione porte Configurazione di Ethernet verde 11 NOTA Nella finestra vengono visualizzate le impostazioni Portata breve, Rilevamento energia ed EEE per ogni porta; queste impostazioni, però, sono attivate sulle porte solo se sono state attivate a livello globale nella pagina Proprietà. Per attivare il raggiungimento breve e la EEE a livello globale, vedere Proprietà Ethernet verde globali. PASSAGGIO 2 Selezionare una Porta e fare clic su Modifica.
12 Gestione delle porte: Rilevamento del collegamento unidirezionale In questa sezione viene descritta la funzione Rilevamento del collegamento unidirezionale (UDLD).
Gestione delle porte: Rilevamento del collegamento unidirezionale Funzionamento di UDLD 12 Funzionamento di UDLD Stati e modalità UDLD Nel protocollo della funzione UDLD, alle porte sono assegnati i seguenti stati: • Rilevamento: il sistema sta tentando di determinare se il collegamento è di tipo bidirezionale o unidirezionale. Si tratta di uno stato temporaneo.
Gestione delle porte: Rilevamento del collegamento unidirezionale Funzionamento di UDLD 12 Funzionamento UDLD Quando la funzione UDLD viene attivata su una porta, vengono eseguite le seguenti azioni: • La funzione UDLD avvia lo stato di rilevamento sulla porta. In questo stato, la funzione UDLD invia periodicamente dei messaggi su ogni interfaccia attiva a tutti i dispositivi adiacenti. Questi messaggi contengono l'ID dispositivo di tutti i dispositivi adiacenti rilevati.
Gestione delle porte: Rilevamento del collegamento unidirezionale Indicazioni di utilizzo 12 Funzione UDLD non supportata o disattivata su un dispositivo adiacente Se la funzione UDLD non è supportata o risulta disattivata su un dispositivo adiacente, tale dispositivo non riceve nessun messaggio UDLD. In questo caso, il dispositivo non è in grado di determinare se il collegamento è di tipo unidirezionale o bidirezionale. Lo stato dell'interfaccia viene quindi impostato su indeterminato.
Gestione delle porte: Rilevamento del collegamento unidirezionale Dipendenze da altre funzioni 12 Dipendenze da altre funzioni • UDLD e Livello 1. Quando la funzione UDLD è abilitata su una porta, tale funzione viene eseguita attivamente sulla porta quando quest'ultima è attiva. Quando la porta è inattiva, la funzione UDLD passa allo stato di arresto UDLD. In questo stato, la funzione UDLD rimuove tutti i dispositivi adiacenti conosciuti.
Gestione delle porte: Rilevamento del collegamento unidirezionale Attività UDLD comuni 12 Attività UDLD comuni In questa sezione vengono illustrate alcune attività comuni per l'impostazione della funzione UDLD. Flusso di lavoro 1: per attivare a livello globale la funzione UDLD sulle porte in fibra ottica, attenersi alla seguente procedura: PASSAGGIO 1 Aprire la pagina Gestione delle porte > Impostazioni generali UDLD. a. Immettere il tempo del messaggio. b.
Gestione delle porte: Rilevamento del collegamento unidirezionale Configurazione della funzione UDLD 12 Impostazioni generali UDLD Lo stato predefinito UDLD della porta in fibra ottica è applicabile solo alle porte in fibra ottica. Il campo relativo al tempo del messaggio è applicabile sia alle porte in rame sia a quelle in fibra ottica. Per configurare la funzione UDLD a livello globale, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Gestione delle porte > UDLD > Impostazioni generali UDLD.
Gestione delle porte: Rilevamento del collegamento unidirezionale Configurazione della funzione UDLD • • • 12 Stato UDLD: i possibili stati sono: - Disattivato: la funzione UDLD è disattivata su tutte le porte in fibra ottica del dispositivo. - Normale: il dispositivo arresta un'interfaccia se rileva che il collegamento è unidirezionale. Invia una notifica se il collegamento è indeterminato. - Aggressivo: il dispositivo arresta un'interfaccia se il collegamento è unidirezionale.
Gestione delle porte: Rilevamento del collegamento unidirezionale Configurazione della funzione UDLD 12 Dispositivi adiacenti UDLD Per visualizzare tutti i dispositivi collegati al dispositivo locale, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Gestione delle porte > UDLD > UDLD dispositivi adiacenti. I seguenti campi vengono visualizzati per tutte le porte con funzione UDLD attivata. • Nome interfaccia: nome della porta locale con funzione UDLD attivata.
13 Smartport Nel presente documento viene descritta la funzionalità Smartport e vengono trattati i seguenti argomenti: • Panoramica • Descrizione di uno Smartport • Tipi di Smartport • Macro Smartport • Errore delle macro e operazione di reimpostazione • Funzionamento di Smartport • Smartport automatico • Gestione degli errori • Configurazione predefinita • Relazioni con altre funzioni e retrocompatibilità • Attività comuni con Smartport • Configurare Smartport tramite l'interfaccia
Smartport Panoramica 13 Panoramica La funzione Smartport offre un metodo semplice per salvare e condividere configurazioni comuni. Se si applica la stessa macro Smartport a più interfacce, esse condivideranno un insieme comune di configurazioni. Una macro Smartport è uno script di comandi CLI (Command Line Interface). Una macro Smartport può essere applicata a un'interfaccia tramite il nome macro o tramite il tipo di Smartport associato alla macro.
Smartport Tipi di Smartport 13 Tipi di Smartport Con tipi di Smartport si intendono i tipi di dispositivi collegati o da collegare agli Smartport. Il dispositivo supporta i seguenti tipi di Smartport: • Stampante • Desktop • Ospite • Server • Host • Camera IP • Telefono IP • Telefono IP + Desktop • Switch • Router • Access point wireless I tipi di Smartport sono denominati in modo da descrivere il tipo di dispositivo collegato a un'interfaccia.
13 Smartport Tipi di Smartport Di seguito viene descritta la relazione tra tipi di Smartport e Smartport automatico.
13 Smartport Macro Smartport • Tutti i dispositivi collegati all'interfaccia sono scaduti: questo viene definito come l'assenza di annuncio CDP e/o LLDP dal dispositivo per un periodo di tempo specificato. Sconosciuto Se una macro Smartport viene applicata a un'interfaccia e si verifica un errore, all'interfaccia viene assegnato lo stato Sconosciuto.
Smartport Errore delle macro e operazione di reimpostazione • 13 Definita dall'utente: queste sono macro scritte dagli utenti. Vedere la Guida di riferimento CLI per ulteriori informazioni su questo argomento. Per associare una macro definita dall'utente ad un tipo di Smartport, è necessario definire anche la rispettiva anti-macro.
Smartport Funzionamento di Smartport 13 Quando una macro Smartport genera un errore su un'interfaccia, lo stato dell'interfaccia è impostato su Sconosciuto. Il motivo dell'errore può essere visualizzato nella finestra a comparsa Mostra diagnostica della finestra Impostazioni interfaccia.
13 Smartport Smartport automatico Smartport automatico Affinché possa assegnare automaticamente i tipi di Smartport alle interfacce, la funzione Smartport automatico deve essere abilitata a livello globale e sulle interfacce rilevanti che deve poter configurare. Per impostazione predefinita, Smartport automatico è attivato ed è autorizzato a configurare tutte le interfacce.
13 Smartport Smartport automatico A meno che Smartport automatico persistente sia attivato su un'interfaccia, il tipo di Smartport e la configurazione risultante applicata da Smartport automatico saranno rimossi se i dispositivi in collegamento scadono, perdono il collegamento, si riavviano o se vengono ricevute funzionalità in conflitto. I tempi di scadenza sono determinati dall'assenza di annunci CDP e/o LLDP dal dispositivo per un periodo di tempo specificato.
13 Smartport Smartport automatico Associazione delle funzionalità LLDP al tipo di Smartport (Continua) Nome funzionalità Bit LLDP Tipo Smartport Router IETF RFC 1812 5 Router Telefono IETF RFC 4293 6 ip_phone Dispositivo cavo DOCSIS IETF RFC 4639 e IETF RFC 4546 7 Ignora Solo stazione IETF RFC 4293 8 Host Componente C-VLAN di un bridge VLAN IEEE Std. 802.1Q 9 Switch Componente S-VLAN di un bridge VLAN IEEE Std. 802.1Q 10 Switch Relay MAC due porte (TPMR) IEEE Std. 802.
13 Smartport Gestione degli errori Per ulteriori informazioni su LLDP/CDP vedere, rispettivamente, le sezioni Configurazione di LLDP e Configurazione CDP.
Smartport Relazioni con altre funzioni e retrocompatibilità 13 Relazioni con altre funzioni e retrocompatibilità Smartport automatico è abilitato per impostazione predefinita e può essere disattivato. OUI telefonia non può funzionare in concomitanza con Smartport automatico e VLAN voce automatica. Smarport automatico deve essere disattivato prima di abilitare OUI telefonia.
Smartport Attività comuni con Smartport 13 Flusso di lavoro 2: per configurare un'interfaccia come Smartport statico, attenersi alla seguente procedura: PASSAGGIO 1 Per attivare la funzione Smartport sull'interfaccia, aprire la pagina Smartport > Impostazioni interfaccia. PASSAGGIO 2 Selezionare l'interfaccia e fare clic su Modifica. PASSAGGIO 3 Selezionare il tipo di Smartport che deve essere assegnato all'interfaccia nel campo Applicazione Smartport.
Smartport Attività comuni con Smartport 13 Flusso di lavoro 4: per eseguire nuovamente una macro Smartport che ha generato un errore, attenersi alla seguente procedura: PASSAGGIO 1 Nella pagina Impostazioni interfaccia, selezionare un'interfaccia con tipo di Smartport sconosciuto. PASSAGGIO 2 Scegliere Mostra Diagnostica per visualizzare il problema. PASSAGGIO 3 Risolvere il problema e correggerlo. Vedere il suggerimento sulla risoluzione dei problemi indicato di seguito. PASSAGGIO 4 Scegliere Modifica.
Smartport Configurare Smartport tramite l'interfaccia basata su Web 13 Configurare Smartport tramite l'interfaccia basata su Web La funzione Smartport viene configurata nelle pagine Smartport > Proprietà Impostazioni tipo SmartPort e Impostazioni interfaccia. Per la configurazione della VLAN voce, vedere VLAN voce. Per la configurazione di LLDP/CDP vedere, rispettivamente, le sezioni Configurazione di LLDP e Configurazione CDP.
Smartport Configurare Smartport tramite l'interfaccia basata su Web 13 Impostazioni tipo Smartport Utilizzare la pagina Impostazioni tipo Smartport per modificare le impostazioni relative al tipo di Smartport e visualizzare la sorgente macro. Per impostazione predefinita, ogni tipo di Smartport è associato a una coppia di macro Smartport integrate. Vedere Tipi di Smartport per ulteriori informazioni sulle macro a confronto con le anti-macro.
Smartport Configurare Smartport tramite l'interfaccia basata su Web • 13 Parametri macro: mostra i seguenti campi per i tre parametri della macro: - Nome parametro: nome del parametro nella macro. - Valore parametro: valore corrente del parametro nella macro. È modificabile. - Descrizione parametro: descrizione del parametro. È possibile ripristinare i valori predefiniti dei parametri facendo clic su Ripristina impostazioni predefinite.
Smartport Configurare Smartport tramite l'interfaccia basata su Web • 13 Reimpostare interfacce sconosciute. Consente di impostare la modalità delle interfacce sconosciute su Predefinita. Per applicare una macro Smartport, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Smartport > Impostazioni interfaccia. Riapplicare la macro Smartport associata nei seguenti modi: • Selezionare un gruppo di tipi di Smartport (switch, router o AP) e fare clic su Riapplica macro Smartport.
13 Smartport Macro Smartport integrate • Interfaccia: selezionare una porta o un LAG. • Tipo Smartport: visualizza il tipo di Smartport attualmente assegnato alla porta/al LAG. • Applicazione Smartport: selezionare il tipo di Smartport dalla casella a discesa Applicazione Smartport. • Metodo applicazione Smartport: se è selezionato, Smartport automatico assegna automaticamente il tipo di Smartport in base all'annuncio CDP e/o LLDP ricevuto dai dispositivi in collegamento.
Smartport Macro Smartport integrate • server • host • ip_camera • ip_phone • ip_phone_desktop • switch • router • ap 13 desktop [desktop] #interface configuration, for increased network security and reliability when connecting a desktop device, such as a PC, to a switch port.
Smartport Macro Smartport integrate 13 # no smartport switchport trunk native vlan smartport switchport trunk allowed vlan remove all # no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ printer [printer] #macro description printer #macro keywords $native_vlan # #macro key description: $native_vlan: Il messaggio elimina tag da VLA
Smartport Macro Smartport integrate 13 no switchport mode # no port security no port security mode # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ guest [guest] #macro description guest #macro keywords $native_vlan # #macro key description: $native_vlan: Il messaggio elimina tag da VLAN che verrà configurato sulla porta #Default Values are #$native_vlan = Default VLAN # #the port type c
Smartport Macro Smartport integrate 13 no port security mode # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ server [server] #macro description server #macro keywords $native_vlan $max_hosts # #macro key description: $native_vlan: Il messaggio elimina tag da VLAN che verrà configurato sulla porta # $max_hosts: Il numero massimo di dispositivi consentiti sulla porta #Default Values are #
Smartport Macro Smartport integrate 13 no smartport storm-control broadcast enable no smartport storm-control broadcast level # spanning-tree portfast auto # @ host [host] #macro description host #macro keywords $native_vlan $max_hosts # #macro key description: $native_vlan: Il messaggio elimina tag da VLAN che verrà configurato sulla porta # $max_hosts: Il numero massimo di dispositivi consentiti sulla porta #Default Values are #$native_vlan = Default VLAN #$max_hosts = 10 # #the port type cannot be det
Smartport Macro Smartport integrate 13 no smartport storm-control include-multicast # spanning-tree portfast auto # @ ip_camera [ip_camera] #macro description ip_camera #macro keywords $native_vlan # #macro key description: $native_vlan: Il messaggio elimina tag da VLAN che verrà configurato sulla porta #Default Values are #$native_vlan = Default VLAN # switchport mode access switchport access vlan $native_vlan # #single host port security max 1 port security mode max-addresses port security discard trap
Smartport Macro Smartport integrate 13 ip_phone [ip_phone] #macro description ip_phone #macro keywords $native_vlan $voice_vlan $max_hosts # #macro key description: $native_vlan: Il messaggio elimina tag da VLAN che verrà configurato sulla porta # $voice_vlan: L'identificativo voce VLAN # $max_hosts: Il numero massimo di dispositivi consentiti sulla porta #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1 #$max_hosts = 10 # #the default mode is trunk smartport switchport trunk allowed vlan
Smartport Macro Smartport integrate 13 # spanning-tree portfast auto # @ ip_phone_desktop [ip_phone_desktop] #macro description ip_phone_desktop #macro keywords $native_vlan $voice_vlan $max_hosts # #macro key description: $native_vlan: Il messaggio elimina tag da VLAN che verrà configurato sulla porta # $voice_vlan: L'identificativo voce VLAN # $max_hosts: Il numero massimo di dispositivi consentiti sulla porta #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1 #$max_hosts = 10 # #the def
Smartport Macro Smartport integrate 13 no port security no port security mode no port security max # no smartport storm-control broadcast enable no smartport storm-control broadcast level no smartport storm-control include-multicast # spanning-tree portfast auto # @ switch [switch] #macro description switch #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: Il messaggio elimina tag da VLAN che verrà configurato sulla porta # $voice_vlan: L'identificativo voce VLAN #Default V
13 Smartport Macro Smartport integrate router [router] #macro description router #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: Il messaggio elimina tag da VLAN che verrà configurato sulla porta # $voice_vlan: L'identificativo voce VLAN # #Default Values are #$native_vlan = Default VLAN #$voice_vlan = 1 # #the default mode is trunk smartport switchport trunk allowed vlan add all smartport switchport trunk native vlan $native_vlan # smartport storm-control broadcast level
Smartport Macro Smartport integrate 13 ap [ap] #macro description ap #macro keywords $native_vlan $voice_vlan # #macro key description: $native_vlan: Il messaggio elimina tag da VLAN che verrà configurato sulla porta Guida all'amministrazione degli switch gestiti stackable Cisco Small Business serie 500 222
14 Gestione delle porte: PoE La funzione PoE (Power over Ethernet) è disponibile solo nei dispositivi basati su PoE. Per un elenco dei dispositivi basati su PoE, fare riferimento alla sezione Modelli dispositivo. In questa sezione viene descritto come utilizzare la funzione PoE NOTA La funzione PoE non è abilitata sui dispositivi SG500XG/ESW2-550X.
Gestione delle porte: PoE PoE sul dispositivo 14 Power over Ethernet può essere utilizzato in qualsiasi rete aziendale che distribuisce dispositivi a relativamente bassa alimentazione connessi alla LAN Ethernet, come: • Telefoni IP • Access point wireless • Gateway IP • Dispositivi di monitoraggio remoti audio e video Funzionamento di PoE PoE viene implementato nelle seguenti fasi: • Rilevamento: invia impulsi speciali nel cavo in rame.
Gestione delle porte: PoE PoE sul dispositivo 14 È possibile configurare quanto segue: • Alimentazione massima che un PSE può fornire a un PD. • Durante il funzionamento del dispositivo, è possibile passare da Limite di alimentazione classe a Limite porta e vice versa. I valori di alimentazione per porta configurati per la modalità Limite porta vengono conservati.
Gestione delle porte: PoE Proprietà di PoE 14 Sebbene gli switch PoE Sx200/300/500 siano PSE (e come tali devono essere alimentati in CA), potrebbero essere alimentati come dispositivi PD pre-esistenti da un altro PSE a causa di rilevamenti errati. In tal caso, il dispositivo PoE non funziona correttamente e potrebbe non riuscire ad alimentare in modo appropriato i dispositivi PD collegati. Per impedire i rilevamenti errati, disattivare il PoE sulle porte degli switch PoE utilizzate per collegare i PSE.
Gestione delle porte: PoE Impostazioni PoE • 14 Soglia trap di alimentazione: immettere la soglia di utilizzo, cioè una percentuale del limite di alimentazione. Se l'alimentazione supera questo valore, viene attivato un allarme. I seguenti contatori vengono visualizzati per ciascun dispositivo o per tutte le unità dello stack: • Potenza nominale: la quantità totale di alimentazione che il dispositivo può fornire a tutti i PD connessi.
Gestione delle porte: PoE Impostazioni PoE 14 Esempio di priorità PoE: Dato: un dispositivo a 48 porte eroga corrente per un totale di 375 Watt. L'amministratore configura tutte le porte per allocare fino a 30 Watt. Per 48 volte si verifica che 30 porte raggiungono 1440 Watt, ossia un valore troppo alto. Non riuscendo ad alimentare a sufficienza tutte le porte, il dispositivo fornisce alimentazione in base alla priorità.
14 Gestione delle porte: PoE Impostazioni PoE • Classe: è possibile compilare questo campo solo se la modalità di alimentazione impostata nella pagina Proprietà PoE è Limite classe. La classe determina il livello di alimentazione: Classe Alimentazione massima distribuita dalla porta del dispositivo 0 15,4 watt 1 4,0 watt 2 7,0 watt 3 15,4 watt 4 30,0 watt • Contatore sovraccarico: viene visualizzato il numero totale di volte in cui si verifica un sovraccarico di alimentazione.
15 Gestione VLAN In questa sezione vengono illustrati i seguenti argomenti: • Panoramica • VLAN regolari • Impostazioni VLAN privata • Impostazioni GVRP • Gruppi VLAN • VLAN voce • VLAN TV multicast basata su porta di accesso • VLAN TV multicast basata su porta del cliente Panoramica Una VLAN è un gruppo logico di porte che consente ai dispositivi ad essa associati di comunicare l'uno con l'altro sul livello MAC di Ethernet, indipendentemente dal segmento LAN fisico della rete connessa a cu
Gestione VLAN Panoramica 15 Descrizione VLAN Ogni VLAN è configurata con un VID (ID VLAN) univoco con un valore compreso tra 1 e 4094. Una porta di un dispositivo in una rete connessa è un membro di una VLAN se può inviare dati a e ricevere dati dalla VLAN. Una porta è un membro senza tag di una VLAN se tutti i pacchetti destinati a quella porta della VLAN non hanno nessun tag VLAN. Una porta è un membro con tag di una VLAN se tutti i pacchetti destinati a quella porta della VLAN hanno un tag VLAN.
Gestione VLAN Panoramica 15 Ruoli VLAN Le VLAN funzionano a Livello 2. Tutto il traffico della VLAN (unicast/broadcast/multicast) rimane in quella VLAN. I dispositivi associati a diverse VLAN non hanno una connettività diretta l'uno verso l'altro sul livello MAC di Ethernet. I dispositivi di VLAN diverse possono comunicare l'un l'altro solo tramite i router Livello 3. Un router IP, per esempio, deve eseguire il routing del traffico IP tra le VLAN se ogni VLAN rappresenta una subnet IP.
Gestione VLAN Panoramica 15 Un ulteriore vantaggio di QinQ è che non vi è alcuna necessità di configurare i dispositivi edge dei clienti. La funzione QinQ viene abilitata nella pagina Gestione VLAN > Impostazioni interfaccia. VLAN privata La funzione VLAN privata fornisce un isolamento di Livello 2 tra le porte. Ciò significa che a livello di bridging del traffico, invece del routing IP, le porte che condividono lo stesso dominio di broadcast non possono comunicare tra di loro.
Gestione VLAN Panoramica 15 L'acquisizione degli indirizzi MAC condivisi esiste tra le VLAN che appartengono alla stessa VLAN privata (sebbene lo switch supporti l'acquisizione di VLAN indipendenti). Ciò consente il traffico unicast sebbene gli indirizzi MAC dell'host vengano acquisiti da VLAN comunità e isolate, mentre gli indirizzi MAC del server e del router vengono acquisiti dalla VLAN primaria. Una porta VLAN privata può essere aggiunta solo a una VLAN privata.
Gestione VLAN Panoramica 15 Flusso del traffico Di seguito viene descritto il flusso del traffico dagli host ai server/router o ad altri host.
Gestione VLAN Panoramica 15 Di seguito viene descritto il traffico del server/router (risposta all'host).
Gestione VLAN Panoramica 15 Interazione con altre funzioni In questa sezione viene descritta l'interazione tra le VLAN private e altre funzioni di sistema. Funzioni supportate sulla VLAN privata Le seguenti funzioni possono essere attivate solo su una VLAN primaria (e non su una VLAN isolata o comunità), sebbene influiscano su tutte le VLAN nella VLAN privata. • Snooping IGMP e MLD.
15 Gestione VLAN Panoramica • VLAN ospite porta 802.1x • Assegnazione VLAN dinamica porta 802.1x • VLAN TV multicast. NOTA Tenere presente quanto spiegato in seguito: • Sicurezza porta: le voci MAC nella tabella FDB della VLAN sono cancellate quando la porta viene sbloccata. • L'appartenenza della porta a una VLAN privata equivale all'appartenenza della porta alle VLAN 802.
Gestione VLAN VLAN regolari 15 VLAN regolari In questa sezione vengono descritte le pagine dell'interfaccia utente grafica utilizzate per configurare i vari tipi di VLAN.
Gestione VLAN VLAN regolari 15 Impostazioni VLAN predefinite Se si utilizzano le impostazioni predefinite di fabbrica, il dispositivo crea automaticamente la VLAN 1 come la VLAN predefinita, lo stato dell'interfaccia predefinita di tutte le porte è Trunk e tutte le porte sono configurate come membri senza tag della VLAN predefinita. La VLAN predefinita presenta le seguenti caratteristiche: • È distinta, non statica/non dinamica e tutte le porte sono membri senza tag per impostazione predefinita.
15 Gestione VLAN VLAN regolari PASSAGGIO 3 Fare clic su Applica. PASSAGGIO 4 Scegliere Salva (nell'angolo superiore-destro della finestra) e salvare la Configurazione di esecuzione in Configurazione di avvio. L'ID VLAN predefinito dopo il ripristino diventa l'ID VLAN predefinito corrente dopo il riavvio del dispositivo. Impostazioni VLAN: creazione di VLAN È possibile creare una VLAN che però non ha effetto fino a quando la VLAN non viene associata ad almeno una porta, manualmente o dinamicamente.
15 Gestione VLAN VLAN regolari • Stato interfaccia VLAN: selezionare questo campo per bloccare la VLAN. In questo stato, la VLAN non trasmette/riceve messaggi da/a livelli superiori. Ad esempio, se si blocca una VLAN su cui è configurata un'interfaccia IP, il bridging sulla VLAN continua, ma lo switch non può trasmettere e ricevere traffico IP sulla VLAN. • Stato del collegamento trap SNMP: selezionare questo campo per attivare la generazione dello stato del collegamento dei trap SNMP.
15 Gestione VLAN VLAN regolari - VLAN privata: promiscua. Selezionare questa opzione per impostare l'interfaccia come promiscua. • PVID amministrativo: immettere l'ID VLAN della porta (PVID) della VLAN in base a cui sono classificati i frame con tag di priorità e senza tag in ingresso. I possibili valori sono compresi tra 1 e 4094. • Tipo di frame: selezionare il tipo di frame che l'interfaccia può ricevere. I frame che non fanno parte del tipo di frame configurato vengono eliminati all'ingresso.
15 Gestione VLAN VLAN regolari Per reindirizzare i pacchetti correttamente, i dispositivi in grado di rilevare reti VLAN intermedi che trasmettono il traffico VLAN lungo il percorso tra i nodi finali devono essere configurati manualmente o devono rilevare dinamicamente le VLAN e le loro appartenenze alla porta dal protocollo GVRP (Generic VLAN Registration Protocol).
15 Gestione VLAN VLAN regolari - Senza tag: l'interfaccia è un membro senza tag della VLAN. I frame della VLAN vengono inviati senza tag alla VLAN interfaccia. - PVID: selezionare per impostare il PVID dell'interfaccia sul VID della VLAN. PVID è un'impostazione basata sulla porta. PASSAGGIO 4 Fare clic su Applica. Le interfacce vengono assegnate alla VLAN e scritte nel file Configurazione di esecuzione.
15 Gestione VLAN VLAN regolari • Interfaccia: selezionare una porta o un LAG. Selezionare l'unità o lo slot su un dispositivo della serie 500. • Modalità: indica la modalità VLAN della porta selezionata nella pagina Impostazioni interfaccia. • Seleziona VLAN: per associare una porta con VLAN, spostare gli ID VLAN dall'elenco di sinistra all'elenco di destra utilizzando i pulsanti frecce. La VLAN predefinita può apparire nell'elenco di destra se con tag ma non può essere selezionata.
15 Gestione VLAN Impostazioni VLAN privata Impostazioni VLAN privata Nella pagina Impostazioni VLAN privata vengono visualizzate le VLAN private che sono state definite. Per creare una nuova VLAN privata: PASSAGGIO 1 Fare clic su Gestione VLAN > Impostazioni VLAN privata. PASSAGGIO 2 Fare clic sul pulsante Aggiungi. PASSAGGIO 3 Immettere i valori dei seguenti campi: • ID VLAN primaria: selezionare la VLAN da definire come primaria nella VLAN privata.
15 Gestione VLAN Gruppi VLAN GVRP deve essere attivato a livello globale e su ogni porta. Quando attivato, trasmette e riceve GPDU (GARP Packet Data Units). Le VLAN definite ma non attive non vengono divulgate. Per divulgare la VLAN, deve essere attiva su almeno una porta. Per impostazione predefinita, GVRP è disattivato globalmente e sulle porte.
15 Gestione VLAN Gruppi VLAN I gruppi VLAN vengono utilizzati per il bilanciamento del carico di traffico sulla rete Livello 2. I pacchetti vengono assegnati alla VLAN in base alle varie classificazioni configurate (ad esempio, i gruppi VLAN). Se vengono definiti numerosi schemi di classificazione, i pacchetti vengono assegnati alla VLAN nel seguente ordine: • TAG: se il pacchetto è dotato di tag, la VLAN viene tratta dal tag.
Gestione VLAN Gruppi VLAN 15 Flusso di lavoro Per definire un gruppo VLAN basato su MAC, attenersi alla seguente procedura: 1. Assegnare l'indirizzo MAC a un ID gruppo VLAN (nella pagina Gruppi basati su MAC). 2. Per ogni interfaccia necessaria: a. Assegnare il gruppo VLAN a una VLAN (nella pagina Gruppi basati su Mac a VLAN). Le interfacce devono essere in modalità Generale. b. Se l'interfaccia non appartiene alla VLAN, assegnarla manualmente alla VLAN dalla pagina Porta a VLAN.
15 Gestione VLAN Gruppi VLAN Per assegnare un gruppo VLAN basato su MAC a VLAN su un'interfaccia, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Gestione VLAN > Gruppi VLAN > Gruppi basati su MAC a VLAN. PASSAGGIO 2 Fare clic su Aggiungi. PASSAGGIO 3 Immettere i valori dei seguenti campi: • Tipo di gruppo: indica che il gruppo è basato su MAC. • Interfaccia: immettere un'interfaccia generica (porta o LAG) attraverso cui ricevere il traffico.
15 Gestione VLAN Gruppi VLAN • ID gruppo: indica l'ID del gruppo di protocolli a cui viene aggiunta l'interfaccia. PASSAGGIO 2 Fare clic sul pulsante Aggiungi. Viene visualizzata la pagina Aggiungi gruppo basato su protocollo. PASSAGGIO 3 Immettere informazioni nei campi indicati di seguito. • Incapsulamento: tipo di pacchetto del protocollo. Sono disponibili le seguenti opzioni: - Ethernet V2: se selezionata, scegliere il tipo di Ethernet.
15 Gestione VLAN VLAN voce • Interfaccia: numero della porta o del LAG assegnato alla VLAN in base al gruppo basato su protocollo. • ID gruppo: ID del gruppo di protocolli. • ID VLAN: consente di collegare l'interfaccia all'ID VLAN definito dall'utente. PASSAGGIO 4 Fare clic su Applica. Le porte di protocollo vengono associate alle VLAN e definite nel file Configurazione di esecuzione.
Gestione VLAN VLAN voce 15 • IP di terze parti su host PBX: Cisco SBTG CP-79xx, i telefoni SPA5xx e i terminali SPA8800 supportano questo modello di distribuzione. In questo modello, la VLAN utilizzata dai telefoni viene determinata dalla configurazione di rete. Ci possono essere o non essere VLAN voce e dati separate. I telefoni e i terminali VoIP si registrano su PBX IP locale. • IP Centrex/ITSP hosted: Cisco CP-79xx, i telefoni SPA5xx e i terminali SPA8800 supportano questo modello di distribuzione.
Gestione VLAN VLAN voce • 15 VLAN voce automatica In modalità VLAN voce automatica, la VLAN voce può essere sia la VLAN voce predefinita, configurata manualmente, sia appresa da dispositivi esterni come UC3xx/5xx e da switch che dichiarano la VLAN voce in CDP o VSDP. VSDP è un protocollo Cisco definito per il rilevamento del servizio vocale.
15 Gestione VLAN VLAN voce Trigger VLAN voce Quando per la VLAN voce dinamica viene impostata la modalità Attiva VLAN con voce automatica, la VLAN voce automatica diventerà operativa solo se si verificano uno o più trigger. Possibili trigger sono la configurazione della VLAN voce statica, le informazioni VLAN voce ricevute negli annunci CDP adiacenti e le informazioni VLAN voce ricevute nel VSDP (VLAN Voice Discovery Protocol).
Gestione VLAN VLAN voce 15 • Mantiene la VLAN voce finché una nuova VLAN voce con un'origine di priorità più alta non viene rilevata oppure finché la VLAN voce automatica non viene riavviata dall'utente. Al riavvio, il dispositivo reimposta la VLAN voce sulla VLAN voce predefinita e riavvia il rilevamento della VLAN voce automatica.
15 Gestione VLAN VLAN voce Vincoli di VLAN voce Esistono i seguenti vincoli: • È supportata una sola VLAN voce. • Non è possibile rimuovere una VLAN definita come una VLAN voce. Inoltre, i seguenti vincoli sono applicabili a OUI telefonia: • La VLAN voce non può essere VLAN1 (la VLAN predefinita). • La VLAN voce non può essere abilitata per Smartport. • La VLAN voce non supporta l'assegnazione DVA (Dynamic VLAN Assignment).
15 Gestione VLAN VLAN voce NOTA Se il dispositivo è attualmente in modalità OUI telefonia, è necessario disattivare tale modalità prima di poter configurare la VLAN voce automatica. PASSAGGIO 5 Fare clic su Applica. PASSAGGIO 6 Configurare le Smartport come descritto nella sezione Attività comuni con Smartport. PASSAGGIO 7 Configurare LLDP/CDP come descritto, rispettivamente, nelle sezioni Configurazione di LLDP e Configurazione CDP.
Gestione VLAN VLAN voce 15 Configurazione delle proprietà della VLAN voce Utilizzare la pagina Proprietà VLAN voce per eseguire le attività seguenti: • Visualizzare la configurazione corrente della VLAN voce. • Configurare l'ID VLAN della VLAN voce. • Configurare le impostazioni QoS della VLAN voce. • Configurare la modalità VLAN voce (OUI telefonia o VLAN voce automatica). • Configurare le modalità di attivazione della VLAN voce automatica.
15 Gestione VLAN VLAN voce • Attivazione VLAN voce automatica: se la VLAN voce automatica è stata abilitata, selezionare una delle seguenti opzioni per attivare VLAN voce automatica: - Immediato: la VLAN voce automatica sul dispositivo deve essere attivata e messa immediatamente in funzione se abilitata. - Tramite attivazione VLAN voce esterna: la VLAN voce automatica sul dispositivo deve essere attivata e messa in funzione solo se il dispositivo rileva un dispositivo che dichiara la VLAN voce.
15 Gestione VLAN VLAN voce • Indirizzo MAC switch root: l'indirizzo MAC del dispositivo root VLAN voce automatica che rileva o viene configurato con la VLAN voce da cui viene appresa la VLAN voce. • Indirizzo MAC switch: l'indirizzo MAC di base del dispositivo. Se l'indirizzo MAC switch del dispositivo è l'indirizzo MAC switch root, il dispositivo è il root VLAN voce automatica. • Ora modifica ID VLAN voce: l'ultima volta in cui la VLAN voce è stata aggiornata.
15 Gestione VLAN VLAN voce OUI telefonia Gli OUI vengono assegnati dall'autorità di registrazione IEEE (Institute of Electrical and Electronics Engineers, Incorporated). Dato che il numero di produttori di telefoni IP è limitato e noto, i valori OUI noti provocano l'assegnazione automatica dei frame selezionati e della porta su cui vengono visualizzati a una VLAN vocale. La tabella OUI globali può contenere un massimo di 128 OUI.
15 Gestione VLAN VLAN voce Per eliminare tutti gli OUI, selezionare la casella di controllo in alto. Tutti gli OUI sono selezionati e possono essere eliminati facendo clic su Elimina. Se poi si fa clic su Ripristina OUI predefiniti, il sistema recupera gli OUI noti. PASSAGGIO 4 Per aggiungere un nuovo OUI, fare clic su Aggiungi. PASSAGGIO 5 Immettere i valori dei seguenti campi: • OUI telefonia: immettere un nuovo OUI. • Descrizione: immettere il nome di un OUI. PASSAGGIO 6 Fare clic su Applica.
Gestione VLAN VLAN TV multicast basata su porta di accesso • 15 Modalità QoS VLAN voce: selezionare una delle opzioni seguenti: - Tutti: gli attributi QoS vengono applicati su tutti i pacchetti classificati alla VLAN voce. - Indirizzo MAC origine telefonia: gli attributi QoS sono applicati solo ai pacchetti provenienti dai telefoni IP. PASSAGGIO 4 Fare clic su Applica. L'OUI è stato aggiunto.
15 Gestione VLAN VLAN TV multicast basata su porta di accesso • Il parametro relativo al tipo di frame della porta è impostato su Ammetti tutti, consentendo i pacchetti senza tag (vedere Impostazioni interfaccia). La configurazione VLAN TV multicast viene definita per porta. Le porte del cliente vengono configurate in modo che appartengano alle VLAN TV multicast, utilizzando la pagina VLAN TV multicast.
15 Gestione VLAN VLAN TV multicast basata su porta di accesso VLAN regolare VLAN TV multicast Registrazione gruppi La registrazione di tutti i gruppi multicast è dinamica. I gruppi devono essere associati alla VLAN multicast in modo statico, ma la registrazione effettiva delle stazioni è dinamica. Porte di ricezione La VLAN può essere utilizzata per inviare e ricevere traffico (multicast e unicast).
Gestione VLAN VLAN TV multicast basata su porta del cliente 15 PASSAGGIO 2 Scegliere Aggiungi per associare una VLAN a un gruppo multicast. È possibile selezionare qualsiasi VLAN. Una volta selezionata, la VLAN si trasforma in VLAN TV multicast. PASSAGGIO 3 Fare clic su Applica. Le impostazioni della VLAN TV multicast vengono modificate e definite nel file Configurazione di esecuzione.
Gestione VLAN VLAN TV multicast basata su porta del cliente 15 La casella inoltra i pacchetti dalla porta di rete ai dispositivi dell'abbonato in base al tag VLAN del pacchetto. Ciascuna VLAN è associata a una delle porte di accesso MUX. I pacchetti che dagli abbonati giungono alla rete del provider di servizi vengono inoltrati come frame con tag VLAN per fare una distinzione tra i tipi di servizio; ciò significa che nella casella CPE a ciascun tipo di servizio corrisponde un unico ID VLAN.
Gestione VLAN VLAN TV multicast basata su porta del cliente 15 Per associare le VLAN CPE, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Gestione VLAN > VLAN TV multicast basata su porta del cliente > VLAN CPE a VLAN. PASSAGGIO 2 Fare clic su Aggiungi. PASSAGGIO 3 Immettere informazioni nei seguenti campi: • VLAN CPE: immettere la VLAN definita nella casella CPE. • VLAN TV multicast: selezionare la VLAN TV multicast da associare alla VLAN CPE. PASSAGGIO 4 Fare clic su Applica.
16 Spanning Tree In questa sezione viene descritto il protocollo Spanning Tree (STP) (IEEE802.1D e IEEE802.
Spanning Tree Stato STP e Impostazioni generali 16 Il dispositivo supporta le seguenti versioni del protocollo STP (Spanning Tree Protocol): • STP tradizionale, che fornisce un percorso unico tra due stazioni finali qualsiasi, evitando ed eliminando i loop. • STP rapido (RSTP), che rileva le topologie di rete per fornire una convergenza dello spanning tree più rapida.
Spanning Tree Stato STP e Impostazioni generali • • 16 Gestione BPDU: selezionare la modalità di gestione dei pacchetti BPDU (Bridge Protocol Data Unit) se STP è disattivato sulla porta o sul dispositivo. I BPDU vengono utilizzati per trasmettere informazioni sull'albero. - Filtro: i pacchetti BPDU vengono filtrati se lo Spanning Tree è disattivato su un'interfaccia. - Traffico: i pacchetti BPDU vengono distribuiti se lo Spanning Tree è disattivato su un'interfaccia.
Spanning Tree Impostazioni dell'interfaccia di Spanning Tree 16 PASSAGGIO 3 Fare clic su Applica. Le impostazioni globali STP vengono scritte nel file Configurazione di esecuzione. Impostazioni dell'interfaccia di Spanning Tree Nella pagina Impostazioni interfaccia STP è possibile configurare il protocollo STP per singola porta e visualizzare le informazioni rilevate dal protocollo, ad esempio il bridge designato. La configurazione effettuata sarà valida per tutti gli aspetti del protocollo STP.
Spanning Tree Impostazioni dell'interfaccia di Spanning Tree • 16 Guardia BPDU: consente di attivare o disattivare la funzione di Guardia BPDU (Bridge Protocol Data Unit ) sulla porta. La Guardia BPDU consente di applicare i confini del dominio STP e mantiene prevedibile la topologia. I dispositivi dietro le porte abilitate per la Guardia BPDU non possono influenzare la topologia STP. Quando si ricevono i BPDU, il funzionamento della guardia BPDU disattiva la porta configurata con BPDU.
Spanning Tree Impostazioni di Rapid Spanning Tree 16 • Reindirizza transizioni: viene indicato il numero di volte in cui la porta è passata dallo stato di Blocco a quello di Reindirizzamento. • Velocità: viene visualizzata la velocità della porta. • LAG: indica il LAG a cui appartiene la porta. Se una porta appartiene a un LAG, le impostazioni del LAG annulleranno quelle della porta. PASSAGGIO 4 Fare clic su Applica.
Spanning Tree Impostazioni di Rapid Spanning Tree 16 PASSAGGIO 6 Immettere i seguenti parametri: • Interfaccia: impostare l'interfaccia e specificare la porta o il LAG su cui configurare il protocollo RSTP. • Stato amministrativo Point to Point: definisce lo stato del collegamento point to point. Le porte in modalità full duplex sono considerate collegamenti point to point della porta.
Spanning Tree Multiple Spanning Tree - 16 Blocco: la porta è correntemente bloccata e non è in grado di reindirizzare il traffico o rilevare indirizzi MAC. - Ascolto: la porta è in modalità di ascolto e non è in grado di reindirizzare traffico né di rilevare gli indirizzi MAC. - Rilevamento: indica che la porta è in modalità di rilevamento e che non è in grado di reindirizzare il traffico, ma solo di rilevare gli indirizzi MAC.
16 Spanning Tree Proprietà MSTP Proprietà MSTP Il protocollo MSTP a livello globale consente di configurare uno spanning tree diverso in ciascun gruppo VLAN e di bloccare tutti i percorsi alternativi all'interno di ciascuno spanning tree lasciandone disponibile uno. MSTP consente la creazione di regioni MST in grado di eseguire più istanze MST (MSTI). Le regioni e gli altri bridge STP sono connessi tra di loro tramite un albero comune (CST, Common spanning tree).
16 Spanning Tree VLAN a istanza MSTP VLAN a istanza MSTP Nella pagina VLAN a istanza MSTP è possibile associare ciascuna VLAN a un'istanza Multiple Spanning Tree (MSTI). I dispositivi che si trovano nella stessa regione devono avere la stessa associazione tra VLAN e MSTI. NOTA È possibile associare la stessa MSTI a più VLAN, ma ciascuna di queste può essere associata a un'unica istanza MST.
16 Spanning Tree Impostazioni istanza MSTP Impostazioni istanza MSTP Nella pagina Impostazioni istanza MSTP è possibile configurare e visualizzare i parametri di ciascuna istanza MST. Questa configurazione equivale alla configurazione per istanza della pagina di configurazione dello stato STP e delle impostazioni globali. Per immettere l'istanza MSTP, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Spanning Tree > MSTP Impostazioni istanza. PASSAGGIO 2 Immettere i parametri.
Spanning Tree Impostazioni interfaccia MSTP • Istanza uguale a: selezionare un'istanza MSTP da configurare. • Tipo di interfaccia uguale a: scegliere se visualizzare l'elenco delle porte o dei LAG. 16 PASSAGGIO 3 Scegliere Vai. Vengono visualizzati i parametri MSTP per le interfacce dell'istanza. PASSAGGIO 4 Selezionare un'interfaccia e fare clic su Modifica. PASSAGGIO 5 Immettere i parametri. • ID istanza: selezionare un'istanza MST da configurare.
Spanning Tree Impostazioni interfaccia MSTP 16 - Backup: l'interfaccia fornisce un percorso di backup per la porta designata verso le ramificazioni dell'albero. È possibile impostare una porta di backup se due porte sono collegate ad anello tramite un collegamento point to point. Le porte di backup possono essere create anche quando la rete LAN dispone di due o più connessioni stabilite con un segmento condiviso. - Disattivato: indica che l'interfaccia non fa parte dell'albero.
17 Gestione tabelle Indirizzi MAC In questa sezione viene spiegato come aggiungere gli indirizzi MAC al sistema. Vengono trattati i seguenti argomenti: • Indirizzi MAC statici • Indirizzi MAC dinamici • Indirizzi MAC riservati Ci sono due tipi di indirizzi MAC: statico e dinamico. A seconda del tipo, gli indirizzi MAC vengono memorizzati nella tabella Indirizzi statici o nella tabella Indirizzi dinamici insieme alle informazioni sulla VLAN e sulla porta.
Gestione tabelle Indirizzi MAC Indirizzi MAC statici 17 Indirizzi MAC statici È possibile assegnare indirizzi MAC statici a un'interfaccia fisica e una VLAN specifiche sul dispositivo. Se un indirizzo viene rilevato su un'altra interfaccia, viene ignorato e non viene definito nella tabella degli indirizzi. Per definire un indirizzo statico, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Tabelle Indirizzi MAC > Indirizzi statici.
Gestione tabelle Indirizzi MAC Indirizzi MAC dinamici 17 Indirizzi MAC dinamici La tabella degli indirizzi dinamici (tabella di bridging) contiene gli indirizzi MAC acquisiti durante il monitoraggio degli indirizzi di origine dei frame in arrivo sul dispositivo. Per impedire l'overflow della tabella e per fare spazio a nuovi indirizzi, viene eliminato un indirizzo se non si rileva traffico corrispondente per un determinato periodo di tempo, noto come validità temporale.
Gestione tabelle Indirizzi MAC Indirizzi MAC riservati 17 Indirizzi MAC riservati Se il dispositivo riceve un frame con un indirizzo MAC di destinazione appartenente a un intervallo riservato (in base allo standard IEEE), il frame può essere eliminato o connesso. La voce nella tabella Indirizzi MAC riservati può indicare l'indirizzo MAC riservato o l'indirizzo MAC riservato e un tipo di frame.
18 Multicast In questa sezione viene descritta la funzione di reindirizzamento multicast e vengono trattati i seguenti argomenti: • Reindirizzamento multicast • Proprietà multicast • Indirizzo gruppo MAC • Indirizzi IP gruppo multicast • Configurazione multicast IPv4 • Configurazione multicast IPv6 • Gruppo IP Multicast snooping IGMP/MLD • Porte router Multicast • Inoltra tutto • Multicast non registrato Reindirizzamento multicast Il reindirizzamento multicast consente una distribuzione
Multicast Reindirizzamento multicast 18 Se il filtro è attivato, i frame multicast vengono inoltrati su un subset di porte all'interno della VLAN selezionata, come definito nel Multicast Forwarding Data Base (MFDB). Il filtro multicast viene applicato su tutto il traffico. Un modo comune per indicare l'appartenenza multicast è la notazione (S,G) in cui "S" è l'origine (singola) da cui viene inviato un flusso di dati multicast e "G" è l'indirizzo del gruppo IPv4 o IPv6.
18 Multicast Reindirizzamento multicast Registrazione multicast (snooping IGMP/MLD) La registrazione multicast è il processo di ascolto e risposta ai protocolli di registrazione multicast. I protocolli disponibili sono IGMP per IPv4 e MLD per IPv6. Se su un dispositivo che si trova su una VLAN viene attivato lo snooping IGMP/MLD, vengono analizzati i pacchetti IGMP/MLD ricevuti dalla VLAN collegata allo switch e ai router multicast della rete.
18 Multicast Reindirizzamento multicast Se il dispositivo viene attivato come interrogante IGMP, viene avviato 60 secondi dopo il suo passaggio da un router multicast senza aver individuato traffico IGMP (query). Se sono presenti altri interroganti IGMP, il dispositivo potrebbe o meno bloccare l'invio di query, a seconda dei risultati ottenuti dal processo di selezione dell'interrogante standard.
Multicast Reindirizzamento multicast 18 Proxy IGMP/MLD Il proxy IGMP/MLD è un semplice protocollo multicast IP. Mediante l'utilizzo del proxy IGMP/MLD per replicare il traffico multicast sui dispositivi, come i dispositivi edge, è possibile semplificare in modo considerevole la progettazione e l'implementazione di tali dispositivi.
Multicast Proprietà multicast 18 Protezione interfaccia downstream Per impostazione predefinita, il traffico multicast IP che arriva su un'interfaccia dell'albero IGMP/MLD viene reindirizzato. È possibile disattivare il reindirizzamento del traffico multicast IP in entrata sulle interfacce downstream a livello globalle e su una determinata interfaccia downstream.
18 Multicast Indirizzo gruppo MAC Per definire e visualizzare i gruppi MAC multicast, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Multicast > Indirizzo MAC di gruppo. PASSAGGIO 2 Immettere i parametri di filtro. • ID VLAN uguale a: impostare l'ID VLAN del gruppo da visualizzare. • Indirizzo MAC di gruppo uguale a: impostare l'indirizzo MAC del gruppo multicast da visualizzare.
18 Multicast Indirizzi IP gruppo multicast • Non consentito: specifica che non è consentito associare la porta a questo gruppo multicast su questa VLAN. • Nessuno: indica che la porta attualmente non appartiene a questo gruppo multicast della VLAN. PASSAGGIO 10 Scegliere Applica e il file con la Configurazione di esecuzione viene aggiornato. NOTA Le voci che sono state create nella pagina Indirizzo IP gruppo multicast non possono essere eliminate in questa pagina (anche se sono selezionate).
Multicast Configurazione multicast IPv4 18 • ID VLAN: indica l'ID VLAN del gruppo da aggiungere. • Versione IP: selezionare il tipo di indirizzo IP. • Indirizzo IP gruppo Multicast: indica l'indirizzo IP del nuovo gruppo multicast. • Specifico dell'origine: indica che la voce contiene un'origine specifica e aggiunge l'indirizzo nel campo Indirizzo IP di origine. In caso contrario, la voce viene aggiunta come voce di (*,G), un indirizzo IP di gruppo acquisito da qualsiasi origine IP.
Multicast Configurazione multicast IPv4 18 Configurazione Snooping IGMP Per supportare il reindirizzamento multicast selettivo IPv4, è necessario attivare il filtro bridge multicast (nella pagina > Proprietà multicast) e lo snooping IGMP a livello globale e per ogni VLAN selezionata nelle pagine Snooping IGMP.
Multicast Configurazione multicast IPv4 18 • Stato interrogante IGMP: selezionare questa opzione per attivare tale funzione. Questa funzione viene richiesta in assenza di router multicast. • Selezione interrogante IGMP: indica se la selezione dell'interrogante IGMP è attivata o disattivata. Se la procedura di selezione dell'interrogante IGMP è attivata, l'interrogante snooping IGMP supporta la procedura di selezione standard dell'interrogante IGMP specificata in RFC3810.
Multicast Configurazione multicast IPv4 18 Per ogni interfaccia su cui è attivato IGMP vengono visualizzati i campi seguenti: • Nome interfaccia: interfaccia su cui viene definito lo snooping IGMP. • Versione IGMP router: versione IGMP. • Affidabilità query: immettere il numero delle perdite di pacchetti previste su un collegamento. • Intervallo query (sec): intervallo tra le query generali da utilizzare se il dispositivo viene impostato come interrogante.
Multicast Configurazione multicast IPv4 18 • Intervallo query (sec): intervallo tra le query generali da utilizzare se il dispositivo viene impostato come interrogante. • Intervallo risposta max query (sec): ritardo usato per calcolare il Numero massimo risposte inserito nelle Query generali periodiche.
Multicast Configurazione multicast IPv4 • 18 Elenco di accesso IPv4 SSM: definire l'elenco contenente gli indirizzi di origine da cui inviare i pacchetti multicast: - Elenco predefinito: consente di definire l'elenco di accesso dell'intervallo SSM su 232.0.0.0/8. - Elenco di accesso definito dall'utente: selezionare il nome dell'elenco di accesso IPv4 standard che definisce l'intervallo SSM. Questi elenchi di accesso sono definiti in Elenchi di accesso. PASSAGGIO 3 Fare clic su Applica.
Multicast Configurazione multicast IPv6 18 Configurazione multicast IPv6 Le seguenti pagine consentono di impostare la configurazione multicast IPv6: • Snooping MLD • Impostazioni VLAN MLD • Proxy MLD Snooping MLD Per supportare il reindirizzamento multicast selettivo IPv6, è necessario attivare il filtro bridge multicast (nella pagina > Proprietà multicast) e lo snooping MLD a livello globale e per ogni VLAN selezionata nelle pagine Snooping IGMP.
Multicast Configurazione multicast IPv6 18 • Uscita immediata: selezionare questa opzione per consentire allo switch di rimuovere un'interfaccia che invia un messaggio di uscita dalla tabella di inoltro senza prima inviare query generali basate su MAC all'interfaccia. Quando un messaggio di Uscita gruppo MLD viene ricevuto da un host, il sistema rimuove la porta host dalla voce della tabella.
Multicast Configurazione multicast IPv6 18 Impostazioni interfaccia MLD NOTA Questa pagina viene trovata solo sui dispositivi SG500X/SG500XG. Un'interfaccia definita come porta router multicast riceve tutti i pacchetti MLD (report e query) e tutti i dati multicast. Per configurare un'interfaccia come interfaccia router multicast, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Multicast > Configurazione multicast IPv6 > Impostazioni interfaccia MLD.
Multicast Configurazione multicast IPv6 18 Impostazioni VLAN MLD Per configurare MLD su una VLAN specifica, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Multicast > Configurazione multicast IPv6 > Impostazioni VLAN MLD. Per ogni VLAN su cui è attivato MLD vengono visualizzati i campi seguenti: • Nome interfaccia: VLAN per cui vengono visualizzate le informazioni MLD. • Versione router MLD: versione del router MLD.
Multicast Configurazione multicast IPv6 18 Proxy MLD NOTA Questa pagina viene trovata solo sui dispositivi SG500X/SG500XG. Per configurare un proxy MLD, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Multicast > Configurazione multicast IPv6 > Proxy MLD. PASSAGGIO 2 Immettere informazioni nei seguenti campi: • Routing multicast MLD: selezionare questo campo per attivare il routing multicast IPv6.
Multicast Gruppo IP Multicast snooping IGMP/MLD 18 • Interfaccia in ingresso: interfaccia prevista per un pacchetto multicast dall'origine. Se il pacchetto non viene ricevuto su questa interfaccia viene eliminato. • Interfacce in uscita: interfacce mediante cui saranno inoltrati i pacchetti. • Tempo di attività: il numero di ore, minuti e secondi in cui la voce è rimasta nella tabella di routing multicast IP.
Multicast Porte router Multicast 18 • Porte incluse: l'elenco delle porte di destinazione del flusso multicast. • Porte escluse: l'elenco delle porte non incluse nel gruppo. • Modalità di compatibilità: la versione IGMP/MLD di registrazione meno recente degli host ricevuti dal dispositivo sull'indirizzo IP di gruppo. Porte router Multicast Una porta router Multicast (MRouter) è una porta che si connette a un router multicast.
18 Multicast Inoltra tutto Inoltra tutto Nella pagina Inoltra tutto è possibile configurare le porte e/o i LAG che devono ricevere i flussi multicast da una VLAN specifica. Per utilizzare questa funzione, è necessario attivare il filtro bridge multicast nella pagina Proprietà. Se il filtro è disattivato, tutto il traffico multicast viene distribuito alle porte del dispositivo.
18 Multicast Multicast non registrato Multicast non registrato Questa funzione può essere utilizzata per garantire che il cliente riceva solo i gruppi multicast richiesti (registrati) e non gli altri eventualmente trasmessi nella rete (non registrati). Generalmente, i frame multicast vengono reindirizzati a tutte le porte presenti nella VLAN. È possibile selezionare una porta su cui ricevere o rifiutare (filtrare) i flussi multicast non registrati.
19 Configurazione IP Gli indirizzi IP di interfaccia vengono configurati manualmente dall'utente oppure automaticamente da un server DHCP. In questa sezione vengono fornite le informazioni per definire gli indirizzi IP del dispositivo manualmente o impostandolo come client DHCP.
19 Configurazione IP Panoramica Alcune funzioni sono disponibili solo in modalità di sistema Livello 2 o 3, come descritto di seguito: • In modalità di sistema Livello 2 (solo per dispositivi Sx500), il dispositivo è in grado di rilevare una VLAN di Livello 2-e non include funzioni di routing. • In modalità di sistema Livello 3, il dispositivo dispone di funzioni di routing IP e delle funzionalità della modalità di sistema Livello 2.
Configurazione IP Panoramica 19 Quando si configura una VLAN per utilizzare indirizzi IPv4 dinamici, il dispositivo rilascia richieste DHCPv4 fino a quando un server DHCPv4 non assegna un indirizzo IPv4. In modalità di sistema Livello 2, è possibile configurare un indirizzo IP statico o dinamico soltanto per la VLAN di gestione. In modalità di sistema Livello 3, è possibile configurare con un indirizzo IP statico o dinamico tutti i tipi di interfaccia (porte, LAG, e/ o VLAN) sul dispositivo.
Configurazione IP Panoramica 19 Interfaccia loopback Panoramica L'interfaccia loopback è un'interfaccia virtuale il cui stato operativo è sempre attivo. Se l'indirizzo IP configurato su questa interfaccia virtuale viene utilizzato come indirizzo locale quando comunica con applicazioni IP remote, la comunicazione non viene annullata anche se l'attuale percorso all'applicazione remota è stato modificato. Lo stato operativo di un'interfaccia loopback è sempre attivo.
Configurazione IP Interfacce e gestione IPv4 • 19 Nel Livello 3, aggiungere un'interfaccia loopback in Configurazione IP > Interfacce e gestione IPv6 > Interfaccia IPv6. Configurare l'indirizzo IPv6 di tale interfaccia nella pagina Configurazione IP > Interfacce e gestione IPv6 > Indirizzi IPv6. Interfacce e gestione IPv4 Interfaccia IPv4 È possibile definire interfacce IPv4 sul dispositivo se è attiva la modalità di sistema Livello 2 o Livello 3.
19 Configurazione IP Interfacce e gestione IPv4 • Interfaccia loopback: selezionare per consentire la configurazione di un'interfaccia loopback (vedere Interfaccia loopback). • Indirizzo IP loopback: immettere l'indirizzo IPv4 dell'interfaccia loopback. Immettere uno dei seguenti campi per la Maschera Loopback: - Maschera di rete: immettere la maschera dell'indirizzo IPv4 nell'interfaccia loopback. - Lunghezza prefisso: immettere la lunghezza prefisso dell'indirizzo IPv4 dell'interfaccia loopback.
19 Configurazione IP Interfacce e gestione IPv4 Per configurare gli indirizzi IPv4, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Configurazione IP > Interfacce e gestione IPv4 > Interfaccia IPv4. Solo per i dispositivi SG500X, selezionare la casella Attiva per attivare il routing IPv4. Nei dispositivi Sx500, quando si modifica la modalità di sistema da Livello 2 a Livello 3, il routing IP viene eseguito automaticamente.
19 Configurazione IP Interfacce e gestione IPv4 • Interfaccia: selezionare Porta, LAG o VLAN come interfaccia associata alla configurazione IP e scegliere un'interfaccia dall'elenco. • Tipo di indirizzo IP: selezionare una delle seguenti opzioni: - Indirizzo IP dinamico: ottenere l'indirizzo IP da un server DHCP. - Indirizzo IP statico: immettere l'indirizzo IP.
19 Configurazione IP Interfacce e gestione IPv4 • Tipo di percorso: selezionare se il percorso è locale, di rifiuto o remoto. • Indirizzo IP router hop successivo: l'indirizzo IP dell'hop successivo o un alias IP sul percorso. • Proprietario percorso: può essere una delle seguenti opzioni: - Predefinto: il percorso è stato configurato dalla configurazione di sistema predefinita. - Statico: il percorso è stato creato manualmente. - DHCP: il percorso è stato ricevuto da un server DHCP.
19 Configurazione IP Interfacce e gestione IPv4 RIPv2 Vedere la sezione Configurazione IP: RIPv2. Elenco di accesso Vedere la sezione Elenchi di accesso. VRRP Vedere la sezione Configurazione IP: VRRP ARP Il dispositivo gestisce una tabella ARP (Address Resolution Protocol) per tutti i dispositivi conosciuti che si trovano nelle sottoreti IP collegate direttamente. Una subnet IP connessa direttamente è la subnet alla quale è connessa un'interfaccia IPv4 del dispositivo.
19 Configurazione IP Interfacce e gestione IPv4 - Statiche: elimina subito tutti gli indirizzi statici. - Normali scadute: elimina gli indirizzi dinamici in base all'impostazione di Voce ARP scaduta. PASSAGGIO 3 Scegliere Applica. Le impostazioni globali ARP vengono scritte nel file Configurazione di esecuzione. Nella tabella ARP vengono visualizzati i seguenti campi: • Interfaccia: corrisponde all'interfaccia IPv4 della subnet IP connessa direttamente in cui si trova il dispositivo IP.
19 Configurazione IP Interfacce e gestione IPv4 Questa funzione rileva la destinazione del traffico e fornisce un altro indirizzo MAC come risposta. L'utilizzo di un proxy ARP per un host diverso consente effettivamente di indirizzare sull'host una destinazione del traffico LAN. Il percorso del traffico ottenuto viene quindi in genere indirizzato dal proxy alla destinazione stabilita tramite un'altra interfaccia o un tunnel.
19 Configurazione IP Interfacce e gestione IPv4 PASSAGGIO 6 Fare clic su Applica. Le impostazioni dell'inoltro UDP vengono scritte nel file Configurazione di esecuzione. Snooping/inoltro DHCPv4 Snooping DHCPv4 Lo Snooping DHCP fornisce un meccanismo di sicurezza per impedire la ricezione di falsi pacchetti di risposta DHCP e registrare gli indirizzi DHCP. Il meccanismo funziona trattando le porte sul dispositivo come attendibili o non attendibili.
19 Configurazione IP Interfacce e gestione IPv4 Opzione 82 L'Opzione 82 (opzione informazioni sull'agente di Inoltro DHCP) trasmette le informazioni sulla porta e sull'agente a un server DHCP centrale, indicando il punto in cui un indirizzo IP assegnato si connette fisicamente alla rete. L'obiettivo principale dell'Opzione 82 è di supportare il server DHCP nella scelta della migliore subnet IP (pool di rete) da cui ottenere un indirizzo IP.
19 Configurazione IP Interfacce e gestione IPv4 Inoltro DHCP Inoltro DHCP VLAN con indirizzo IP VLAN senza indirizzo IP L'inserimento Opzione 82 non è attivo Il pacchetto viene inviato senza l'Opzione 82 Il pacchetto viene inviato con l'Opzione 82 originale Inoltro: l'Opzione 82 viene inserita Inoltro: il pacchetto viene eliminato Bridge: non viene inserita nessuna Opzione 82 Bridge: il pacchetto viene inviato con l'Opzione 82 originale L'inserimento Opzione 82 è attivo Inoltro: viene inviato
19 Configurazione IP Interfacce e gestione IPv4 L'inserimento Opzione 82 è attivo Inoltro DHCP Inoltro DHCP VLAN con indirizzo IP VLAN senza indirizzo IP Inoltro: viene inviato con l'Opzione 82 Bridge: l'Opzione 82 viene aggiunta Il pacchetto viene inviato con l'Opzione 82 originale (se la porta è attendibile, si comporta come se lo Snooping DHCP fosse attivo) Inoltro: viene inviato con l'Opzione 82 Inoltro: il pacchetto viene eliminato Bridge: l'Opzione 82 viene inserita Bridge: il pacchetto v
19 Configurazione IP Interfacce e gestione IPv4 L'inserimento Opzione 82 non è attivo Inoltro DHCP Inoltro DHCP VLAN con indirizzo IP VLAN senza indirizzo IP Il pacchetto viene inviato senza l'Opzione 82 Inoltro: l'Opzione 82 viene ignorata Il pacchetto viene inviato con l'Opzione 82 originale Bridge: il pacchetto viene inviato senza l'Opzione 82 Inoltro: 1. Se la risposta ha origine nel dispositivo, il pacchetto viene inviato senza l'Opzione 82 2.
19 Configurazione IP Interfacce e gestione IPv4 La seguente tabella descrive in che modo vengono gestiti i pacchetti di risposta DHCP quando lo Snooping DHCP e l'Inoltro DHCP sono entrambi attivi: L'inserimento Opzione 82 non è attivo Inoltro DHCP Inoltro DHCP VLAN con indirizzo IP VLAN senza indirizzo IP Il pacchetto arriva senza l'Opzione 82 Il pacchetto arriva con l'Opzione 82 Il pacchetto arriva senza l'Opzione 82 Il pacchetto arriva con l'Opzione 82 Il pacchetto viene inviato senza l'Opzion
19 Configurazione IP Interfacce e gestione IPv4 Database di binding per snooping DHCP Lo Snooping DHCP crea un database (noto come Database di binding per snooping DHCP) ricavato dalle informazioni prese dai pacchetti DHCP in ingresso nel dispositivo tramite porte attendibili. Il database di binding per snooping DHCP contiene i seguenti dati: porta di ingresso, VLAN di ingresso, indirizzo MAC del client e indirizzo IP del client, se esiste.
19 Configurazione IP Interfacce e gestione IPv4 PASSAGGIO 3 Il dispositivo inoltra i pacchetti DHCPDISCOVER o DHCPREQUEST. PASSAGGIO 4 Il server DHCP invia il pacchetto DHCPOFFER per offrire un indirizzo IP, DHCPACK per assegnarne uno o DHCPNAK per negare una richiesta di indirizzo. PASSAGGIO 5 Il dispositivo esegue lo snooping del pacchetto.
19 Configurazione IP Interfacce e gestione IPv4 Tipo di pacchetto In arrivo da un'interfaccia di ingresso non attendibile In arrivo da un'interfaccia di ingresso attendibile DHCPDECLINE Verifica la presenza di informazioni nel database. Se le informazioni esistono e non corrispondono a quelle dell'interfaccia su cui è stato ricevuto il messaggio, il pacchetto viene filtrato. In caso contrario, il pacchetto viene inoltrato a interfacce attendibili e la voce viene rimossa dal database.
19 Configurazione IP Interfacce e gestione IPv4 Opzioni predefinite DHCP Opzione Stato predefinito Snooping DHCP Attivato Inserimento Opzione 82 Non attivato Passthrough opzione 82 Non attivato Verifica indirizzo MAC Attivato Backup del database di binding per snooping DHCP Non attivato Inoltro DHCP Disattivato Configurazione del flusso di lavoro DHCP Per configurare l'Inoltro DHCP e lo Snooping DHCP, attenersi alla seguente procedura: PASSAGGIO 1 Attivare l'opzione Snooping DHCP e/o Inoltr
19 Configurazione IP Interfacce e gestione IPv4 Immettere informazioni nei seguenti campi: • Opzione 82: selezionare Opzione 82 per inserire le informazioni dell'Opzione 82 nei pacchetti. • Inoltro DHCP: selezionare questa opzione per attivare l'Inoltro DHCP. • Stato snooping DHCP: selezionare questa opzione per attivare lo Snooping DHCP.
19 Configurazione IP Interfacce e gestione IPv4 Interfacce attendibili per snooping DHCP I pacchetti in ingresso da LAG/porte non attendibili vengono controllati a fronte del database di binding per snooping DHCP (vedere la pagina Database di binding per snooping DHCP). Per impostazione predefinita, le interfacce sono attendibili.
19 Configurazione IP Interfacce e gestione IPv4 Vengono visualizzati i campi nel database di binding per snooping DHCP: sono descritti nella pagina Aggiungi ad eccezione del campo Guardia origine IP: • • Stato: - Attivo: Guardia origine IP è attivo sul dispositivo. - Inattivo: Guardia origine IP non è attivo sul dispositivo. Motivo: - Nessun problema - Nessuna risorsa - Nessuna VLAN snoop - Porta attendibile PASSAGGIO 2 Per aggiungere una voce, fare clic su Aggiungi.
19 Configurazione IP Server DHCP Server DHCP La funzionalità Server DHCPv4 consente di configurare il dispositivo come server DHCPv4. Il server DHCPv4 viene utilizzato per assegnare indirizzi IPv4 e altre informazioni a un altro dispositivo (client DHCP). Il server DHCPv4 assegna indirizzi IPv4 da un pool di indirizzi IPv4 definiti dall'utente.
19 Configurazione IP Server DHCP PASSAGGIO 5 Configurare le opzioni DHCP richieste nella pagina Opzioni DHCP. Questo consente di configurare i valori che devono essere restituiti per ogni opzione DHCP rilevante. PASSAGGIO 6 Aggiungere un'interfaccia IP nell'intervallo di uno dei pool DHCP configurati nella pagina Pool di rete. Il dispositivo risponde alle query DHCP da questa Interfaccia IP. Ad esempio: se l'intervallo di pool è 1.1.1.1 -1.1.1.
19 Configurazione IP Server DHCP - Se il messaggio è arrivato mediante inoltro DHCP, l'indirizzo utilizzato appartiene alla sottorete IP specificata dall'indirizzo IP minimo e dalla maschera IP del pool; il pool è remoto. È possibile definire massimo otto pool di reti.
Configurazione IP Server DHCP 19 • Indirizzo IP server dei nomi di dominio (opzione 6): selezionare uno dei dispositivi dei server DNS (se già configurati) oppure selezionare Altro e immettere l'indirizzo IP del server DNS disponibile per il client DHCP. • Nome di dominio (opzione 15): immettere il nome del dominio per un client DHCP. • Indirizzo IP server WINS NetBIOS (opzione 44): immettere il server dei nomi WINS NetBIOS disponibile per un client DHCP.
19 Configurazione IP Server DHCP Per definire un intervallo di indirizzi esclusi, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Configurazione IP > Interfacce e gestione IPv4 > Server DHCP > Indirizzi esclusi per visualizzare la pagina Indirizzi esclusi. Vengono visualizzati tutti gli indirizzi IP esclusi definiti in precedenza.
Configurazione IP Server DHCP 19 • Nome client: immettere il nome dell'host statico utilizzando un set standard di caratteri ASCII. Il nome client non deve includere il nome di dominio. • Indirizzo IP router predefinito (opzione 3): immettere il router predefinito per l'host statico.
19 Configurazione IP Server DHCP Opzioni DHCP Quando il dispositivo opera come server DHCP, le opzioni DHCP possono essere configurate tramite l'utilizzo dell'opzione HEX. È possibile trovare la descrizione di una di queste opzioni in RFC2131. La configurazione di queste opzioni determina la risposta inviata ai client DHCP, i cui pacchetti includono una richiesta (utilizzando l'opzione 55) per le opzioni DHCP configurate.
19 Configurazione IP Server DHCP • Descrizione: immettere una descrizione scritta per la documentazione. PASSAGGIO 4 Fare clic su Applica. Il file Configurazione di esecuzione viene aggiornato. Binding dell'indirizzo Utilizzare la pagina Binding dell'indirizzo per visualizzare ed eliminare indirizzi IP assegnati dal dispositivo e i corrispondenti indirizzi MAC.
Configurazione IP Interfacce e gestione IPv6 19 Interfacce e gestione IPv6 L'Internet Protocol versione 6 (IPv6) è un protocollo a livello di rete per le interreti su cui vengono veicolati i pacchetti. IPv6 è stato ideato per sostituire l'IPv4, il protocollo Internet prevalentemente distribuito. IPv6 presenta una maggiore flessibilità nelle assegnazioni degli indirizzi IP poiché la dimensione degli indirizzi aumenta da 32 bit a 128 bit.
19 Configurazione IP Interfacce e gestione IPv6 Configurazione globale IPv6 Per definire i parametri globali IPv6 e le impostazioni client DHCPv6, attenersi alla seguente procedura: PASSAGGIO 1 In modalità di sistema Livello 2, fare clic su Amministrazione > Interfaccia di gestione > Configurazione globale IPv6. In modalità di sistema Livello 3, fare clic su Configurazione IP > Interfacce e gestione IPv6 > Configurazione globale IPv6.
19 Configurazione IP Interfacce e gestione IPv6 Interfaccia IPv6 È possibile configurare un'interfaccia IPv6 su una porta, un LAG, una VLAN, un'interfaccia loopback o un tunnel. Rispetto ad altri tipi di interfacce, un'interfaccia tunnel innanzitutto viene creata nella pagina Tunnel IPv6, quindi l'interfaccia IPv6 viene configurata nel tunnel in questa pagina.
19 Configurazione IP Interfacce e gestione IPv6 • Tempo aggiornamento informazioni: questo valore indica la frequenza di aggiornamento delle informazioni sul dispositivo ricevute dal server DHCPv6. Se questa opzione non viene ricevuta dal server, viene utilizzato il valore immesso qui. Selezionare Infinito (l'aggiornamento avviene soltanto se il server invia questa opzione) oppure Definito dall'utente per impostare un valore.
19 Configurazione IP Interfacce e gestione IPv6 PASSAGGIO 11 Selezionare Riavvia per avviare l'aggiornamento delle informazioni stateless ricevute dal server DHCPv6. Dettagli client DHCPv6 Il pulsante Dettagli consente di visualizzare le informazioni ricevute sull'interfaccia da un server DHCPv6. Questo pulsante è attivo quando l'interfaccia selezionata è definita come client stateless DHCPv6.
19 Configurazione IP Interfacce e gestione IPv6 Tunnel IPv6 I tunnel consentono la trasmissione di pacchetti IPv6 su reti IPv4. Ogni tunnel ha un indirizzo IPv4 di origine e se si tratta di un tunnel manuale ha anche un indirizzo IPv4 di destinazione. Il pacchetto IPv6 è incapsulato tra questi indirizzi. NOTA Solo l'interfaccia di gestione IPv6 può essere trasmessa mediante tunnel.
19 Configurazione IP Interfacce e gestione IPv6 Lo switch crea automaticamente un prefisso On-Link 2002::/16 sul tunnel 6to4. Il percorso connesso 2002::/16 sul tunnel viene aggiunto alla tabella di routing in seguito alla crezione del prefisso On-Link. Quando la modalità 6to4 del tunnel viene modificata, vengono rimossi il prefisso On-Link e i percorsi connessi.
Configurazione IP Interfacce e gestione IPv6 19 • Nome tunnel: selezionare il numero del tunnel. • Tipo di tunnel: consente di visualizzare i tipi di tunnel: manuale, ISATAPe 6 to 4. • Tipo tunnel: selezionare questa opzione per attivare il tunnel. In questo campo verrà indicato il blocco del tunnel, se questo avviene in un secondo momento. • Trap SNMP sullo stato del collegamento: selezionare per attivare la generazione di una trap quando viene modificato lo stato del collegamento di una porta.
19 Configurazione IP Interfacce e gestione IPv6 Definizione indirizzi IPv6 Per assegnare un indirizzo IPv6 su un'interfaccia IPv6, attenersi alla seguente procedura: PASSAGGIO 1 In modalità di sistema Livello 2, fare clic su Amministrazione > Interfaccia di gestione > Indirizzi IPv6. In modalità di sistema Livello 3, fare clic su Configurazione IP > Interfacce e gestione IPv6 > Indirizzi IPv6. PASSAGGIO 2 Per applicare un filtro alla tabella, selezionare il nome di un'interfaccia e fare clic su Vai.
19 Configurazione IP Interfacce e gestione IPv6 • Lunghezza prefisso: è la lunghezza del prefisso dell'IPv6 globale, espresso da un valore da 0-a 128 che indica il numero di bit contigui più significativi che formano il prefisso dell'indirizzo (la parte dell'indirizzo che indica la rete). • EUI-64: utilizzare il parametro EUI-64 per identificare la parte dell'ID dell'interfaccia dell'indirizzo IPv6 globale attraverso il formato EUI-64, sulla base dell'indirizzo MAC di un dispositivo.
19 Configurazione IP Interfacce e gestione IPv6 • Flag configurazione indirizzo gestito: selezionare questo flag per indicare agli host collegati che devono utilizzare la configurazione automatica stateful per ottenere gli indirizzi. Gli host possono utilizzare simultaneamente la configurazione automatica degli indirizzi stateful e stateless.
19 Configurazione IP Interfacce e gestione IPv6 Prefissi IPv6 Per definire i prefissi da dichiarare sulle interfacce del dispositivo, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Configurazione IP > Interfacce e gestione IPv6 > Configurazione router IPv6 > Prefissi IPv6. PASSAGGIO 2 Se richiesto, attivare il campo Filtro e fare clic su Vai. Viene visualizzato il gruppo di interfacce corrispondenti al filtro. PASSAGGIO 3 Per aggiungere un'interfaccia, fare clic su Aggiungi.
19 Configurazione IP Interfacce e gestione IPv6 • Stato prefisso: selezionare una delle seguenti opzioni: - On-link: configura il prefisso specificato come on-link. I nodi che inviano traffico a indirizzi che contengono il prefisso specificato considerano la destinazione raggiungibile localmente sul collegamento. Un prefisso on-link viene inserito nella tabella di routing come prefisso connesso (bit L impostato). - Nessun-On-link: configura il prefisso specificato come no on-link.
19 Configurazione IP Interfacce e gestione IPv6 In questa pagina vengono visualizzati i seguenti campi per ogni router predefinito: • Interfaccia: interfaccia IPv6 esterna in cui si trova il router predefinito. • Indirizzo IPv6 router predefinito: indirizzo IP locale collegamento del router predefinito. • Tipo: configurazione del router predefinito che include le opzioni seguenti: - Statico: il router predefinito è stato aggiunto manualmente nella tabella con il pulsante Aggiungi.
19 Configurazione IP Interfacce e gestione IPv6 Definizione delle informazioni sui router IPv6 adiacenti Nella pagina Router IPv6 adiacenti è possibile configurare e visualizzare l'elenco di router IPv6 adiacenti sull'interfaccia IPv6. La tabella Router IPv6 adiacenti (nota anche come cache di rilevamento dei router adiacenti IPv6) consente di visualizzare gli indirizzi MAC dei router adiacenti IPv6 che si trovano nella stessa subnet del dispositivo. È l'equivalente IPv6 della Tabella ARP IPv4.
19 Configurazione IP Interfacce e gestione IPv6 - Ritardo: il router adiacente precedentemente riconosciuto non è raggiungibile. L'interfaccia presenta lo stato Ritardo in base a un Tempo di ritardo predefinito. Se non si riceve conferma sulla raggiungibilità, lo stato diventerà Sonda. - Sonda: il router adiacente non è più raggiungibile e vengono inviate sonde di tipo Unicast Neighbor Solicitation per verificarne la raggiungibilità.
19 Configurazione IP Interfacce e gestione IPv6 I parametri Maggiore di e Minore di vengono utilizzati per specificare un intervallo di lunghezze del prefisso e offrire una configurazione più flessibile rispetto al solo utilizzo dell'argomento rete/lunghezza. Un elenco di prefissi viene elaborato utilizzando una corrispondenza esatta quando i parametri Maggiore di e Minore di non sono specificati.
19 Configurazione IP Interfacce e gestione IPv6 • Lunghezza prefisso: lunghezza prefisso del percorso IP. • Maggiore di: lunghezza minima del prefisso da utilizzare per la corrispondenza. Selezionare una delle seguenti opzioni: • • - Nessun limite: nessuna lunghezza minima del prefisso da utilizzare per la corrispondenza. - Definito dall'utente: lunghezza minima del prefisso da soddisfare. Minore di: lunghezza massima del prefisso da utilizzare per la corrispondenza.
Configurazione IP Interfacce e gestione IPv6 • 19 Elenco indirizzi IPv6 di origine: selezionare una delle seguenti opzioni: - Qualsiasi: qualsiasi indirizzo IPv6 può essere l'origine. - Definito dall'utente: solo l'indirizzo IPv6 specificato può essere l'origine. • Lunghezza prefisso: immettere la lunghezza del prefisso dell'indirizzo IPv6 di origine. • Azione: selezionare una delle seguenti opzioni: - Consenti: consente il passaggio dell'indirizzo IPv6 di origine.
Configurazione IP Interfacce e gestione IPv6 • 19 Passaggio successivo: indirizzo a cui viene reindirizzato il pacchetto. Generalmente, corrisponde all'indirizzo di un router adiacente Può essere di uno dei seguenti tipi: - Collegamento locale: un'interfaccia e un indirizzo IPv6 che identificano in modo univoco gli host in un singolo collegamento di rete.
19 Configurazione IP Interfacce e gestione IPv6 Dipendenze con altre funzioni Le funzioni client e di inoltro DHCPv6 si escludono a vicenda su un'interfaccia. Destinazioni globali Per configurare un elenco di server DHCPv6 a cui vengono inoltrati tutti i pacchetti DHCPv6, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Configurazione IP > Interfacce e gestione IPv6 > Inoltro DHCPv6 > Destinazioni globali. PASSAGGIO 2 Per aggiungere un server DHCPv6 predefinito, fare clic su Aggiungi.
Configurazione IP Nome di dominio 19 • Tipo di indirizzo IPv6: immettere il tipo di indirizzo di destinazione a cui inoltrare i messaggi client. Il tipo di indirizzo può essere Collegamento locale, Globale o Multicast (All_DHCP_Relay_Agents_and_Servers). • Indirizzo IP del server DHCPv6: immettere l'indirizzo del server DHCPv6 a cui inoltrare i pacchetti.
19 Configurazione IP Nome di dominio • Parametri predefiniti: immettere i seguenti parametri predefiniti: - Nome dominio predefinito: immettere il nome di dominio DNS utilizzato per completare nomi host non qualificati. Il dispositivo lo aggiunge a tutti i nomi di dominio non-completamente qualificati (NFQDN), trasformandoli in FQDN. NOTA Non includere il punto iniziale che separa il nome non qualificato dal nome di dominio (come cisco.com).
19 Configurazione IP Nome di dominio • Preferenza: selezionare un valore che determina l'ordine di utilizzo dei domini (dal basso all'alto). Ciò determina in maniera efficace l'ordine in cui i nomi non qualificati vengono completati durante le query DNS. PASSAGGIO 5 Fare clic su Applica. Il server DNS viene salvato nel file di configurazione esecuzione.
19 Configurazione IP Nome di dominio Per aggiungere un nome host e il relativo indirizzo IP, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Configurazione IP > Sistema nomi dominio > Associazione host. PASSAGGIO 2 Se richiesto, è possibile selezionare l'opzione Cancella tabella per cancellare alcune o tutte le voci nella Tabella Associazione host. • Solo statico: elimina gli host statici. • Solo dinamico: elimina gli host dinamici.
19 Configurazione IP Nome di dominio • Interfaccia locale collegamento: se il tipo di indirizzo IPv6 è Collegamento locale, selezionare l'interfaccia attraverso la quale viene ricevuto. • Nome host: immettere un nome host definito dall'utente o completo. I nomi host sono limitati alle lettere ASCII dalla A alla Z (senza distinzione tra maiuscole e minuscole), alle cifre da 0 a 9, al carattere di sottolineatura e al trattino. Per separare le etichette, utilizzare il punto (.).
20 Configurazione IP: RIPv2 In questa sezione viene descritta la funzione RIP (Routing Information Protocol) versione 2. Vengono trattati i seguenti argomenti: • Panoramica • Funzionamento del protocollo RIP sul dispositivo • Configurazione del RIP NOTA Il protocollo RIP è supportato nei seguenti dispositivi: - SG500X/SG500XG in modalità stack indipendente. - SG500X/SG500XG in modalità stack ibrido avanzata nel livello 3.
Configurazione IP: RIPv2 Funzionamento del protocollo RIP sul dispositivo 20 Il dispositivo supporta la versione 2 di RIP, che si basa sui seguenti standard: • RFC2453 Versione 2 del RIP, novembre 1998 • RFC2082 Autenticazione MD RIP-2, gennaio 1997 • RFC1724 Estensione MIB versione 2 del RIP I pacchetti RIPv1 ricevuti vengono eliminati.
Configurazione IP: RIPv2 Funzionamento del protocollo RIP sul dispositivo 20 È necessario impostare l'offset per ciascuna interfaccia (1 per impostazione predefinita). Di seguito viene illustrata la configurazione dell'offset per le varie interfacce in base alla velocità della porta. Configurazione dell'offset (in base alla velocità della porta) Il router rD può inviare dati a rA tramite rB o rC.
Configurazione IP: RIPv2 Funzionamento del protocollo RIP sul dispositivo 20 Applicazione del filtro agli aggiornamenti di routing È possibile applicare il filtro ai percorsi in entrata e in uscita di una determinata interfaccia IP utilizzando due elenchi di accesso standard: uno per quelli in entrata e uno per quelli in uscita. L'elenco di accesso standard è un elenco con nome e ordinato di coppie di prefissi IP (indirizzo IP e lunghezza maschera IP) e azioni. L'azione può essere negata o consentita.
Configurazione IP: RIPv2 Funzionamento del protocollo RIP sul dispositivo • 20 Trasparente (opzione predefinita) Consente al RIP di utilizzare la metrica della tabella di routing come metrica RIP per la configurazione distribuita dei percorsi. Ne consegue il comportamento seguente: • - Se il valore di metrica di un percorso è minore o uguale a 15, il valore viene utilizzato nel protocollo RIP quando si annuncia il percorso.
Configurazione IP: RIPv2 Funzionamento del protocollo RIP sul dispositivo 20 La configurazione del percorso connesso del router rB può essere distribuita al router rC mediante la metrica predefinita o il sistema trasparente. Un percorso statico/connesso viene ridistribuito con la metrica del percorso (metrica trasparente) o con la metrica definita dal comando di metrica predefinita. Per ulteriori informazioni, vedere la sezione Funzione di ridistribuzione.
Configurazione IP: RIPv2 Configurazione del RIP 20 Configurazione del RIP È possibile eseguire le operazioni indicate di seguito. • • Operazioni obbligatorie: - Attivare/disattivare il protocollo RIP a livello globale nella pagina Proprietà RIPv2. - Attivare/disattivare il protocollo RIP su un'interfaccia IP nella pagina Impostazioni RIPv2.
Configurazione IP: RIPv2 Configurazione del RIP 20 • Annuncio percorso predefinito: selezionare questa opzione per attivare l'invio del percorso predefinito al dominio RIP. Questo percorso funge da router predefinito. • Metrica predefinita: immettere il valore della metrica predefinita (fare riferimento a Funzione di ridistribuzione). PASSAGGIO 3 Ridistribuisci percorso statico: selezionare questa opzione per attivare la funzione corrispondente (descritta in Funzione di ridistribuzione).
Configurazione IP: RIPv2 Configurazione del RIP 20 Impostazioni RIPv2 su interfaccia IP Per configurare il protocollo RIP su un'interfaccia IP, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Configurazione IP > RIPv2 > Impostazioni RIPv2. PASSAGGIO 2 I parametri RIP vengono visualizzati per interfaccia IP.
Configurazione IP: RIPv2 Configurazione del RIP 20 • Elenco di distribuzione in ingresso: selezionare questa opzione per configurare il filtro sui percorsi RIP in ingresso per l'indirizzo o gli indirizzi IP specificati nel nome dell'elenco di accesso.
Configurazione IP: RIPv2 Configurazione del RIP 20 Visualizzazione del database paritetico RIP Per visualizzare il database paritetici (contigui) RIP, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Configurazione IP > RIPv2 > Database router paritetico RIPv2. Per il database router paritetico vengono visualizzati i seguenti campi: • Indirizzo IP del router: l'interfaccia IP definita su un'interfaccia di Livello 2.
Configurazione IP: RIPv2 Configurazione del RIP • • 20 Maschera IPv4 di origine: immettere il valore e il tipo di maschera dell'indirizzo IPv4 di origine. Sono disponibili le seguenti opzioni: - Maschera di rete: immettere la maschera di rete. - Lunghezza prefisso: immettere la lunghezza del prefisso. Azione: selezionare un'azione per l'elenco di accesso. Sono disponibili le seguenti opzioni: - Consenti: consente l'ingresso di pacchetti provenienti da indirizzi IP presenti nell'elenco di accesso.
21 Configurazione IP: VRRP In questo capitolo viene descritto il funzionamento del protocollo VRRP (Virtual Router Redundancy Protocol, protocollo di ridondanza router virtuale), oltre alle modalità di configurazione dei router virtuali con VRRP tramite interfaccia utente Web. NOTA I modelli SF500 non supportano la funzione VRRP.
Configurazione IP: VRRP Panoramica 21 Vincoli VRRP è supportato solo sugli switch SG500X/ESW2-550X. Topologia VRRP L'immagine sotto mostra una topologia LAN in cui è configurato il protocollo VRRP. In questo esempio, i router A, B e C sono VRRP e comprendono un router virtuale. L'indirizzo IP del router virtuale è lo stesso di quello configurato per l'interfaccia Ethernet del router A (198.168.2.1).
Configurazione IP: VRRP Panoramica 21 NOTA La priorità del router VRRP dipende da quanto segue: se il router VRRP è il proprietario, la sua priorità è 255 (massimo), se non è proprietario, la priorità viene configurata manualmente (sempre inferiore a 255). Una volta ripristinato, il router A torna a essere il router virtuale master.
Configurazione IP: VRRP Elementi configurabili di VRRP 21 In questa topologia, sono configurati due router virtuali. Per il router virtuale 1, rA è il proprietario dell'indirizzo IP 192.168.2.1 ed è il master del router virtuale, mentre rB è il backup del router virtuale su rA. I client 1 e 2 sono configurati con l'indirizzo IP del gateway predefinito 192.168.2.1. Per il router virtuale 2, rB è il proprietario dell'indirizzo IP 192.168.2.
Configurazione IP: VRRP Elementi configurabili di VRRP 21 Durante la configurazione di un router virtuale si possono verificare i seguenti casi: • Tutti i router VRRP esistenti del router virtuale funzionano in VRRPv3. In questo caso, configurare il nuovo router VRRP in modo che funzioni in VRRPv3. • Tutti i router VRRP esistenti del router virtuale funzionano in VRRPv2. In questo caso, configurare il nuovo router VRRP in modo che funzioni in VRRPv2.
Configurazione IP: VRRP Elementi configurabili di VRRP 21 Tutti i router VRRP che supportano lo stesso router virtuale devono avere la stessa configurazione. Se le configurazioni sono diverse, viene utilizzata quella del master. Un router VRRP di backup trasmette un syslog quando la sua configurazione è diversa da quella del master.
Configurazione IP: VRRP Configurazione del protocollo VRRP 21 Annunci VRRP Il master del router virtuale invia annunci VRRP ai router che si trovano nello stesso gruppo (configurati con lo stesso identificatore router virtuale). Gli annunci VRRP sono incapsulati nei pacchetti IP e inviati all'indirizzo multicast IPv4 assegnato al gruppo VRRP. Gli annunci sono inviati ogni secondo per impostazione predefinita; l'intervallo di annuncio è configurabile.
Configurazione IP: VRRP Configurazione del protocollo VRRP 21 • Se è selezionata l'opzione No, è necessario inserire gli indirizzi del router virtuale nel campo Indirizzo IP del router virtuale. Nel caso in cui qui vengano aggiunti più indirizzi IP, separarli nel seguente modo: 1.1.1.1, 2.2.2.2. • Indirizzo IP di origine: selezionare l'indirizzo IP da utilizzare nei messaggi VRRP. L'indirizzo IP di origine predefinito è quello minore tra gli indirizzi IP definiti sull'interfaccia.
Configurazione IP: VRRP Configurazione del protocollo VRRP • • 21 I miei parametri del router virtuale selezionato: - Priorità: priorità del dispositivo di questo router virtuale, in base alla sua capacità di funzionare come master. - Intervallo annuncio: intervallo di tempo, come descritto nella sezione Annunci VRRP. - Indirizzo IP di origine: indirizzo IP da utilizzare nei messaggi VRRP.
22 Protezione Questa sezione descrive la sicurezza del dispositivo e il controllo degli accessi. Il sistema gestisce diversi tipi di sicurezza. Nel seguente elenco di argomenti vengono descritti i diversi tipi di funzioni di sicurezza presenti in questa sezione. Alcune funzioni vengono utilizzate per più di un tipo di sicurezza o controllo e quindi compaiono due volte nell'elenco degli argomenti di seguito.
22 Protezione Definizione degli utenti • Configurazione del RADIUS • Configurazione della sicurezza della porta • 802.1X • Intervallo di tempo La protezione da altri utenti di rete viene descritta nelle seguenti sezioni. Si tratta di attacchi che passano attraverso il dispositivo, ma che non sono destinati al dispositivo stesso.
22 Protezione Definizione degli utenti Per aggiungere un nuovo utente, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Amministrazione > Account utente. In questa pagina vengono visualizzati gli utenti definiti nel sistema e il relativo livello di privilegio. PASSAGGIO 2 Selezionare Servizio di recupero password per attivare la funzione.
22 Protezione Definizione degli utenti Impostazione delle regole di complessità password Le password vengono utilizzate per autenticare gli utenti che accedono al dispositivo. Password semplici comportano potenziali pericoli per la sicurezza. Pertanto, i requisiti di complessità della password vengono applicati per impostazione predefinita e possono essere configurati secondo necessità.
Protezione Configurazione del protocollo TACACS+ 22 • Ripetizione caratteri consentita: immettere il numero di ripetizioni di un carattere consentite. • Numero minimo classi di caratteri: immettere il numero di classi di caratteri che devono essere presenti in una password. Le classi di caratteri sono minuscolo (1), maiuscolo (2), cifre (3) e simboli o caratteri speciali (4).
22 Protezione Configurazione del protocollo TACACS+ Accounting tramite un server TACACS+ L'utente può attivare l'accounting delle sessioni di accesso utilizzando un server RADIUS o TACACS+. La porta TCP configurabile dall'utente e utilizzata per l'accounting del server TACACS+ è la stessa porta TCP utilizzata per l'autenticazione e l'autorizzazione del server TACACS+.
Protezione Configurazione del protocollo TACACS+ 22 Flusso di lavoro Per utilizzare un server TACACS+, attenersi alla seguente procedura: PASSAGGIO 1 Creare un account per un utente sul server TACACS+. PASSAGGIO 2 Configurare il server con gli altri parametri nelle pagine TACACS+ e Aggiungi server TACACS+.
Protezione Configurazione del protocollo TACACS+ 22 Se si immette una stringa di chiavi qui e una per un singolo server TACACS+, la stringa di chiavi configurata per il singolo server TACACS+ ha la precedenza. • Timeout per risposta: immettere l'intervallo di tempo che deve trascorrere prima che si verifichi il timeout della connessione tra il dispositivo e il server TACACS+.
22 Protezione Configurazione del RADIUS • Indirizzo IP/Nome server: immettere l'indirizzo IP o il nome del server TACACS+. • Priorità: immettere l'ordine in cui viene utilizzato questo server TACACS+. Zero è la priorità più alta del server TACACS+, il primo server utilizzato. Se non è possibile stabilire una sessione con il server ad alta priorità, il dispositivo cercherà il server con la priorità più alta successiva.
22 Protezione Configurazione del RADIUS Il dispositivo può agire come client RADIUS che utilizza il server RADIUS per i seguenti servizi: • Autenticazione: fornisce l'autenticazione degli utenti normali e 802.1X che accedono al dispositivo utilizzando nomi utente e password definiti dagli utenti. • Autorizzazione: eseguita al momento dell'accesso. Terminata la sessione di autenticazione, viene avviata una sessione di autorizzazione utilizzando il nome utente autenticato.
22 Protezione Configurazione del RADIUS Per impostare i parametri del server RADIUS, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Protezione > RADIUS. PASSAGGIO 2 Immettere l'opzione Accounting RADIUS. Sono disponibili le seguenti opzioni: • Controllo dell'accesso basato su porte (802.1X, basato su MAC, autenticazione Web): specifica che il server RADIUS viene utilizzato per la registrazione della porta 802.1x.
22 Protezione Configurazione del RADIUS NOTA Se è selezionata l'opzione Auto, il sistema utilizza l'indirizzo IP definito nell'interfaccia in uscita come indirizzo IP di origine. PASSAGGIO 4 Fare clic su Applica. Le impostazioni predefinite RADIUS per il dispositivo vengono aggiornate nel file di configurazione esecuzione. Per aggiungere un server RADIUS fare clic su Aggiungi. PASSAGGIO 5 Immettere i valori nei campi corrispondenti ad ogni server RADIUS.
22 Protezione Gestione delle chiavi • Porta di autenticazione: immettere il numero della porta UDP della porta del server RADIUS per le richieste di autenticazione. • Porta di registrazione: immettere il numero della porta UDP della porta del server RADIUS per le richieste di registrazione. • Tentativi: selezionare Definito dall'utente e immettere il numero di richieste che devono essere trasmesse al server RADIUS prima che si verifichi un errore.
22 Protezione Gestione delle chiavi Per creare un keychain, attenersi alla seguente procedura: PASSAGGIO 1 Creare un keychain con chiave univoca nella pagina Impostazioni keychain. PASSAGGIO 2 Aggiungere ulteriori chiavi nella pagina Impostazioni chiavi. Creazione di un keychain Accedere alla pagina Impostazioni keychain per creare un nuovo keychain. PASSAGGIO 1 Scegliere Protezione > Gestione delle chiavi > Impostazioni keychain.
22 Protezione Gestione delle chiavi • • Ora di fine: inserire l'ultima data in cui l'identificatore di chiavi è valido. Selezionare una delle seguenti opzioni. - Infinito: indica che l'identificatore chiave ha validità infinita. - Durata: indica che la durata dell'identificatore di chiavi è limitata. Se si seleziona questa opzione, è necessario immettere i valori nei campi seguenti. Durata: il periodo di tempo in cui l'identificatore di chiavi è valido.
Protezione Metodo di accesso a gestione • 22 Accetta periodo di validità: specifica i casi in cui i pacchetti con questa chiave vengono accettati. Selezionare una delle seguenti opzioni. - Sempre valido: indica che l'identificatore chiave ha validità infinita. - Definito dall'utente: indica che la durata del keychain è limitata. Se si seleziona questa opzione, è necessario immettere i valori nei campi seguenti.
Protezione Metodo di accesso a gestione 22 Ogni profilo di accesso è composta da una o più regole. Le regole vengono eseguite in ordine di priorità nel profilo di accesso (dall'alto al basso).
Protezione Metodo di accesso a gestione 22 Utilizzare la pagina Profili di accesso per creare un profilo di accesso e per aggiungere la sua prima regola. Se il profilo di accesso contiene solo una singola regola, il processo è terminato. Per aggiungere ulteriori regole al profilo, utilizzare la pagina Regole di profilo. PASSAGGIO 1 Scegliere Protezione > Metodo accesso Gestione > Profili di accesso. In questa pagina vengono visualizzati tutti i profili di accesso, attivi e inattivi.
Protezione Metodo di accesso a gestione • • 22 - HTTP: gli utenti che richiedono l'accesso al dispositivo e che soddisfano i criteri del profilo di accesso HTTP viene consentito o negato l'accesso. - HTTP protetto (HTTPS): agli utenti che richiedono l'accesso al dispositivo e che soddisfano i criteri del profilo di accesso HTTPS viene consentito o negato l'accesso.
Protezione Metodo di accesso a gestione 22 Definizione delle regole di profilo I profili di accesso possono contenere fino a 128 regole per stabilire chi ha il permesso di gestire e accedere al dispositivo e i metodi di accesso che è possibile utilizzare. Ogni regola in un profilo di accesso contiene un'azione e criteri (uno o più parametri) a cui corrispondere. Ogni regola ha una priorità le regole con la priorità più bassa vengono verificate per prime.
Protezione Metodo di accesso a gestione - 22 SNMP: agli utenti che richiedono l'accesso al dispositivo e che soddisfano i criteri del profilo di accesso SNMP viene consentito o negato l'accesso. • Azione: selezionare Consenti per accettare gli utenti che cercano di accedere al dispositivo utilizzando il metodo di accesso configurato dall'interfaccia e dall'origine IP definite in questa regola. Oppure selezionare Nega per negare l'accesso.
Protezione Autenticazione di accesso a gestione 22 Autenticazione di accesso a gestione È possibile assegnare metodi di autenticazione e autorizzazione ai vari metodi di accesso alla gestione, come SSH, console, Telnet, HTTP e HTTPS. L'autenticazione può essere eseguita localmente o su un server TACACS+ o RADIUS. Se l'autorizzazione è abilitata, sono verificati sia i privilegi di identità sia quelli di lettura/scrittura dell'utente.
Protezione Gestione sicura dei dati sensibili 22 • TACACS+: l'utente autorizzato/autenticato sul server TACACS+. È necessario aver configurato uno o più server TACACS+. • Nessuno: l'utente può accedere al dispositivo senza autorizzazione/autenticazione. • Locale: il nome utente e la password vengono confrontati con i dati memorizzati nel dispositivo locale. Le coppie nome utente e password vengono definite nella pagina Account utente.
Protezione Server SSL 22 Impostazioni predefinite e configurazione Il dispositivo contiene un certificato modificabile per impostazione predefinita. HTTPS è attivo per impostazione predefinita. Impostazioni autenticazione del server SSL Potrebbe essere necessario generare un nuovo certificato che sostituisca il certificato predefinito rilevato nel dispositivo.
22 Protezione Server SSH PASSAGGIO 5 Fare clic su Genera richiesta di certificato. Viene creata una chiave da immettere nella CA (Certification Authority). Copiarla dal campo Richiesta di certificato. Per importare un certificato, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Protezione > Server SSL > Impostazioni autenticazione del server SSL. PASSAGGIO 2 Fare clic su Importa certificato.
Protezione Client SSH 22 Client SSH Vedere la sezione Protezione: Client SSH. Configurazione dei servizi TCP/UDP Nella pagina Servizi TCP/UDP è possibile attivare i servizi basati su TCP o UDP nel dispositivo, di solito per motivi di sicurezza.
Protezione Definizione del controllo storm • Porta locale: porta TCP locale attraverso la quale il dispositivo offre il servizio. • Indirizzo IP remoto: indirizzo IP del dispositivo remoto che richiede il servizio. • Porta remota: porta TCP del dispositivo remoto che richiede il servizio. • Stato: stato del servizio. 22 Nella tabella Servizio UDP vengono visualizzate le seguenti informazioni: • Nome servizio: metodo di accesso attraverso il quale il dispositivo offre il servizio UDP.
Protezione Configurazione della sicurezza della porta 22 • Interfaccia: selezionare la porta per cui attivare la funzione di controllo storm. • Controllo storm: selezionare per attivare il controllo storm. • Soglia di velocità controllo storm: immettere la velocità massima alla quale possono essere inoltrati i pacchetti sconosciuti. Il valore predefinito per questa soglia è pari a 10.000 per i dispositivi FE e a 100.000 per i dispositivi GE.
Protezione Configurazione della sicurezza della porta 22 Quando viene rilevato un frame di un nuovo indirizzo MAC in una porta in cui non ha l'autorizzazione (la porta è bloccata in modo tradizionale e c'è un nuovo indirizzo MAC oppure la porta è bloccata dinamicamente e il numero massimo di indirizzi consentiti è stato superato), viene invocato il meccanismo di protezione e può verificarsi una delle azioni seguenti: • Il frame viene eliminato • Il frame viene reindirizzato • La porta viene arrestata
22 Protezione 802.1X - Eliminazione sicura durante ripristino: elimina gli attuali indirizzi MAC dinamici associati alla porta dopo il ripristino. I nuovi indirizzi MAC possono essere rilevati come quelli eliminati durante il ripristino fino a raggiungere il numero massimo di indirizzi configurato per la porta. Il rilevamento e la validità temporale vengono disattivati. • N.
Protezione Blocco degli attacchi DoS 22 SCT (Secure Core Technology) Un metodo per resistere agli attacchi DoS utilizzati dal dispositivo consiste nell'uso della tecnologia SCT. SCT viene attivata per impostazione predefinita e non può essere disattivata. Il dispositivo Cisco è un dispositivo avanzato che gestisce il traffico di gestione, il traffico di protocollo e il traffico di snooping, oltre al traffico dell'utente finale (TCP).
Protezione Blocco degli attacchi DoS • 22 Distribuzione Stacheldraht: il pirata informatico utilizza un programma client per connettersi a gestori che sono sistemi compromessi che emettono comandi ad agenti zombie, che a loro volta facilitano l'attacco DoS. Gli agenti sono compromessi tramite i gestori dall'autore di un attacco.
22 Protezione Blocco degli attacchi DoS Configurazione predefinita La funzionalità Protezione da attacchi DoS presenta le seguenti caratteristiche predefinite: • Questa funzione è disattivata per impostazione predefinita. • La protezione SYN-FIN è attiva per impostazione predefinita (anche se l'opzione Protezione da attacchi DoS è disattivata). • Se la protezione SYN è attivata, la modalità di protezione predefinita è Blocca e segnala. La soglia predefinita è 30 pacchetti SYN al secondo.
22 Protezione Blocco degli attacchi DoS • Prevenzione a livello di sistema e di interfaccia: attiva quella parte della funzione che blocca gli attacchi da parte di Distribuzione Stacheldraht, Trojan Invasor e Trojan Back Orifice.
22 Protezione Blocco degli attacchi DoS Per configurare la protezione SYN, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Protezione > Blocco da attacchi DoS > Protezione SYN. PASSAGGIO 2 Immettere i parametri. • Blocca pacchetti SYN-FIN: selezionare questa opzione per attivare la relativa funzione. Tutti i pacchetti TCP con flag sia SYN che FIN vengono eliminati su tutte le porte.
22 Protezione Blocco degli attacchi DoS • Indirizzi definiti non validi dal punto di vista del protocollo, ad esempio gli indirizzi di loopback, inclusi quelli nei seguenti intervalli: - 0.0.0.0/8 (tranne 0.0.0.0/32 in quanto un indirizzo di origine): gli indirizzi in questo blocco fanno riferimento agli host di origine di questa rete. - 127.0.0.0/8: utilizzato come indirizzo loopback host Internet. - 192.0.2.0/24: utilizzato come TEST-NET nella documentazione e nei codici di esempio. - 224.0.0.
22 Protezione Blocco degli attacchi DoS Filtro SYN La pagina Filtro SYN consente di filtrare pacchetti TCP contenenti un flag SYN e destinati a una o più porte. Per definire un filtro SYN, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Protezione > Blocco da attacchi DoS > Filtro SYN. PASSAGGIO 2 Fare clic su Aggiungi. PASSAGGIO 3 Immettere i parametri. • Interfaccia: selezionare l'interfaccia su cui è definito il filtro.
22 Protezione Blocco degli attacchi DoS • Interfaccia: selezionare l'interfaccia su cui è definita la protezione velocità. • Indirizzo IP: immettere l'indirizzo IP per cui è definita la protezione velocità SYN oppure selezionare Tutti gli indirizzi. Se si immette l'indirizzo IP, immettere la maschera o la lunghezza del prefisso. • Maschera di rete: selezionare il formato per la maschera di rete dell'indirizzo IP di origine e immettere un valore in uno dei campi.
22 Protezione Snooping DHCP PASSAGGIO 4 Fare clic su Applica. I filtri ICMP vengono definiti e la Configurazione di esecuzione viene aggiornata. Filtro IP frammentato Nella pagina IP suddiviso viene consentito il blocco dei pacchetti IP frammentati. Per configurare il blocco dell'IP frammentato, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Protezione > Blocco da attacchi DoS > Filtro frammenti IP. PASSAGGIO 2 Fare clic su Aggiungi. PASSAGGIO 3 Immettere i parametri.
Protezione Guardia origine IP 22 Guardia origine IP La guardia origine IP è una funzione di protezione utilizzabile per bloccare eventuali attacchi al traffico che si possono verificare quando un host prova a utilizzare l'indirizzo IP di un host contiguo. Se l'opzione Guardia origine IP è attivata, il dispositivo trasmette soltanto il traffico IP client agli indirizzi IP presenti nel database di binding per snooping DHCP.
22 Protezione Guardia origine IP Configurazione del flusso di lavoro di Guardia origine IP Per configurare l'opzione Guardia origine IP, attenersi alla seguente procedura: PASSAGGIO 1 Attivare lo snooping DHCP nella pagina Configurazione IP > DHCP >Proprietà o nella pagina Protezione > Snooping DHCP > Proprietà. PASSAGGIO 2 Specificare le VLAN su cui attivare lo Snooping DHCP nella pagina Configurazione IP > DHCP > Impostazioni interfaccia.
22 Protezione Guardia origine IP Per configurare la guardia origine IP sulle interfacce, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Protezione > Guardia origine IP > Impostazioni interfaccia. PASSAGGIO 2 Selezionare la porta o il LAG dal campo Filtro e fare clic su Vai. Le porte o i LAG su questa unità vengono visualizzati insieme a: • Guardia origine IP: indica se la guardia origine IP sulla porta è attiva.
Protezione Esame di ARP 22 Vengono visualizzate le voci nel database di binding: • ID VLAN: VLAN sulla quale è atteso il pacchetto. • Indirizzo MAC: indirizzo MAC da associare. • Indirizzo IP: indirizzo IP da associare. • Interfaccia: interfaccia sulla quale è atteso il pacchetto. • Stato: indica se l'interfaccia è attiva. • Tipo: indica se la voce è dinamica o statica. • Motivo: indica il motivo per cui l'interfaccia non è attiva.
Protezione Esame di ARP 22 Contaminazione della cache ARP Gli host A, B e C sono collegati allo switch sulle interfacce A, B e C e si trovano tutte sulla stessa sottorete. I loro indirizzi MAC e IP vengono indicati tra parentesi, ad esempio l'host A utilizza l'indirizzo IP IA e l'indirizzo MAC MA. Quando l'host A deve comunicare con l'host B al livello IP, trasmette una richiesta ARP per l'indirizzo MAC associato con l'indirizzo IP IB. L'host B risponde con una risposta ARP.
Protezione Esame di ARP 22 Quando i pacchetti arrivano su interfacce non attendibili viene implementata la procedura logica seguente: • Cercare le regole del controllo di accesso ARP per gli indirizzi IP/MAC del pacchetto. Se l'indirizzo IP viene trovato e l'indirizzo MAC nell'elenco corrisponde all'indirizzo MAC del pacchetto, il pacchetto è valido; in caso contrario risulta non valido.
22 Protezione Esame di ARP Impostazioni predefinite di ARP Nella tabella seguente sono descritti i valori predefiniti di ARP: Opzione Stato predefinito Esame di ARP dinamico Non attivato Convalida pacchetto ARP Non attivato Esame di ARP abilitato su VLAN Non attivato Intervallo di buffer log: Viene attivata la creazione del messaggio SYSLOG per i pacchetti eliminati a intervalli di 5 secondi.
22 Protezione Esame di ARP • • Convalida pacchetto ARP: selezionare questa opzione per attivare i seguenti controlli di convalida: - Indirizzo MAC di origine: confronta l'indirizzo MAC di origine del pacchetto nell'intestazione Ethernet con l'indirizzo MAC del mittente nella richiesta ARP. Questo controllo viene eseguito sia sulle richieste sia sulle risposte ARP.
22 Protezione Esame di ARP Definizione del controllo di accesso dell'esame di ARP Per aggiungere voci alla tabella dell'esame di ARP, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Protezione > Esame di ARP > Controllo di accesso ARP. PASSAGGIO 2 Per aggiungere una voce, fare clic su Aggiungi. PASSAGGIO 3 Completare i seguenti campi: • Nome del controllo di accesso ARP: immettere un nome creato dall'utente. • Indirizzo IP: indirizzo IP del pacchetto.
22 Protezione Protezione primo hop Definizione delle impostazioni VLAN dell'esame di ARP Per attivare l'esame di ARP sulle VLAN e associare i gruppi di controllo di accesso a una VLAN, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Protezione > Esame di ARP > Impostazioni VLAN. PASSAGGIO 2 Per attivare l'esame di ARP su una VLAN, spostare la VLAN dall'elenco VLAN disponibili all'elenco VLAN attive.
23 Protezione: autenticazione 802.1x In questa sezione viene descritta l'autenticazione 802.1X. Vengono trattati i seguenti argomenti: • Panoramica di 802.1X • Panoramica sull'autenticatore • Attività comuni • Configurazione 802.1X mediante l'interfaccia utente • Definizione degli intervalli di tempo • Supporto modalità porta e metodo di autenticazione Panoramica di 802.1X L'autenticazione 802.1x impedisce ai client non autorizzati di connettersi a una LAN tramite porte con accesso pubblico.
Protezione: autenticazione 802.1x Panoramica di 802.1X 23 Tutto questo è descritto nella figura di seguito: Per ogni porta, un dispositivo di rete può essere un client/richiedente, un autenticatore o entrambe le cose. Client o richiedente Un client o richiedente è un dispositivo di rete che richiede l'accesso alla LAN. Il client è collegato a un autenticatore. Se il client utilizza il protocollo 802.1x per l'autenticazione, svolge la parte del richiedente del protocollo 802.
Protezione: autenticazione 802.1x Panoramica di 802.1X 23 Nell'autenticazione basata su 802.1, l'autenticatore estrae i messaggi EAP dai messaggi 802.1x (frame EAPOL) e li passa al server di autenticazione, utilizzando il protocollo RADIUS. Con l'autenticazione basata su Web o su MAC, è l'autenticatore stesso a eseguire la parte del client EAP del software. Server di autenticazione Il server di autenticazione esegue l'effettiva autenticazione del client.
Protezione: autenticazione 802.1x Panoramica sull'autenticatore 23 Panoramica sull'autenticatore Stati di autenticazione della porta amministrativa Lo stato della porta amministrativa determina se il client è autorizzato ad accedere alla rete. È possibile configurare lo stato della porta amministrativa dalla pagina Protezione > Autenticazione 802.1X Web/MAC > Autenticazione porta.
Protezione: autenticazione 802.1x Panoramica sull'autenticatore 23 Se una porta è autorizzata, il traffico con e senza tag proveniente dall'host autorizzato viene collegato in base alla configurazione della porta di appartenenza della VLAN statica. Il traffico proveniente da altri host viene eliminato. L'utente può specificare che il traffico senza tag proveniente dall'host autorizzato venga nuovamente associato a una VLAN assegnata da un server RADIUS durante il processo di autenticazione.
Protezione: autenticazione 802.1x Panoramica sull'autenticatore 23 Se un server RADIUS assegna una VLAN a un host autorizzato, tutto il traffico, con e senza tag, non appartenente alle VLAN non autenticate viene collegato mediante la VLAN; se la VLAN non viene assegnata, tutto il suo traffico viene collegato in base alla configurazione della porta di appartenenza della VLAN statica.
Protezione: autenticazione 802.1x Panoramica sull'autenticatore 23 Questa procedura è descritta di seguito: Figura 3 Autenticazione basata su 802.1x Autenticazione basata su MAC L'autenticazione basata su MAC costituisce un'alternativa all'autenticazione 802.1X che consente alla rete di accedere ai dispositivi (quali stampanti e telefoni IP) che non dispongono della funzionalità di richiedente 802.1X.
Protezione: autenticazione 802.1x Panoramica sull'autenticatore 23 Autenticazione basata su WEB L'autenticazione basata su WEB viene utilizzata per autenticare gli utenti finali che richiedono di accedere a una rete tramite uno switch. Consente ai client direttamente connessi allo switch di essere autenticati tramite un sistema Captive Portal prima che al client venga concesso l'accesso alla rete.
23 Protezione: autenticazione 802.1x Panoramica sull'autenticatore L'autenticazione basata su Web supporta le seguenti pagine: • Pagina di accesso • Pagina di accesso riuscito Esiste una serie predefinita e integrata di pagine di questo genere. Queste pagine possono essere modificate in Protezione > Autenticazione 802.1X/MAC/Web > Personalizzazione dell'autenticazione Web. Ciascuna di queste pagine personalizzate può essere visualizzata in anteprima.
Protezione: autenticazione 802.1x Panoramica sull'autenticatore 23 VLAN non autenticate e VLAN ospite La VLAN ospite e le VLAN non autenticate forniscono accesso ai servizi che non richiedono che i dispositivi o le porte di sottoscrizione siano 802.1x o autenticate e autorizzate basate su MAC. La VLAN ospite è la VLAN che viene assegnata a un client non autorizzato. È possibile configurare la VLAN ospite e una o più VLAN in modo che non siano autenticate nella pagina Protezione > Autenticazione 802.
Protezione: autenticazione 802.1x Panoramica sull'autenticatore • 23 Modalità multisessione in Livello 3 La modalità non supporta la VLAN ospite. Assegnazione VLAN RADIUS o VLAN dinamica Un server RADIUS può assegnare una VLAN a un client autorizzato se questa opzione è attiva nella pagina Autenticazione porta. Tale opzione prende il nome di Assegnazione VLAN dinamica o VLAN assegnata da RADIUS. In questa guida si utilizza il termine VLAN assegnata da RADIUS.
23 Protezione: autenticazione 802.1x Panoramica sull'autenticatore • Modalità multisessione in modalità di sistema Livello 3 Questa modalità non supporta la VLAN assegnata da RADIUS, tranne per i dispositivi SG500X e SG500XG in modalità stack nativo Nella tabella di seguito viene descritto il supporto dell'assegnazione della VLAN RADIUS e della VLAN ospite a seconda del metodo di autenticazione e della modalità della porta.
Protezione: autenticazione 802.1x Attività comuni 23 È inoltre possibile configurare il dispositivo in modo da inviare trap SNMP con un intervallo di tempo minimo configurabile tra i trap consecutivi. Se i secondi sono pari a 0, i trap vengono disattivati. Se non è specificato alcun intervallo di tempo minimo, per impostazione predefinita viene inserito il valore 1 secondo per la modalità Limita e 0 per le altre modalità.
Protezione: autenticazione 802.1x Attività comuni 23 PASSAGGIO 11 Impostare il campo Controllo porta amministrativa su Auto. PASSAGGIO 12 Definire i metodi di autenticazione. PASSAGGIO 13 Scegliere Applica e il file con la Configurazione di esecuzione viene aggiornato. Flusso di lavoro 2: per configurare i trap, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Protezione > Autenticazione 802.1X/MAC/Web > Proprietà. PASSAGGIO 2 Selezionare i trap richiesti.
Protezione: autenticazione 802.1x Configurazione 802.1X mediante l'interfaccia utente 23 PASSAGGIO 5 Scegliere Applica e il file con la Configurazione di esecuzione viene aggiornato. Flusso di lavoro 6: per configurare le VLAN non autenticate, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Protezione > Autenticazione 802.1X/MAC/Web > Proprietà. PASSAGGIO 2 Selezionare una VLAN e fare clic su Modifica. PASSAGGIO 3 Selezionare una VLAN.
Protezione: autenticazione 802.1x Configurazione 802.1X mediante l'interfaccia utente 23 - RADIUS: autenticare l'utente nel server RADIUS. Se non viene eseguita nessuna autenticazione, la sessione non è consentita. - Nessuno: non autenticare l'utente. Consentire la sessione. • VLAN ospite: selezionare questa opzione per attivare l'utilizzo di una VLAN ospite per le porte non autorizzate.
Protezione: autenticazione 802.1x Configurazione 802.1X mediante l'interfaccia utente 23 Quando il dispositivo si trova in modalità router Livello 3, la tabella Autenticazione VLAN mostra tutte le VLAN e indica se su di esse è stata attivata l'autenticazione. PASSAGGIO 3 Fare clic su Applica. Le proprietà 802.1X vengono aggiunte al file Configurazione di esecuzione. Autenticazione porta 802.1X Nella pagina Autenticazione porta è possibile configurare i parametri 802.1X per ogni porta.
Protezione: autenticazione 802.1x Configurazione 802.1X mediante l'interfaccia utente • • 23 Assegnazione VLAN RADIUS: selezionare questa opzione per attivare l'assegnazione dinamica della VLAN sulla porta selezionata. - Disattiva: la funzione non è attiva. - Rifiuta: se il server RADIUS ha autorizzato il richiedente, ma non ha fornito una VLAN richiedente, il richiedente viene rifiutato.
Protezione: autenticazione 802.1x Configurazione 802.1X mediante l'interfaccia utente • 23 Stato dell'autenticatore: viene visualizzato lo stato di autorizzazione della porta definita. Sono disponibili le seguenti opzioni: - Inizializza: in corso di attivazione. - Imposizione autorizzata: lo stato delle porte controllate è impostato su Imposizione autorizzata (il traffico viene inoltrato).
Protezione: autenticazione 802.1x Configurazione 802.1X mediante l'interfaccia utente 23 • Timeout richiedente: immettere quanti secondi devono trascorrere prima che le richieste EAP vengano nuovamente inviate al richiedente. • Timeout server: immettere l'intervallo (in secondi) che deve trascorrere prima che il dispositivo invii nuovamente la richiesta al server di autenticazione. PASSAGGIO 4 Fare clic su Applica. Le impostazioni della porta vengono scritte nel file Configurazione di esecuzione.
Protezione: autenticazione 802.1x Configurazione 802.1X mediante l'interfaccia utente - 23 Arresta: i pacchetti vengono eliminati e la porta viene arrestata. La porta rimane in questo stato finché non viene riattivata o finché il dispositivo non viene riavviato. • Trap: selezionare per attivare le trap. • Frequenza trap: specifica la frequenza di invio delle trap all'host. Questo campo è disponibile solo se sono stati attivati più host. PASSAGGIO 4 Fare clic su Applica.
Protezione: autenticazione 802.1x Configurazione 802.1X mediante l'interfaccia utente 23 Client bloccati Per visualizzare i client che sono stati bloccati a causa di tentativi di accesso non riusciti e per sbloccare un client bloccato: PASSAGGIO 1 Fare clic su Protezione > Autenticazione 802.1X/MAC/Web > Client bloccato. Vengono visualizzati i seguenti campi: • Interfaccia: la porta bloccata. • Indirizzo MAC: viene visualizzato lo stato di autorizzazione della porta corrente.
Protezione: autenticazione 802.1x Configurazione 802.1X mediante l'interfaccia utente 23 Per personalizzare le pagine di autenticazione Web, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Protezione > Autenticazione 802.1X/MAC/Web > Personalizzazione dell'autenticazione Web. In questa pagina vengono visualizzate le lingue che possono essere personalizzate. PASSAGGIO 2 Fare clic su Modifica pagina di accesso. Figura 6 Viene visualizzata la seguente pagina: .
Protezione: autenticazione 802.1x Configurazione 802.1X mediante l'interfaccia utente • 23 - Colore testo intestazione e piè di pagina: immettere il codice ASCII del colore del testo dell'intestazione e del piè di pagina. Il colore selezionato viene visualizzato nel campo Testo. - Colore colleg. ipertestuale: immettere il codice ASCII del colore del collegamento ipertestuale. Il colore selezionato viene visualizzato nel campo Testo.
Protezione: autenticazione 802.1x Configurazione 802.1X mediante l'interfaccia utente 23 • Etichetta casella di testo Nome utente: consente di selezionare l'etichetta da visualizzare prima della casella di testo corrispondente al nome utente. • Casella di testo Password: consente di selezionare la casella di testo corrispondente alla password da visualizzare.
Protezione: autenticazione 802.1x Definizione degli intervalli di tempo Figura 7 23 Viene visualizzata la seguente pagina PASSAGGIO 14 Fare clic sul pulsante Modifica sul lato destro della pagina. PASSAGGIO 15 Immettere il messaggio di operazione riuscita, cioè il testo visualizzato dall'utente una volta eseguito l'accesso. PASSAGGIO 16 Facendo clic su Applica, le impostazioni vengono salvate nel file Configurazione di esecuzione.
23 Protezione: autenticazione 802.1x Supporto modalità porta e metodo di autenticazione Supporto modalità porta e metodo di autenticazione Nella tabella di seguito vengono riportate le combinazioni di modalità della porta e metodo di autenticazione supportate. Metodi di autenticazione e modalità porte Metodo di autenticazione Host singolo 802.
23 Protezione: autenticazione 802.1x Supporto modalità porta e metodo di autenticazione Funzionamento modalità Nella tabella di seguito è mostrato come viene gestito il traffico, autenticato e non, in varie situazioni.
23 Protezione: autenticazione 802.
24 Protezione: Protezione primo hop IPv6 In questa sezione viene illustrato il funzionamento di Protezione primo hop (FHS) IPv6 e la relativa modalità di configurazione nell'interfaccia utente grafica.
Protezione: Protezione primo hop IPv6 Panoramica su Protezione primo hop IPv6 24 Panoramica su Protezione primo hop IPv6 FHS IPv6 è una suite di funzioni ideate per proteggere le operazioni dei collegamenti in una rete con IPv6 attivato. Si basa su protocollo NDP (Neighbor Discovery Protocol) e messaggi DHCPv6. In questa funzione, uno switch di Livello 2 (come illustrato nella Figura 8) filtra i messaggi NDP, i messaggi DHCPv6 e i messaggi dei dati utente secondo un numero di regole diverse.
24 Protezione: Protezione primo hop IPv6 Panoramica su Protezione primo hop IPv6 Abbreviazioni Nome Descrizione Messaggio CPA Messaggio di annuncio percorso certificazione (Certification Path Advertisement) Messaggio CPS Messaggio di richiesta percorso certificazione (Certification Path Solicitation) Messaggio DAD-NS Messaggio di rilevamento indirizzo duplicato (Duplicate Address Detection) - richiesta router adiacente (Neighbor Solicitation) FCFS-SAVI Criterio di evasione in ordine cronologico (
Protezione: Protezione primo hop IPv6 Panoramica su Protezione primo hop IPv6 • Guardia DHCPv6 • Guardia origine IPv6 24 Questi componenti possono essere attivati o disattivati sulle VLAN. Esistono due criteri vuoti e predefiniti per ciascuna funzione con i seguenti nomi: vlan_default e port_default. Il primo è associato a ciascuna VLAN non collegata a un criterio definito dall'utente, mentre il secondo è associato a ciascuna interfaccia e VLAN non collegata a un a criterio definito dall'utente.
Protezione: Protezione primo hop IPv6 Panoramica su Protezione primo hop IPv6 24 Integrità binding dei router adiacenti scopre i router adiacenti dai messaggi ricevuti (messaggi NDP e DHCPv6) e li memorizza nella tabella di binding dei router adiacenti. Inoltre, le voci statiche possono essere aggiunte manualmente. Dopo aver rilevato gli indirizzi, la funzione NBI trasmette i frame per l'inoltro. Anche i messaggi sottoposti a trap RS, CPS e NA vengono trasmessi alla funzione Esame di ND.
Protezione: Protezione primo hop IPv6 Guardia annuncio router 24 Il comando ruolo-dispositivo nella schermata di configurazione dei criteri binding dei router adiacenti specifica il perimetro. Ogni switch di Protezione primo hop IPv6 stabilisce il binding dei router adiacenti ripartiti dall'edge. In questo modo, le voci di binding vengono distribuite sui dispositivi di Protezione primo hop IPv6 che formano il perimetro.
Protezione: Protezione primo hop IPv6 Guardia DHCPv6 24 Convalida messaggio Esame di ND convalida i messaggi NDP, in base a un criterio Esame di ND associato all'interfaccia. Tale criterio può essere definito nella pagina Impostazioni Esame di ND. Se un messaggio non supera la verifica definita nel criterio, viene eliminato e viene inviato un messaggio SYSLOG con limite di velocità. Filtri in uscita Esame di ND blocca l'inoltro dei messaggi RS e CPS sulle interfacce configurate come interfacce host.
Protezione: Protezione primo hop IPv6 Integrità binding dei router adiacenti 24 Rilevamento dei prefissi IPv6 dichiarati Integrità NB rileva i prefissi IPv6 dichiarati nei messaggi RA e li salva nella tabella Prefissi router adiacenti. I prefissi vengono utilizzati per verificare gli indirizzi IPv6 globali assegnati. Per impostazione predefinita, questa convalida è disattivata. Quando è disattivata, gli indirizzi vengono confrontati con i prefissi nella pagina Impostazioni binding router adiacenti.
Protezione: Protezione primo hop IPv6 Integrità binding dei router adiacenti 24 Lo switch Protezione primo hop IPv6 stabilisce il binding solo su interfacce perimetrali (vedere Perimetro di Protezione primo hop IPv6). Le informazioni di binding vengono salvate nella tabella di binding dei router adiacenti.
Protezione: Protezione primo hop IPv6 Guardia origine IPv6 24 Metodo NBI-DHCP Il metodo NBI-NDP si basa sul metodo SAVI-DHCP specificato in Soluzione SAVI per DHCP, draft-ietf-savidhcp-15, 11 settembre 2012. Analogamente a NBI-NDP, NBI-DHCP fornisce il binding perimetrale per la scalabilità. La differenza tra il metodo NBI-DHCP e NBI-FCFS è la seguente: NBI-DHCP segue lo stato annunciato nei messaggi DHCPv6, perciò non c'è bisogno di distribuire lo stato tramite messaggi NS/NA.
Protezione: Protezione primo hop IPv6 Protezione da attacchi 24 Guardia origine IPv6 elimina un messaggio IPv6 di input se: • La tabella Binding router adiacenti non contiene l'indirizzo IPv6. • La tabella Binding router adiacenti contiene l'indirizzo IPv6, ma associato a un'altra interfaccia. Guardia origine IPv6 avvia la procedura di recupero dei router adiacenti inviando messaggi DAD_NS per gli indirizzi IPv6 di origine sconosciuti.
Protezione: Protezione primo hop IPv6 Protezione da attacchi 24 Protezione contro lo spoofing del rilevamento indirizzo duplicato IPv6 Un host IPv6 deve eseguire il rilevamento indirizzo duplicato per ogni indirizzo IPv6 assegnato inviando uno messaggio NS speciale: messaggio di rilevamento indirizzo duplicato - richiesta router adiacente (DAD_NS). Un host dannoso potrebbe inviare una risposta a un messaggio DAD_NS annunciandosi come host IPv6 dotato dell'indirizzo IPv6 fornito.
Protezione: Protezione primo hop IPv6 Criteri, parametri globali e impostazioni predefinite del sistema 24 Criteri, parametri globali e impostazioni predefinite del sistema Ogni funzione di FHS può essere attivata o disattivata singolarmente. Nessuna funzione è attiva per impostazione predefinita. Le funzioni devono essere attivate inizialmente su VLAN specifiche. Quando si attiva una funzione, è possibile definire valori di configurazione globali per le regole di verifica di quella funzione.
Protezione: Protezione primo hop IPv6 Attività comuni 24 È possibile associare un solo criterio (per una funzione specifica) a una VLAN. Se specificano VLAN diverse, è possibile associare più criteri (per una funzione specifica) a un'interfaccia. Livelli delle regole di verifica.
Protezione: Protezione primo hop IPv6 Attività comuni 24 Flusso di lavoro Guardia annuncio router PASSAGGIO 1 Nella pagina Impostazioni Guardia RA, inserire l'elenco di VLAN su cui è attivata la funzione. PASSAGGIO 2 Nella stessa pagina, impostare i valori di configurazione globali che vengono utilizzati se in un criterio non sono impostati valori. PASSAGGIO 3 Se richiesto, configurare un criterio definito dall'utente oppure aggiungere regole ai criteri predefiniti per la funzione.
Protezione: Protezione primo hop IPv6 Impostazioni predefinite e configurazione 24 Flusso di lavoro del binding dei router adiacenti PASSAGGIO 1 Nella pagina Impostazioni binding router adiacenti, inserire l'elenco di VLAN su cui è attivata la funzione. PASSAGGIO 2 Nella stessa pagina, impostare i valori di configurazione globali che vengono utilizzati se in un criterio non sono impostati valori.
Protezione: Protezione primo hop IPv6 Operazioni preliminari • Messaggi CPS (Certification Path Solicitation) • Messaggi DHCPv6 24 Le funzioni di FHS sono disattivate per impostazione predefinita. Operazioni preliminari Nessuna attività preliminare richiesta.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web 24 Immettere informazioni nei seguenti campi: • Nome criterio: immettere un nome per il criterio definito dall'utente. • Accesso eliminazione pacchetti: selezionare questa opzione per creare un SYSLOG quando un pacchetto viene eliminato in seguito a una funzione Protezione primo hop all'interno di questo criterio.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web • • • • • 24 Limite hop minimo: questo campo indica se il criterio Guardia RA verificherà il limite hop minimo del pacchetto ricevuto. - Nessuna verifica: disattiva la verifica del limite minimo di conteggio degli hop. - Definito dall'utente: verifica che il limite del numero di hop sia maggiore o uguale a questo valore.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web • 24 Preferenza massima routing: questo campo indica se il criterio Guardia RA verificherà il valore minimo di preferenza routing predefinita annunciata nei messaggi RA all'interno del criterio Guardia RA. - Nessuna verifica: disattiva la verifica del limite massimo della preferenza routing predefinita annunciata.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web • • 24 Preferenza minima: questo campo indica se il criterio Guardia DHCPv6 verificherà il valore di preferenza minima annunciato del pacchetto ricevuto. - Ereditata: la preferenza minima è ereditata dalla VLAN o dal valore predefinito del sistema (client). - Nessuna verifica: disattiva la verifica del valore di preferenza minima annunciato del pacchetto ricevuto.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web • 24 Associa indirizzo server: selezionare questa opzione per attivare la verifica del server DHCP e dell'indirizzo IPv6 di inoltro nei messaggi di risposta DHCP ricevuti all'interno del criterio Guardia DHCPv6. - Ereditato: il valore è ereditato dalla VLAN o è predefinito del sistema (nessuna verifica).
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web • • 24 Livello protezione minimo: se i messaggi non protetti non vengono eliminati, selezionare il livello di protezione al di sotto del quale i messaggi non vengono inoltrati. - Nessuna verifica: disattiva la verifica del livello di protezione. - Definito dall'utente: specifica il livello di protezione del messaggio da inoltrare.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web 24 Impostazioni binding router adiacenti La tabella di binding dei router adiacenti è una tabella di database di router adiacenti IPv6 connessa a un dispositivo e viene creata dalle fonti di informazioni, ad esempio lo snooping del protocollo NDP.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web 24 Limiti voci binding dei router adiacenti: specifica il numero massimo di voci di Binding dei router adiacenti per tipo di interfaccia o indirizzo: • Voci per VLAN: specifica il limite di binding dei router adiacenti per VLAN. Selezionare Nessun limite o inserire un valore Definito dall'utente.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web • 24 Binding da messaggi NDP. Selezionare una delle seguenti opzioni per modificare la configurazione globale dei metodi di configurazione consentiti degli indirizzi IPv6 globali in un criterio di binding dei router adiacenti IPv6: - Qualsiasi: è consentito qualsiasi metodo di configurazione (stateless o manuale) per le associazioni IPv6 globali dai messaggi NDP.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web 24 Per configurare Guardia origine IPv6, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Protezione > Protezione primo hop IPv6 > Impostazioni Guardia origine IPv6. PASSAGGIO 2 Compilare i seguenti campi di configurazione globale: • Elenco VLAN Guardia origine IPv6: inserire una o più VLAN su cui è attiva la funzione Guardia origine IPv6.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web 24 L'elenco dei criteri già associati viene visualizzato insieme a Tipo di criterio, Nome criterio ed Elenco VLAN. PASSAGGIO 2 Per associare un criterio a una VLAN, fare clic su Aggiungi e compilare i seguenti campi: • Tipo di criterio: selezionare il tipo di criterio da associare all'interfaccia. • Nome criterio: selezionare il nome del criterio da associare all'interfaccia.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web 24 Tabella di binding dei router adiacenti Per visualizzare le voci nella tabella di binding dei router adiacenti, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Protezione > Protezione primo hop IPv6 > Tabella di binding dei router adiacenti PASSAGGIO 2 Selezionare una delle seguenti opzioni di Cancella tabella: • Solo statico: consente di cancellare tutte le voci stati
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web 24 Tabella prefissi router adiacenti È possibile aggiungere i prefissi statici per gli indirizzi IPv6 globali associati dai messaggi NDP nella Tabella prefissi router adiacenti. Le voci dinamiche vengono acquisite, come indicato in Rilevamento dei prefissi IPv6 dichiarati.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web • • • • 24 Stato FHS - Stato FHS su VLAN corrente: indica se FHS è attivo sulla VLAN corrente. - Accesso eliminazione pacchetti: indica se questa funzione è attivata per l'interfaccia corrente (a livello di configurazione globale o in un criterio associato all'interfaccia). Stato guardia RA - Stato Guardia RA su VLAN corrente: indica se Guardia RA è attiva sulla VLAN corrente.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web • • 24 - Livello protezione minimo: se i messaggi non protetti non vengono eliminati, indica il livello di protezione minimo per i pacchetti da inoltrare. - Convalida MAC di origine: indica se la verifica dell'indirizzo MAC è attiva.
Protezione: Protezione primo hop IPv6 Configurazione di Protezione primo hop IPv6 tramite interfaccia utente grafica Web 24 • Tabella Prefissi dei router adiacenti: numero di voci che non è stato possibile aggiungere a questa tabella poichè sono state raggiunte le dimensioni massime della tabella. • TCAM: numero di voci che non è stato possibile aggiungere a causa dell'oveflow TCAM.
25 Protezione: Client SSH In questa sezione viene descritto il dispositivo quando funziona come client SSH.
Protezione: Client SSH Metodi di protezione 25 Se i file sono scaricati tramite SCP, le informazioni vengono scaricate dal server SCP sul dispositivo da un canale protetto. La creazione di questo canale protetto è preceduta da autenticazione, come garanzia del fatto che l'utente disponga delle autorizzazioni necessarie per l'operazione. L'utente deve inserire le informazioni di autenticazione sia sul dispositivo che sul server SSH, sebbene questa guida non descriva le operazioni sul server.
Protezione: Client SSH Metodi di protezione 25 Ogni dispositivo gestito deve possedere nome utente e password propri, sebbene sia possibile utilizzare la stessa combinazione di nome utente e password per più dispositivi. L'autenticazione tramite password rappresenta il metodo predefinito del dispositivo. Chiavi pubbliche/private Per sfruttare il metodo con chiave pubblica/privata, creare un nome utente e una chiave pubblica sul server SSH.
Protezione: Client SSH Autenticazione del server SSH 25 Autenticazione del server SSH Un dispositivo che funge da client SSH comunica solo con un server SSH attendibile. Quando l'Autenticazione del server SSH è disattivata (impostazione predefinita), ogni server SSH è considerato attendibile. Se l'Autenticazione del server SSH è attiva, l'utente deve aggiungere una voce per i server attendibili alla Tabella server SSH affidabili.
Protezione: Client SSH Operazioni preliminari 25 Algoritmi supportati Una volta stabilita la connessione tra un dispositivo (come un client SSH) e un server SSH, client e server SSH si scambiano dati per determinare gli algoritmi da utilizzare a livello di trasporto SSH.
25 Protezione: Client SSH Attività comuni Flusso di lavoro 1: per configurare il client SSH e il trasferimento dei dati verso/da un server SSH, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere il metodo da utilizzare: password o chiave pubblica/privata. Utilizzare la pagina Autenticazione degli utenti SSH. PASSAGGIO 2 Nel caso di metodo con password, attenersi alla seguente procedura: a.
Protezione: Client SSH Configurazione del client SSH con l'interfaccia utente 25 Flusso di lavoro 2: per importare le chiavi pubbliche/private da un dispositivo all'altro, attenersi alla seguente procedura. PASSAGGIO 1 Generare una chiave pubblica/privata nella pagina Autenticazione degli utenti SSH. PASSAGGIO 2 Impostare le proprietà SSD e creare una nuova frase chiave locale nella pagina Gestione sicura dei dati sensibili > Proprietà.
Protezione: Client SSH Configurazione del client SSH con l'interfaccia utente 25 Per selezionare un metodo di autenticazione e impostare nome utente/password/chiavi, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Protezione > Client SSH > Autenticazione degli utenti SSH. PASSAGGIO 2 Selezionare un Metodo di autenticazione degli utenti SSH. Questo è il metodo globale definito per la copia protetta (SCP). Selezionare una delle seguenti opzioni: • Tramite password: impostazione predefinita.
Protezione: Client SSH Configurazione del client SSH con l'interfaccia utente 25 Autenticazione del server SSH Per attivare l'Autenticazione del server SSH e definire i server attendibili, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Protezione > Client SSH > Autenticazione del server SSH. PASSAGGIO 2 Selezionare Attiva per attivare l'Autenticazione del server SSH.
Protezione: Client SSH Configurazione del client SSH con l'interfaccia utente 25 Modifica della password dell'utente sul server SSH Per modificare la password su un server SSH, attenersi alla seguente procedura: PASSAGGIO 1 Fare clic su Protezione > Client SSH > Modifica password sul server SSH. PASSAGGIO 2 Immettere informazioni nei seguenti campi: • Definizione del server: selezionare Per indirizzo IP o Per nome per definire il server SSH.
26 Protezione: Server SSH In questa sezione viene descritto come stabilire una sessione SSH sul dispositivo. Vengono trattati i seguenti argomenti: • Panoramica • Attività comuni • Pagine di configurazione del server SSH Panoramica La funzione del server SSH consente agli utenti di avviare una sessione SSH sul dispositivo. Questa operazione è analoga alla creazione di una sessione Telnet, con la differenza che si tratta di una sessione protetta.
26 Protezione: Server SSH Attività comuni Attività comuni In questa sezione vengono descritte alcune attività comuni eseguite mediante la funzione del server SSH.
Protezione: Server SSH Pagine di configurazione del server SSH 26 Pagine di configurazione del server SSH In questa sezione vengono descritte le pagine in cui è possibile configurare la funzione Server SSH.
Protezione: Server SSH Pagine di configurazione del server SSH • 26 Accesso automatico: questo campo può essere attivato se è stata selezionata la funzione Autenticazione degli utenti SSH tramite chiave pubblica. Vedere la sezione Accesso automatico. PASSAGGIO 3 Fare clic su Applica. Le impostazioni vengono salvate nel file Configurazione di esecuzione. Per gli utenti configurati vengono visualizzati i campi seguenti: • Nome utente SSH: il nome utente dell'utente.
Protezione: Server SSH Pagine di configurazione del server SSH 26 Autenticazione del server SSH Le chiavi RSA e DSA pubbliche e private vengono generate automaticamente all'avvio del dispositivo con impostazioni predefinite. Ogni chiave viene anche creata automaticamente quando la rispettiva chiave configurata dall'utente viene eliminata dall'utente.
27 Protezione: gestione sicura dei dati sensibili SSD (Secure Sensitive Data, dati sensibili protetti) è un'architettura che agevola la protezione dei dati sensibili su un dispositivo, come password e chiavi. L'infrastruttura sfrutta le frasi chiave, la crittografia, il controllo degli accessi e l'autenticazione degli utenti per offrire una soluzione di protezione nella gestione dei dati sensibili.
Protezione: gestione sicura dei dati sensibili Regole SSD 27 L'SSD concede l'autorizzazione di lettura dei dati sensibili solo agli utenti autenticati e autorizzati, conformemente alle regole SSD. Un dispositivo autentica e autorizza l'accesso alla gestione per gli utenti tramite il processo di autenticazione utente.
Protezione: gestione sicura dei dati sensibili Regole SSD 27 Elementi di una regola SSD Una regola SSD include i seguenti elementi: • Tipo di utente: i tipi di utente supportati in ordine di preferenza (dalla preferenza maggiore a quella minore) sono i seguenti (se un utente corrisponde a più regole SSD, verrà applicata la regola con la preferenza maggiore): - Specifico: la regola viene applicata a un utente specifico.
Protezione: gestione sicura dei dati sensibili Regole SSD 27 Ogni canale di gestione fornisce specifiche autorizzazioni di lettura, riassunte nella seguente tabella.
Protezione: gestione sicura dei dati sensibili Regole SSD 27 • L'esclusione dei dati sensibili nei canali di gestione SNMP XML protetto e non protetto comporta la presentazione dei dati sensibili come 0 (ovvero stringa nulla o numero 0). Se l'utente vuole visualizzare i dati sensibili, la regola deve essere cambiata in testo normale. • Per impostazione predefinita, un utente SNMPv3 con privacy e autorizzazioni per XML su canali sicuri è considerato un utente di livello 15.
27 Protezione: gestione sicura dei dati sensibili Regole SSD Regole SSD predefinite Il dispositivo dispone delle seguenti regole predefinite: Tabella 7 Chiave regola Azione regola Utente Canale Autorizzazione di lettura Modalità lettura predefinita Livello 15 SNMP XML protetto Solo testo normale Testo normale Livello 15 Protetta Entrambi Con crittografia Livello 15 Non protetto Entrambi Con crittografia Tutte SNMP XML non protetto Escludi Escludi Tutte Protetta Solo con crittografi
Protezione: gestione sicura dei dati sensibili Proprietà SSD 27 Proprietà SSD Le proprietà SSD sono una serie di parametri che, insieme alle regole SSD, definiscono e controllano l'ambiente SSD di un dispositivo. L'ambiente SSD è costituito dalle seguenti proprietà: • Controllo delle modalità di crittografia dei dati sensibili. • Controllo della complessità di protezione esercitata sui file di configurazione.
Protezione: gestione sicura dei dati sensibili Proprietà SSD 27 Frase chiave locale Un dispositivo mantiene una frase chiave locale, ossia la frase chiave della propria Configurazione di esecuzione. Di norma, l'SSD esegue la crittografia e la decrittografia dei dati sensibili con la chiave generata dalla frase chiave locale. La frase chiave locale è configurabile sia come frase chiave predefinita sia come frase chiave definita dall'utente.
Protezione: gestione sicura dei dati sensibili File di configurazione 27 Controllo integrità del file di configurazione L'utente può proteggere il file di configurazione dalla manomissione o dalla modifica, creandolo con il Controllo integrità del file di configurazione. Si consiglia di attivare il Controllo integrità del file di configurazione quando un dispositivo utilizza una frase chiave definita dall'utente con Controllo frase chiave del file di configurazione Illimitato.
Protezione: gestione sicura dei dati sensibili File di configurazione 27 Il file Configurazione di esecuzione contiene la configurazione attualmente utilizzata da un dispositivo. La configurazione di un file di Configurazione di avvio diventa la Configurazione di esecuzione dopo il riavvio. I file di Configurazione di esecuzione e Configurazione di avvio sono formattati nel formato interno.
Protezione: gestione sicura dei dati sensibili File di configurazione 27 L'accesso di lettura ai dati sensibili nella configurazione di avvio di ogni tipo è escluso se la frase chiave nel file Configurazione di avvio e la frase chiave locale sono diversi.
Protezione: gestione sicura dei dati sensibili File di configurazione 27 Un dispositivo applica le seguenti regole quando un utente modifica direttamente la configurazione SSD nella Configurazione di esecuzione: • Se l'utente che ha aperto la sessione di gestione non dispone delle autorizzazioni SSD (ovvero autorizzazioni di lettura Entrambi o Solo testo normale), il dispositivo rifiuta tutti i comandi SSD.
Protezione: gestione sicura dei dati sensibili File di configurazione 27 • Un utente con autorizzazione Solo con crittografia può accedere ai file di configurazione mirror e backup con il proprio indicatore SSD del file che mostra dati sensibili con autorizzazioni Escludi o Solo testo normale.
27 Protezione: gestione sicura dei dati sensibili Canali di gestione SSD NOTA I dispositivi con le impostazioni predefinite utilizzano l'utente anonimo predefinito per accedere al server SCP. Canali di gestione SSD I dispositivi possono essere gestiti su canali di gestione come Telnet, SSH e Web. L'SSD categorizza i canali nei seguenti tipi, in base alla protezione e/o ai protocolli: Protetto, Non protetto, SNMP XML protetto e SNMP XML non protetto.
Protezione: gestione sicura dei dati sensibili CLI del menu e ripristino password 27 CLI del menu e ripristino password L'interfaccia CLI del menu è disponibile per gli utenti solo se le autorizzazioni di lettura sono Entrambi o Solo testo normale. Gli altri utenti vengono respinti. I dati sensibili nella CLI del menu sono sempre visualizzati come testo normale. Il ripristino della password attualmente viene attivato dal menu di avvio e permette all'utente di accedere al terminale senza autenticazione.
Protezione: gestione sicura dei dati sensibili Configurazione dell'SSD 27 Per modificare la frase chiave locale, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Modifica frase chiave locale, quindi immettere una nuova frase chiave locale: • Predefinito: utilizza la frase chiave predefinita del dispositivo. • Definita dall'utente (testo normale): immettere una nuova frase chiave. • Conferma frase chiave: confermare la nuova frase chiave. PASSAGGIO 2 Fare clic su Applica.
Protezione: gestione sicura dei dati sensibili Configurazione dell'SSD • • 27 - Non protetto: la regola viene applicata solo ai canali non protetti (Telnet, TFTP e HTTP), escludendo i canaliSNMP e XML. - SNMP XML protetto: la regola viene applicata solo a XML su HTTPS o SNMPv3 con privacy. - SNMP XML non protetto: la regola viene applicata solo a XML su HTTP e/o SNMPv1/v2 e SNMPv3 senza privacy.
28 Controllo di accesso La funzione ACL (Access Control List) fa parte del meccanismo di protezione. Le definizioni ACL fungono da meccanismo per definire i flussi di traffico assegnati a una funzione QoS (Quality of Service) specifica. Per ulteriori informazioni, vedere la sezione Qualità del servizio. Gli ACL consentono ai responsabili di rete di definire modelli (filtro e azioni) per il traffico in ingresso.
Controllo di accesso Elenco di controllo di accesso 28 NOTA Se non viene trovata nessuna corrispondenza con nessun ACE in tutti gli ACL rilevanti, il pacchetto viene eliminato (come azione predefinita). A causa di questa azione di eliminazione predefinita, è necessario aggiungere esplicitamente ACE all'ACL per consentire il traffico desiderato, incluso il traffico di gestione come Telnet, HTTP o SNMP, indirizzato al dispositivo stesso.
Controllo di accesso Elenco di controllo di accesso 28 Se la registrazione ACL è attivata, può essere specificata per interfaccia collegando l'ACL a un'interfaccia. In questo caso, i SYSLOG vengono generati per pacchetti che hanno collegato gli ACE di negazione o di autorizzazione associati con l'interfaccia.
Controllo di accesso Elenco di controllo di accesso • 28 Per un pacchetto L4: - 06-Jun-2013 09:53:46 %3SWCOS-I-LOGDENYINETPORTS: gi0/1: deny ACE IPv4(TCP) 1.1.1.1(55) -> 1.1.1.10(66), trapped Configurazione degli ACL In questa sezione viene illustrato come creare gli ACL e come aggiungervi regole (ACE). Creazione del flusso di lavoro degli ACL Per creare ACL e associarli a un'interfaccia, attenersi alla seguente procedura: 1. Creare uno o più dei seguenti tipi di ACL: a.
28 Controllo di accesso ACL basati su MAC ACL basati su MAC Gli ACL basati su MAC vengono utilizzati per filtrare il traffico in base ai campi Livello 2. Gli ACL basati su MAC verificano la disponibilità di una corrispondenza per tutti i frame. Gli ACL basati su MAC sono definiti nella pagina ACL basato su MAC. Le regole vengono definite nella pagina ACE basato su MAC. Per definire un ACL basato su MAC, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Controllo di accesso > ACL basato su MAC.
Controllo di accesso ACL basati su MAC • 28 Azione: selezionare l'azione eseguita al verificarsi di una corrispondenza. Sono disponibili le seguenti opzioni: - Consenti: reindirizzare i pacchetti che soddisfano i criteri ACE. - Nega: eliminare i pacchetti che soddisfano i criteri ACE. - Arresta: eliminare i pacchetti che soddisfano i criteri ACE e disattivare la porta da cui sono stati ricevuti i pacchetti. Queste porte possono essere riattivate nella pagina Impostazioni porta.
28 Controllo di accesso ACL basati su IPv4 • Valore 802.1p: immettere il valore 802.1p da aggiungere al tag VPT. • Maschera 802.1p: immettere la maschera di controllo di accesso da applicare al tag VPT. • Tipo connessione Ethernet: immettere il tipo connessione Ethernet del frame da soddisfare. PASSAGGIO 5 Fare clic su Applica. L'ACE basato su MAC viene salvato nel file di configurazione esecuzione.
28 Controllo di accesso ACL basati su IPv4 Definizione di ACL basati su IPv4 Per definire un ACL basato su IPv4, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Controllo di accesso > ACL basato su IPv4. Nella pagina vengono visualizzati tutti gli ACL basati su IPv4 attualmente definiti. PASSAGGIO 2 Fare clic su Aggiungi. PASSAGGIO 3 Immettere il nome del nuovo ACL nel campo Nome ACL. I nomi fanno distinzione tramaiuscole e minuscole. PASSAGGIO 4 Fare clic su Applica.
Controllo di accesso ACL basati su IPv4 28 • Registrazione: selezionare questa opzione per attivare i flussi ACL che corrispondono alla regola ACL. • Intervallo di tempo: seleziona questa opzione per limitare l'utilizzo dell'ACL per un determinato intervallo di tempo. • Nome intervallo di tempo: se l'opzione Intervallo di tempo è selezionata, scegliere l'intervallo di tempo desiderato. Gli intervalli di tempo vengono definiti nella sezione Configurazione dell'ora di sistema.
Controllo di accesso ACL basati su IPv4 28 - IPIP: IP in IP - PIM: Protocol Independent Multicast - L2TP: Layer 2 Tunneling Protocol - ISIS: protocollo specifico di IGP - ID protocollo per corrispondenza: invece di selezionare il nome, immettere l'ID protocollo. • Indirizzo IP di origine: selezionare Qualsiasi se tutti gli indirizzi di origine sono accettabili o Definiti dall'utente per immettere un indirizzo di origine o un intervallo di indirizzi di origine.
28 Controllo di accesso ACL basati su IPv4 • Porta di destinazione: selezionare uno dei valori disponibili, che sono uguali a quelli del campo Porta di origine descritto sopra. NOTA È necessario specificare il protocollo IP per l'ACE prima di poter immettere la porta di origine e/o di destinazione. • Flag TCP: selezionare uno o più flag TCP con cui filtrare i pacchetti. I pacchetti filtrati vengono reindirizzati o eliminati.
28 Controllo di accesso ACL basati su IPv6 ACL basati su IPv6 Nella pagina ACL basato su IPv6 viene visualizzata e attivata la creazione di ACL IPv6 che controllano il traffico puro basato su IPv6. Gli ACL IPv6 non controllano i pacchetti IPv6 su IPv4 o ARP. NOTA Gli ACL vengono utilizzati anche come elementi di creazione delle definizioni di flussi per la gestione di QoS basata sul flusso.
Controllo di accesso ACL basati su IPv6 • 28 Azione: selezionare l'azione assegnata al pacchetto che corrisponde all'ACE. Le opzioni disponibili sono: - Consenti: reindirizzare i pacchetti che soddisfano i criteri ACE. - Nega: eliminare i pacchetti che soddisfano i criteri ACE. - Arresta: eliminare i pacchetti che soddisfano i criteri ACE e disattivare la porta a cui i pacchetti erano indirizzati. Le porte vengono riattivate nella pagina Gestione porte.
Controllo di accesso ACL basati su IPv6 • • 28 Porta di origine: selezionare una delle seguenti opzioni. - Qualsiasi: far corrispondere a tutte le porte di origine. - Una dall'elenco: selezionare una singola porta TCP/UDP di origine a cui vengono fatti corrispondere i pacchetti. Questo campo è attivo solo se nella casella a discesa Seleziona da elenco è stato selezionato 800/6-TCP o 800/17-UDP.
28 Controllo di accesso Binding di ACL Binding di ACL Quando un ACL viene associato a un'interfaccia (porta, LAg o VLAN), le regole ACE corrispondenti vengono applicate ai pacchetti in arrivo sull'interfaccia. I pacchetti che non corrispondono a nessun ACE nell'ACL vengono confrontati con una regola predefinita, la cui azione è eliminare i pacchetti privi di corrispondenza.
28 Controllo di accesso Binding di ACL Per associare un ACL a una porta o LAG, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Controllo di accesso > Binding di ACL (porta). PASSAGGIO 2 Selezionare un tipo di interfaccia Porte/LAG (porta o LAG). PASSAGGIO 3 Scegliere Vai. Per ogni tipo di interfaccia selezionata, tutte le interfacce di quel tipo vengono visualizzate con un elenco dei relativi ACL correnti. • Interfaccia: identificatore o interfaccia su cui è definito l'ACL.
29 Qualità del servizio La funzione Qualità del servizio viene applicata su tutta la rete al fine di garantire che la priorità del traffico di rete venga assegnata in base ai criteri indicati e che il traffico desiderato venga elaborato con modalità preferenziali.
Qualità del servizio Funzioni e componenti di QoS 29 Funzioni e componenti di QoS La funzione QoS viene utilizzata per ottimizzare le prestazioni della rete.
Qualità del servizio Funzioni e componenti di QoS 29 Modalità QoS La modalità QoS selezionata viene applicata a tutte le interfacce del sistema. • Modalità di base: CoS (Class of Service, Classe di servizio). Tutto il traffico della stessa classe viene elaborato secondo la medesima modalità, ovvero l'unica operazione QoS che determina la coda di uscita sulla porta di uscita, in base al valore QoS indicato nel frame in ingresso. Questo può corrispondere al valore 802.
Qualità del servizio Funzioni e componenti di QoS 29 Flusso di lavoro del QoS Per configurare i parametri generali QoS, eseguire le seguenti operazioni: PASSAGGIO 1 Utilizzare la pagina Proprietà QoS per scegliere il tipo di modalità QoS per il sistema (base, avanzata o disattivata, come descritto nella sezione "Modalità QoS"). Le seguenti operazioni eseguite nel flusso di lavoro presumono che sia stato scelto di attivare il QoS.
Qualità del servizio Configurazione QoS - Generale 29 Configurazione QoS - Generale La pagina Proprietà QoS contiene i campi per l'impostazione della modalità QoS per il sistema (base, avanzata o disattivata, come descritto nella sezione "Modalità QoS"). Inoltre, è possibile definire la proprietà CoS predefinita di ciascuna interfaccia.
Qualità del servizio Configurazione QoS - Generale 29 Configurazione delle code QoS Il dispositivo supporta code con priorità 4 o 8 per ogni interfaccia selezionata nella pagina Modalità Sistema e Gestione stack. Il numero di coda quattro o otto rappresenta la coda con priorità più alta. Il numero uno rappresenta invece la coda con priorità più bassa.
29 Qualità del servizio Configurazione QoS - Generale - WRR: la programmazione del traffico per la coda selezionata si basa sul WRR. Il periodo di elaborazione del traffico si divide tra le code WRR che non sono vuote, ovvero tra le code che hanno descrittori in uscita. Questo si verifica solo se le code a stretta priorità sono vuote. - Peso WRR: se WRR è selezionato, immettere il peso WRR assegnato alla coda.
29 Qualità del servizio Configurazione QoS - Generale Nella tabella seguente viene descritta l'associazione predefinita in presenza di 8 code: Valori 802.
29 Qualità del servizio Configurazione QoS - Generale • Coda in uscita: selezionare la coda di uscita a cui è associata la priorità 802.1p. Sono supportate quattro o otto code di uscita, dove Coda 4 o Coda 8 è la coda di uscita con priorità più alta e Coda 1 è quella con priorità più bassa. PASSAGGIO 3 Per ciascuna priorità 802.1p selezionare la coda in uscita a cui è associata. PASSAGGIO 4 Fare clic su Applica, Annulla o Ripristina impostazioni predefinite. I valori di priorità 801.
29 Qualità del servizio Configurazione QoS - Generale Coda 3 3 4 3 3 2 1 1 DSCP 58 50 42 34 26 18 10 2 Coda 3 3 4 3 3 2 1 1 DSCP 57 49 41 33 25 17 9 1 Coda 3 3 4 3 3 2 1 1 DSCP 56 48 40 32 24 16 8 0 Coda 3 3 4 3 3 2 1 1 Le seguenti tabelle descrivono l'associazione predefinita DSCP a coda per un sistema a 8 code (7 è la priorità più alta; 8 viene usato per scopi di controllo dello stack).
29 Qualità del servizio Configurazione QoS - Generale Nelle tabelle seguenti viene descritta l'associazione predefinita DSCP a coda per sistemi a 8 code in cui 8 è la priorità più alta: DSCP 63 55 47 39 31 23 15 7 Coda 7 7 8 6 5 4 3 1 DSCP 62 54 46 38 30 22 14 6 Coda 7 7 8 6 5 4 3 1 DSCP 61 53 45 37 29 21 13 5 Coda 7 7 8 6 5 4 3 1 DSCP 60 52 44 36 28 20 12 4 Coda 7 7 8 6 5 4 3 1 DSCP 59 51 43 35 27 19 11 3 Coda 7 7 8 6 5
Qualità del servizio Configurazione QoS - Generale 29 PASSAGGIO 4 Fare clic su Applica. Il file Configurazione di esecuzione viene aggiornato. Configurazione della larghezza di banda Nella pagina Larghezza di banda gli utenti possono definire due valori (Limite velocità in ingresso e Velocità normalizzazione in uscita), che determinano la quantità di traffico che il sistema può ricevere e inviare.
Qualità del servizio Configurazione QoS - Generale 29 • Committed Burst Size (CBS) in ingresso: immettere la dimensione massima in byte di dati inviati per l'interfaccia in uscita. È possibile inviare la quantità indicata anche se la larghezza di banda supera temporaneamente il limite consentito. Il campo è disponibile solo se l'interfaccia è una porta. • Velocità normalizzazione in uscita: consente di attivare la normalizzazione in uscita nell'interfaccia.
Qualità del servizio Configurazione QoS - Generale 29 • Attiva normalizzazione: selezionare per consentire la normalizzazione in uscita su questa coda. • Committed Information Rate (CIR): immettere la velocità massima (CIR) in Kbit per secondo (Kbps). CIR rappresenta la quantità massima di dati che è possibile inviare. • Committed Burst Size (CBS): immettere la dimensione massima dei dati trasmessi (CBS) in byte.
29 Qualità del servizio Modalità QoS di base • Committed Burst Size (CBS): immettere la dimensione massima in byte di dati inviati per l'interfaccia in uscita. È possibile inviare la quantità indicata anche se la larghezza di banda supera temporaneamente il limite consentito. Tali inserimenti non sono consentiti per i LAG. PASSAGGIO 4 Fare clic su Applica. Il limite di velocità VLAN viene aggiunto e il file Configurazione di esecuzione viene aggiornato.
29 Qualità del servizio Modalità QoS di base Se un porta, per eccezione, non deve essere associata alla selezione CoS in ingresso, disattivare lo stato QoS utilizzando la pagina Impostazioni interfaccia. Attivare o disattivare la modalità Trust selezionata a livello globale sulle porte tramite la pagina Impostazioni interfaccia. Se una porta viene disattivata senza impostare la modalità Trust, tutti i suoi pacchetti in ingresso vengono inoltrati nella coda best-effort.
29 Qualità del servizio Modalità avanzata QoS Il DSCP di ingresso visualizza il valore DSCP del traffico in entrata e in uscita dallo switch. PASSAGGIO 5 Selezionare il valore DSCP di uscita per indicare il valore di uscita a cui è associato. PASSAGGIO 6 Fare clic su Applica. Il file Configurazione di esecuzione viene aggiornato con i nuovi valori DSCP.
Qualità del servizio Modalità avanzata QoS 29 In modalità QoS avanzata, il dispositivo utilizza i criteri per supportare il QoS per flusso. Un criterio e i suoi componenti presentano le seguenti caratteristiche e relazioni: • Un criterio contiene una o più mappe di classi. • Una mappa di classi definisce un flusso con uno o più ACL associati.
29 Qualità del servizio Modalità avanzata QoS Flusso di lavoro per la configurazione della modalità QoS avanzata Per configurare la modalità QoS avanzata, attenersi alla seguente procedura: 1. Utilizzare la pagina Proprietà QoS per selezionare la modalità avanzata per il sistema. Utilizzare la pagina Impostazioni generali per selezionare la modalità Trust.
29 Qualità del servizio Modalità avanzata QoS • CoS/802.1p: il traffico viene associato alle code sulla base del campo VTP del tag VLAN oppure in base al valore CoS/802.1p predefinito per porta (se il pacchetto in ingresso non ha tag VLAN). È possibile configurare l'effettiva associazione del VTP alla coda nella pagina CoS/802.1p a coda. • DSCP: tutto il traffico IP viene associato alle code in base al campo DSCP dell'intestazione IP.
29 Qualità del servizio Modalità avanzata QoS Configurazione dell'Associazione DSCP fuori dal profilo Quando si assegna una funzionalità di monitoraggio a una mappa delle classi (flussi), è possibile specificare l'azione da eseguire quando la quantità di traffico dei flussi supera i limiti indicati dal QoS-. La parte del traffico del flusso che supera il limite QoS viene indicata come pacchetti fuori-dal-profilo.
29 Qualità del servizio Modalità avanzata QoS Definizione dell'Associazione classi Una mappa delle classi definisce un flusso di traffico con ACL (elenchi di controllo degli accessi). In una mappa delle classi è possibile combinare MAC ACL, IP ACL e IPv6 ACL. Le mappe di classi sono configurate per soddisfare i criteri del pacchetto su una base Abbina tutti o Abbina qualsiasi.
29 Qualità del servizio Modalità avanzata QoS • ACL preferito: selezionare se i pacchetti vengono confrontati prima con un elenco ACL basato su IP o con uno basato su MAC. PASSAGGIO 4 Fare clic su Applica. Il file Configurazione di esecuzione viene aggiornato. Monitoraggi QoS NOTA I monitoraggi QoS non sono supportati dai dispositivi Sx500 in modalità di sistema Livello 3. Sono supportanti sempre su dispositivi SG500X.
29 Qualità del servizio Modalità avanzata QoS L'assegnazione di un monitoraggio a una mappa di classi viene eseguita quando si aggiunge una mappa di classi a un criterio. Se si utilizza il monitoraggio aggregato, è necessario utilizzare la pagina Monitoraggio aggregato per crearlo. Definizione dei monitoraggi aggregati Un monitoraggio aggregato applica il QoS a una o più mappe di classi, di conseguenza a uno o più flussi.
29 Qualità del servizio Modalità avanzata QoS Configurazione di un criterio Nella pagina Tabella Criteri viene visualizzato l'elenco dei criteri QoS avanzati definiti nel sistema. Inoltre, nella pagina è possibile creare ed eliminare criteri. Sono attivi solo i criteri associati a un'interfaccia (vedere la pagina Binding del criterio). Ciascun criterio è costituito da: • Una o più mappe di classi di ACL che definiscono i flussi di traffico del criterio.
Qualità del servizio Modalità avanzata QoS 29 PASSAGGIO 3 Per aggiungere una nuova mappa di classi, fare clic su Aggiungi. PASSAGGIO 4 Immettere i parametri. • Nome criterio: viene indicato il criterio a cui è stata aggiunta la mappa di classi. • Nome mappa delle classi: selezionare la mappa di classi esistenti da associare al criterio. Le mappe di classe vengono create nella pagina Associazione classi. • Tipo di azione: selezionare l'azione relativa al valore Cos/802.
29 Qualità del servizio Modalità avanzata QoS • Committed Burst Size (CBS) in ingresso: immettere il CBS in byte. Vedere la descrizione nella pagina Larghezza di banda. • Evento di superamento: selezionare l'azione assegnata ai pacchetti in ingresso che superano il CIR. Le opzioni sono: - Nessuno: non viene eseguita alcuna azione. - Elimina: vengono eliminati i pacchetti che superano il valore CIR specificato.
Qualità del servizio Gestione delle statistiche QoS 29 PASSAGGIO 6 Fare clic su Visualizza binding criterio per porta per visualizzare i tipi di interfaccia (porta dell'unità 1/1 o LAG) per interfaccia: Per tutte le porte/LAG vengono visualizzati i campi seguenti: • Nome criterio • Consenti tutto Gestione delle statistiche QoS In queste pagine è possibile gestire il monitoraggio singolo e il monitoraggio aggregato, nonchè visualizzare le statistiche della coda.
Qualità del servizio Gestione delle statistiche QoS 29 PASSAGGIO 3 Immettere i parametri. • Interfaccia: selezionare l'interfaccia di cui vengono accumulate le statistiche. • Nome criterio: selezionare il nome del criterio. • Nome mappa delle classi: selezionare il nome della classe. PASSAGGIO 4 Fare clic su Applica. Un'ulteriore richiesta di statistiche viene creata e il file di Configurazione di esecuzione viene aggiornato.
Qualità del servizio Gestione delle statistiche QoS 29 Visualizzazione delle statistiche code Nella pagina Statistiche code vengono visualizzate le statistiche relative alle code, incluse le statistiche di pacchetti inoltrati ed eliminati, in base alla precedenza dell'interfaccia, della coda e dell'eliminazione. Per visualizzare le statistiche code, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere Qualità del servizio > Statistiche QoS > Statistiche code.
Qualità del servizio Gestione delle statistiche QoS • 29 Interfaccia: selezionare le porte di cui vengono visualizzate le statistiche. Sono disponibili le seguenti opzioni: - N. unità: consente di selezionare il numero di unità. - Porta: consente di selezionare la porta sul numero dell'unità indicato di cui vengono visualizzate le statistiche. - Tutte le porte: indica le statistiche visualizzate per tutte le porte. • Coda: selezionare la coda di cui vengono visualizzate le statistiche.
30 SNMP In questa sezione viene descritta la funzione di SNMP (Simple Network Management Protocol) che fornisce un metodo di gestione dei dispositivi di rete.
SNMP Versioni e flusso di lavoro di SNMP 30 Gli agenti SNMP conservano un elenco di variabili usate per gestire il dispositivo. Tali variabili vengono definite nel Management Information Base (MIB). NOTA A causa delle vulnerabilità legate alla sicurezza di altre versioni, si consiglia di utilizzare SNMPv3. SNMPv3 Oltre alle funzionalità fornite da SNMPv1 e v2, SNMPv3 applica il controllo di accesso e nuovi meccanismi trap alle PDU di SNMPv1 e SNMPv2.
SNMP Versioni e flusso di lavoro di SNMP • 30 Modalità avanzata: i diritti di accesso di una comunità sono definiti da un gruppo (definito nella pagina Gruppi). Il gruppo può essere configurato attraverso un modello di protezione specifico. I diritti di accesso di un gruppo sono lettura, scrittura e notifica. PASSAGGIO 2 Scegliere se limitare la stazione di gestione SNMP a un indirizzo o consentire la gestione SNMP da tutti gli indirizzi.
30 SNMP OID del modello MIB supportati Per consultare l'elenco dei MIB supportati, visitare il seguente URL e accedere all'area di download MIB di Cisco: www.cisco.com/cisco/software/navigator.html OID del modello Di seguito vengono riportati gli ID oggetto (OID) del modello di dispositivo: Nome modello Descrizione ID oggetto SF500-24 Switch gestito stackable 10/100 a 24 porte 9.6.1.80.24.1 SF500-24P Switch gestito stackable PoE 10/100 a 24 porte 9.6.1.80.24.
30 SNMP ID motore SNMP Gli ID oggetto privati vengono posizionati sotto: enterprises(1).cisco(9).otherEnterprises(6).ciscosb(1).switch001(101). ID motore SNMP L'ID motore viene utilizzato per identificare in modo univoco le entità SNMPv3. Un agente SNMP viene considerato un motore SNMP autoritario. Ciò significa che l'agente risponde ai messaggi in ingresso (Get, GetNext, GetBulk, Set) e invia messaggi Trap a un responsabile. Le informazioni locali dell'agente vengono inserite nei campi del messaggio.
SNMP Configurazione Viste SNMP 30 Tutti gli ID motore remoto e i relativi indirizzi IP vengono visualizzati nella tabella ID motore remoto. PASSAGGIO 3 Fare clic su Applica. Il file Configurazione di esecuzione viene aggiornato. La tabella ID motore remoto mostra l'associazione tra gli indirizzi IP del motore e l'ID motore. Per aggiungere l'indirizzo IP di un ID motore, attenersi alla seguente procedura: PASSAGGIO 4 Fare clic su Aggiungi.
30 SNMP Configurazione Viste SNMP Nella pagina Gruppi è possibile unire le viste ai gruppi o a una comunità che utilizza la modalità di accesso di base tramite la pagina Comunità. Per definire le viste SNMP, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere SNMP > Viste. PASSAGGIO 2 Scegliere Aggiungi per definire nuove viste. PASSAGGIO 3 Immettere i parametri. • Nome vista: immettere un nome vista di lunghezza compresa tra 0 e 30 caratteri.
30 SNMP Creazione di gruppi SNMP Creazione di gruppi SNMP In SNMPv1 e SNMPv2, viene inviata una stringa della comunità con i frame SNMP. La stringa della comunità funge da password per ottenere l'accesso su un agente SNMP. Tuttavia, non vengono crittografati né i frame né la stringa della comunità. Pertanto, SNMPv1 e SNMPv2 non sono protetti. In SNMPv3, possono essere configurati i seguenti meccanismi di sicurezza.
30 SNMP Gestione degli utenti SNMP • • Livello di protezione: definire il livello di protezione associato al gruppo. SNMPv1 e SNMPv2 non supportano né autenticazione né privacy. Se SNMPv3 è selezionata, scegliere una delle seguenti opzioni: - Senza autenticazione e senza privacy: al gruppo non sono assegnati né il livello di protezione di autenticazione né quello della privacy.
SNMP Gestione degli utenti SNMP 30 Per creare un utente SNMPv3, è necessario che ci sia la condizione seguente: • Un ID motore deve essere prima configurato sul dispositivo. Ciò avviene nella pagina ID motore. • Deve essere disponibile un gruppo SNMPv3. Un gruppo SNMPv3 è definito nella pagina Gruppi. Per visualizzare utenti SNMP e definirne nuovi, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere SNMP > Utenti. Nella pagina vengono visualizzati gli utenti esistenti.
SNMP Definizione delle comunità SNMP • • 30 Metodo di privacy: selezionare una delle seguenti opzioni: - Nessuno: la password per la privacy non viene crittografata. - DES: la password per la privacy viene crittografata secondo il DES (Data Encryption Standard). Password per la Privacy: se il metodo di privacy è selezionato, sono necessari 16 byte (chiave crittografica DES). Il campo deve contenere esattamente 32 caratteri esadecimali.
SNMP Definizione delle comunità SNMP 30 In questa pagina i responsabili di rete possono definire e configurare nuove comunità SNMP. PASSAGGIO 3 Stazione di gestione SNMP: fare clic su Definito dall'utente per immettere nella stazione di gestione l'indirizzo IP che può accedere alla comunità SNMP, oppure su Tutti per indicare che la comunità SNMP è accessibile da qualsiasi indirizzo IP. • Versione IP: selezionare IPv4 o IPv6.
SNMP Definizione delle impostazioni trap • 30 Impostazioni avanzate: selezionare questa modalità per una comunità selezionata. - Nome gruppo: selezionare un gruppo SNMP che determina i diritti di accesso. PASSAGGIO 4 Fare clic su Applica. La comunità SNMP è definita e il file Configurazione di esecuzione viene aggiornato. Definizione delle impostazioni trap Nella pagina Impostazioni di trap è possibile scegliere se inviare o meno notifiche SNMP dal dispositivo e in quali circostanze.
SNMP Destinatari delle notifiche 30 Le pagine Destinatari delle notifiche SNMPv1,2 Destinatari delle notifiche SNMPv3 consentono di configurare le destinazioni delle notifiche SNMP e i tipi di notifiche SNMP inviate a ciascuna destinazione (trap o messaggi inform). Le finestre a comparsa Aggiungi/Modifica consentono di configurare gli attributi delle notifiche.
30 SNMP Destinatari delle notifiche • Tipo di indirizzo IPv6: selezionare Collega locale o Globale. - Collega locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non reindirizzabile, che è possibile utilizzare solo per le comunicazioni sulla rete locale. È supportato soltanto un indirizzo locale collegamento.
SNMP Destinatari delle notifiche 30 Definizione dei Destinatari delle notifiche SNMPv3 Per definire un destinatario in SNMPv3, attenersi alla seguente procedura: PASSAGGIO 1 Scegliere SNMP > Destinatari delle notifiche SNMPv3. In questa pagina vengono visualizzati i destinatari per SNMPv3. • Interfaccia IPv4 di origine inform: selezionare l'interfaccia di origine il cui indirizzo IPv4 verrà utilizzato come indirizzo IPv4 di origine nei messaggi inform per comunicare con i server SNMP IPv4.
30 SNMP Destinatari delle notifiche • Tentativi : specificare quante volte il dispositivo reinvia una richiesta messaggi inform. Tentativi: intervallo compreso tra 1 e 255, predefinito 3. • Nome utente: selezionare da un elenco a discesa l'utente a cui inviare le notifiche SNMP. Al fine di ricevere le notifiche, questo utente deve essere definito sulla pagina utente SNMP e il suo ID motore deve essere remoto.
30 SNMP Filtri di notifica SNMP Filtri di notifica SNMP Nella pagina Filtro di notifica è possibile configurare i filtri di notifica SNMP e gli ID oggetto (OID) selezionati. Dopo aver creato un filtro di notifica, è possibile associarlo a un destinatario di notifica nelle pagine Destinatari delle notifiche SNMPv1,2 e Destinatari delle notifiche SNMPv3. Il filtro della notifica consente di filtrare il tipo di notifiche SNMP inviate alla stazione di gestione in base all'OID della notifica da inviare.
31 Cisco e il logo Cisco sono marchi o marchi registrati di Cisco e/o di società affiliate negli Stati Uniti e in altri paesi. Per visualizzare un elenco dei marchi commerciali di Cisco, andare al seguente URL: www.cisco.com/go/trademarks. I marchi di terze parti citati nel presente documento appartengono ai rispettivi proprietari. L'uso della parola partner non implica una partnership tra Cisco e qualsiasi altra società.
