glady 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 Hallo, kann jemand die Auswirkung der Befehle - switchport mode access - switchport nonegotiate erklären? Ich weiss, dass man den 1. Befehl dann eingeben sollten, wenn man einen Server anschließt. Aber was passiert da genau? Und wann wird der 2. Befehl benötigt? Danke schon mal im Voraus! Grüße Glady Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 Hallo, kann jemand die Auswirkung der Befehle - switchport mode access - switchport nonegotiate erklären? Ich weiss, dass man den 1. Befehl dann eingeben sollten, wenn man einen Server anschließt. Aber was passiert da genau? Und wann wird der 2. Befehl benötigt? Hi, wenn du den Layer2 Port von "dynamic desirable" auf statisch "access" Port umwandeln möchtest. Der Port versucht sonst zu erkennen ob da jemand Trunking drauf machen möchte und konfiguriert sich dann entsprechend selber. Mit "access" sagst du aber es ist auf jedenfall nur ein "einfacher" Switchclient Port. "nonegotiate" kannst du einsetzten, wenn DTP das für "dynamic desirable" zuständig ist ausgeschaltet werden soll. Das ist das Dynmaic Trunking Protokoll. Beides haben einen ähnlichen Effekt. Du kannst auch auf keinen dynamischen Port DTP ausschalten. SW1(config-if)#switchport nonegotiate Command rejected: Conflict between 'nonegotiate' and 'dynamic' status. SW1(config-if)# Fu Zitieren Link zu diesem Kommentar
adowoMAC 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 Also mit "switchport mode access" sagst du dem Gerät, dass dieser Port zu einem einzelnen VLAN gehört. Das Gegenteil hierzu wäre "switchport mode trunk", wo der Port zu mehreren VLANs gehören würde. Nachdem du das Kommando abgesetzt hast, kannst du mit "switchport access vlan 100" den Port zu einem VLAN hinzufügen. Die 100 kannst du dann mit der entsprechenden VLAN ID ersetzen. Der Befehl "switchport nonegotiate" ist eigentlich ein optionales Sicherheitsfeature, dass es verhindert, dass ein Angreifer ein Trunking zwischen den einzelnen VLANs und damit den Ports erreicht. An der eigentlichen Funktinalität änder sich dadurch nichts. Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 3. November 2006 Autor Melden Teilen Geschrieben 3. November 2006 > Der Befehl "switchport nonegotiate" ist eigentlich ein optionales Sicherheitsfeature, dass es verhindert, dass ein Angreifer ein Trunking zwischen den einzelnen VLANs und damit den Ports erreicht. An der eigentlichen Funktinalität änder sich dadurch nichts. Ich dachte, das erreiche ich mit "switchport mode access"? Im Prinzip kann man sagen, wenn ich an einem Switchport kein Trunk haben möchte, sollte ich beide Befehle eingeben, oder? Wobei mich der Unterschied schon interessieren würde. Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 > Im Prinzip kann man sagen, wenn ich an einem Switchport kein Trunk haben möchte, sollte ich beide Befehle eingeben, oder? Wobei mich der Unterschied schon interessieren würde. Hi nochmal, du kannst auf einem switchport DTP Frames senden. Wenn aber ein anderes Gerät damit nicht zurechtkommt, dann kannst du es über "nonegotiate" ausschalten, egal ob access oder trunk Port. Catalyst 3560 Switch Cisco IOS Commands - shutdown through vtp Fu Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 3. November 2006 Autor Melden Teilen Geschrieben 3. November 2006 Fu, danke für den Link. In der Beschreibung steht: •If you do not intend to trunk across those links, use the switchport mode access interface configuration command to disable trunking. •To enable trunking on a device that does not support DTP, use the switchport mode trunk and switchport nonegotiate interface configuration commands to cause the interface to become a trunk but to not generate DTP frames. Wenn ich kein Trunk möchte, soll ich auf Switchport mode access stellen. Macht es nicht Sinn auch DTP auszuschalten? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 Wenn du keinen Trunk willst/brauchst, ja :) Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 Wenn ich kein Trunk möchte, soll ich auf Switchport mode access stellen. Macht es nicht Sinn auch DTP auszuschalten? Hi, also das Trunking ist über "switchport mode access" sowieso schon abgestellt. Wenn du DTP ausschaltest wird der Switch nicht mehr versuchen aktiv in einen Trunk umzuwandeln. Das macht ein Cisco Switch nämlich. Er agiert aktiv um zu konvertieren. Hier zwei Ports. Einmal f0/13 als 802.1Q Trunk dynamic und einmal als "switchport mode trunk" und "noneg" ohne DTP. Du verhinderst das DTP versucht wird. switchport mode dynamic desirable + DTP SW1#sh dtp int f0/14 DTP information for FastEthernet0/14: TOS/TAS/TNS: TRUNK/DESIRABLE/TRUNK TOT/TAT/TNT: 802.1Q/802.1Q/802.1Q Neighbor address 1: 000DBCF9CF0E Neighbor address 2: 000000000000 Hello timer expiration (sec/state): 10/RUNNING Access timer expiration (sec/state): 280/RUNNING Negotiation timer expiration (sec/state): never/STOPPED Multidrop timer expiration (sec/state): never/STOPPED FSM state: S6:TRUNK times multi & trunk 0 Enabled: yes In STP: no Statistics ---------- 493 packets received (493 good) 0 packets dropped 0 nonegotiate, 0 bad version, 0 domain mismatches, 0 bad TLVs, 0 bad TAS, 0 bad TAT, 0 bad TOT, 0 other 497 packets output (497 good) 494 native, 3 software encap isl, 0 isl hardware native 0 output errors 0 trunk timeouts 1 link ups, last link up on Mon Mar 01 1993, 00:00:42 0 link downs switchport mode trunk + noneg SW1#sh dtp int f0/13 DTP information for FastEthernet0/13: TOS/TAS/TNS: TRUNK/NONEGOTIATE/TRUNK TOT/TAT/TNT: 802.1Q/802.1Q/802.1Q Neighbor address 1: 000DBCF9CF0D Neighbor address 2: 000000000000 Hello timer expiration (sec/state): never/STOPPED Access timer expiration (sec/state): never/STOPPED Negotiation timer expiration (sec/state): never/STOPPED Multidrop timer expiration (sec/state): never/STOPPED FSM state: S6:TRUNK # times multi & trunk 0 Enabled: yes In STP: no Statistics ---------- 463 packets received (463 good) 0 packets dropped 0 nonegotiate, 0 bad version, 0 domain mismatches, 0 bad TLVs, 0 bad TAS, 0 bad TAT, 0 bad TOT, 0 other 468 packets output (468 good) 465 native, 3 software encap isl, 0 isl hardware native 0 output errors 0 trunk timeouts 1 link ups, last link up on Mon Mar 01 1993, 00:00:42 0 link downs Also es kann unter Umständen Sinn machen es auszustellen, wenn du Cisco und etwas anderes Verbinden möchtest und es dabei Probleme gibt und DTP nicht benötigt wird, weil beide schon auf dot1q stehen. Es schadet natürlich auch nicht es auszuschalten. Weil du wirst es wirklich nur benötigen, wenn ein Port aktiv zu einem Trunk konvertieren soll. Fu Zitieren Link zu diesem Kommentar
glady 10 Geschrieben 6. November 2006 Autor Melden Teilen Geschrieben 6. November 2006 Vielen Dank für die ausführlichen Info's! Eine andere Frage hätte ich zum Spanning-tree. Ich mach jetzt mal kein neues Thread auf. Ich verstehe den Unterschied zwischen einem Root Port und Designated Port nicht. Kann mir das jemand erklären? Root Port sagt aus, über welchen Port mit den geringsten Pfadkosten der Root Bridge erreichbar ist. Was macht der Designated Port? In dieser Ausgabe ist Designated Port 65. Wie finde ich erhaus, welcher Port auf dem Switch der Designated Port 65 ist? Interface Gi0/1 (port 67) in Spanning tree 113 is FORWARDING Port path cost 3004, Port priority 128 Designated root has priority 8192, address x Designated bridge has priority 8192, address x Designated port is 65, path cost 0 Timers: message age 2, forward delay 0, hold 0 BPDU: sent 56, received 39034821 Danke und Grüße, Glady Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 6. November 2006 Melden Teilen Geschrieben 6. November 2006 Hi, hier ist eine schöne Abbildung und Erklärung. Transparent Bridging Der Designated Port ist der Port der zu der Designated Bridge gehört die Erlaubnis hat für das angeschlossene Vlan zu forwarden. Die Entscheidung hängt von der Wahl der Designated Bridge ab. Die wiederum wird durch den besten Root Path gewählt nach Path Cost zur Root Bridge. SW1#sh spanning-tree int f0/14 Vlan Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- VLAN0001 Root FWD 19 128.14 P2p SW1#sh spanning-tree int f0/14 de Port 14 (FastEthernet0/14) of VLAN0001 is forwarding Port path cost 19, Port priority 128, Port Identifier 128.14. Designated root has priority 32769, address 000d.bcf9.cf00 Designated bridge has priority 32769, address 000d.bcf9.cf00 Designated port id is 128.14, designated path cost 0 Timers: message age 2, forward delay 0, hold 0 Number of transitions to forwarding state: 1 Link type is point-to-point by default BPDU: sent 6, received 10633 Rack1SW2#sh spanning-tree int f0/14 Vlan Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- VLAN0001 Desg FWD 19 128.14 P2p SW2#sh spanning-tree int f0/14 de Port 14 (FastEthernet0/14) of VLAN0001 is forwarding Port path cost 19, Port priority 128, Port Identifier 128.14. Designated root has priority 32769, address 000d.bcf9.cf00 Designated bridge has priority 32769, address 000d.bcf9.cf00 Designated port id is 128.14, designated path cost 0 Timers: message age 0, forward delay 0, hold 0 Number of transitions to forwarding state: 1 Link type is point-to-point by default BPDU: sent 21305, received 5 Du kannst dir Root und DesgP über "show spanning tree" anzeigen lassen. Fu Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.