Zum Inhalt wechseln


Foto

Frage zu 2 Befehlen "Trunking"


  • Bitte melde dich an um zu Antworten
9 Antworten in diesem Thema

#1 glady

glady

    Member

  • 189 Beiträge

 

Geschrieben 03. November 2006 - 08:09

Hallo,

kann jemand die Auswirkung der Befehle

- switchport mode access
- switchport nonegotiate

erklären? Ich weiss, dass man den 1. Befehl dann eingeben sollten, wenn man einen Server anschließt. Aber was passiert da genau? Und wann wird der 2. Befehl benötigt?

Danke schon mal im Voraus!

Grüße
Glady

#2 fu123

fu123

    Board Veteran

  • 618 Beiträge

 

Geschrieben 03. November 2006 - 08:33

Hallo,

kann jemand die Auswirkung der Befehle

- switchport mode access
- switchport nonegotiate

erklären? Ich weiss, dass man den 1. Befehl dann eingeben sollten, wenn man einen Server anschließt. Aber was passiert da genau? Und wann wird der 2. Befehl benötigt?


Hi,

wenn du den Layer2 Port von "dynamic desirable" auf statisch "access" Port umwandeln möchtest. Der Port versucht sonst zu erkennen ob da jemand Trunking drauf machen möchte und konfiguriert sich dann entsprechend selber. Mit "access" sagst du aber es ist auf jedenfall nur ein "einfacher" Switchclient Port.

"nonegotiate" kannst du einsetzten, wenn DTP das für "dynamic desirable" zuständig ist ausgeschaltet werden soll.

Das ist das Dynmaic Trunking Protokoll. Beides haben einen ähnlichen Effekt. Du kannst auch auf keinen dynamischen Port DTP ausschalten.

SW1(config-if)#switchport nonegotiate
Command rejected: Conflict between 'nonegotiate' and 'dynamic' status.
SW1(config-if)#


Fu

#3 adowoMAC

adowoMAC

    formerly known as hkahmann

  • 227 Beiträge

 

Geschrieben 03. November 2006 - 08:37

Also mit "switchport mode access" sagst du dem Gerät, dass dieser Port zu einem einzelnen VLAN gehört. Das Gegenteil hierzu wäre "switchport mode trunk", wo der Port zu mehreren VLANs gehören würde.

Nachdem du das Kommando abgesetzt hast, kannst du mit "switchport access vlan 100" den Port zu einem VLAN hinzufügen. Die 100 kannst du dann mit der entsprechenden VLAN ID ersetzen.

Der Befehl "switchport nonegotiate" ist eigentlich ein optionales Sicherheitsfeature, dass es verhindert, dass ein Angreifer ein Trunking zwischen den einzelnen VLANs und damit den Ports erreicht. An der eigentlichen Funktinalität änder sich dadurch nichts.

#4 glady

glady

    Member

  • 189 Beiträge

 

Geschrieben 03. November 2006 - 09:30

> Der Befehl "switchport nonegotiate" ist eigentlich ein optionales Sicherheitsfeature, dass es verhindert, dass ein Angreifer ein Trunking zwischen den einzelnen VLANs und damit den Ports erreicht. An der eigentlichen Funktinalität änder sich dadurch nichts.

Ich dachte, das erreiche ich mit "switchport mode access"?

Im Prinzip kann man sagen, wenn ich an einem Switchport kein Trunk haben möchte, sollte ich beide Befehle eingeben, oder? Wobei mich der Unterschied schon interessieren würde.

#5 fu123

fu123

    Board Veteran

  • 618 Beiträge

 

Geschrieben 03. November 2006 - 09:54

>
Im Prinzip kann man sagen, wenn ich an einem Switchport kein Trunk haben möchte, sollte ich beide Befehle eingeben, oder? Wobei mich der Unterschied schon interessieren würde.


Hi nochmal,

du kannst auf einem switchport DTP Frames senden. Wenn aber ein anderes Gerät damit nicht zurechtkommt, dann kannst du es über "nonegotiate" ausschalten, egal ob access oder trunk Port.

Catalyst 3560 Switch Cisco IOS Commands - shutdown through vtp

Fu

#6 glady

glady

    Member

  • 189 Beiträge

 

Geschrieben 03. November 2006 - 10:15

Fu, danke für den Link.

In der Beschreibung steht:
•If you do not intend to trunk across those links, use the switchport mode access interface configuration command to disable trunking.

•To enable trunking on a device that does not support DTP, use the switchport mode trunk and switchport nonegotiate interface configuration commands to cause the interface to become a trunk but to not generate DTP frames.

Wenn ich kein Trunk möchte, soll ich auf Switchport mode access stellen. Macht es nicht Sinn auch DTP auszuschalten?

#7 Wordo

Wordo

    Board Veteran

  • 3.213 Beiträge

 

Geschrieben 03. November 2006 - 10:19

Wenn du keinen Trunk willst/brauchst, ja :)

#8 fu123

fu123

    Board Veteran

  • 618 Beiträge

 

Geschrieben 03. November 2006 - 10:51

Wenn ich kein Trunk möchte, soll ich auf Switchport mode access stellen. Macht es nicht Sinn auch DTP auszuschalten?


Hi,

also das Trunking ist über "switchport mode access" sowieso schon abgestellt. Wenn du DTP ausschaltest wird der Switch nicht mehr versuchen aktiv in einen Trunk umzuwandeln. Das macht ein Cisco Switch nämlich. Er agiert aktiv um zu konvertieren.

Hier zwei Ports. Einmal f0/13 als 802.1Q Trunk dynamic und einmal als "switchport mode trunk" und "noneg" ohne DTP.

Du verhinderst das DTP versucht wird.


switchport mode dynamic desirable + DTP

SW1#sh dtp int f0/14
DTP information for FastEthernet0/14:
TOS/TAS/TNS: TRUNK/DESIRABLE/TRUNK
TOT/TAT/TNT: 802.1Q/802.1Q/802.1Q
Neighbor address 1: 000DBCF9CF0E
Neighbor address 2: 000000000000
Hello timer expiration (sec/state): 10/RUNNING
Access timer expiration (sec/state): 280/RUNNING
Negotiation timer expiration (sec/state): never/STOPPED
Multidrop timer expiration (sec/state): never/STOPPED
FSM state: S6:TRUNK
times multi & trunk 0
Enabled: yes
In STP: no

Statistics
----------
493 packets received (493 good)
0 packets dropped
0 nonegotiate, 0 bad version, 0 domain mismatches,
0 bad TLVs, 0 bad TAS, 0 bad TAT, 0 bad TOT, 0 other
497 packets output (497 good)
494 native, 3 software encap isl, 0 isl hardware native
0 output errors
0 trunk timeouts
1 link ups, last link up on Mon Mar 01 1993, 00:00:42
0 link downs



switchport mode trunk + noneg

SW1#sh dtp int f0/13
DTP information for FastEthernet0/13:
TOS/TAS/TNS: TRUNK/NONEGOTIATE/TRUNK
TOT/TAT/TNT: 802.1Q/802.1Q/802.1Q
Neighbor address 1: 000DBCF9CF0D
Neighbor address 2: 000000000000
Hello timer expiration (sec/state): never/STOPPED
Access timer expiration (sec/state): never/STOPPED
Negotiation timer expiration (sec/state): never/STOPPED
Multidrop timer expiration (sec/state): never/STOPPED
FSM state: S6:TRUNK
# times multi & trunk 0
Enabled: yes
In STP: no

Statistics
----------
463 packets received (463 good)
0 packets dropped
0 nonegotiate, 0 bad version, 0 domain mismatches,
0 bad TLVs, 0 bad TAS, 0 bad TAT, 0 bad TOT, 0 other
468 packets output (468 good)
465 native, 3 software encap isl, 0 isl hardware native
0 output errors
0 trunk timeouts
1 link ups, last link up on Mon Mar 01 1993, 00:00:42
0 link downs


Also es kann unter Umständen Sinn machen es auszustellen, wenn du Cisco und etwas anderes Verbinden möchtest und es dabei Probleme gibt und DTP nicht benötigt wird, weil beide schon auf dot1q stehen. Es schadet natürlich auch nicht es auszuschalten. Weil du wirst es wirklich nur benötigen, wenn ein Port aktiv zu einem Trunk konvertieren soll.


Fu

#9 glady

glady

    Member

  • 189 Beiträge

 

Geschrieben 06. November 2006 - 09:41

Vielen Dank für die ausführlichen Info's!

Eine andere Frage hätte ich zum Spanning-tree. Ich mach jetzt mal kein neues Thread auf. Ich verstehe den Unterschied zwischen einem Root Port und Designated Port nicht. Kann mir das jemand erklären?
Root Port sagt aus, über welchen Port mit den geringsten Pfadkosten der Root Bridge erreichbar ist. Was macht der Designated Port?

In dieser Ausgabe ist Designated Port 65. Wie finde ich erhaus, welcher Port auf dem Switch der Designated Port 65 ist?

Interface Gi0/1 (port 67) in Spanning tree 113 is FORWARDING
Port path cost 3004, Port priority 128
Designated root has priority 8192, address x
Designated bridge has priority 8192, address x
Designated port is 65, path cost 0
Timers: message age 2, forward delay 0, hold 0
BPDU: sent 56, received 39034821


Danke und Grüße, Glady

#10 fu123

fu123

    Board Veteran

  • 618 Beiträge

 

Geschrieben 06. November 2006 - 10:55

Hi,

hier ist eine schöne Abbildung und Erklärung.
Transparent Bridging


Der Designated Port ist der Port der zu der Designated Bridge gehört die Erlaubnis hat für das angeschlossene Vlan zu forwarden.

Die Entscheidung hängt von der Wahl der Designated Bridge ab. Die wiederum wird durch den besten Root Path gewählt nach Path Cost zur Root Bridge.

SW1#sh spanning-tree int f0/14

Vlan Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
VLAN0001 Root FWD 19 128.14 P2p


SW1#sh spanning-tree int f0/14 de
Port 14 (FastEthernet0/14) of VLAN0001 is forwarding
Port path cost 19, Port priority 128, Port Identifier 128.14.
Designated root has priority 32769, address 000d.bcf9.cf00
Designated bridge has priority 32769, address 000d.bcf9.cf00
Designated port id is 128.14, designated path cost 0
Timers: message age 2, forward delay 0, hold 0
Number of transitions to forwarding state: 1
Link type is point-to-point by default
BPDU: sent 6, received 10633


Rack1SW2#sh spanning-tree int f0/14

Vlan Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
VLAN0001 Desg FWD 19 128.14 P2p


SW2#sh spanning-tree int f0/14 de
Port 14 (FastEthernet0/14) of VLAN0001 is forwarding
Port path cost 19, Port priority 128, Port Identifier 128.14.
Designated root has priority 32769, address 000d.bcf9.cf00
Designated bridge has priority 32769, address 000d.bcf9.cf00
Designated port id is 128.14, designated path cost 0
Timers: message age 0, forward delay 0, hold 0
Number of transitions to forwarding state: 1
Link type is point-to-point by default
BPDU: sent 21305, received 5


Du kannst dir Root und DesgP über "show spanning tree" anzeigen lassen.


Fu