AG Cisco Sx300Italian

GUIDA ALL'AMMINISTRAZIONE
Guida all'amministrazione degli switch gestiti Cisco Small Business serie 300
10/100 switch Switch Gigabit SF 300-08, SF 302-08, SF 302-08MP, SF 302-08P, SF 300-24, SF 300-24P, SF 300-48, SF 300-48P SG 300-10, SG 300-10MP, SG 300-10P, SG 300-20, SG 300-28, SG 30028P, SG 300-52
Sommario
Capitolo 1: Introduzione
Avvio dell'utilit di configurazione dello switch basata sul Web
Lancio dell'utilit di configurazione Accesso Scadenza password Disconnessione
1
1
2 2 3 3
Configurazione rapida dello switch Esplorazione della finestra

Intestazione applicazione Pulsanti di gestione
4 6
6 7
Capitolo 2: Visualizzazione delle statistiche

Visualizzazione dell'interfaccia Ethernet Visualizzazione delle statistiche Etherlike Visualizzazione delle statistiche GVRP Visualizzazione delle statistiche 802.1X EAP Visualizzazione dell'utilizzo di TCAM Gestione delle statistiche RMON
Visualizzazione delle statistiche RMON Configurazione della cronologia RMON Visualizzazione della tabella Cronologia RMON Definizione di controllo di eventi RMON Visualizzazione dei log degli eventi RMON Definizione degli allarmi RMON
10
10 12 13 14 15 17
17 19 20 21 22 23
Capitolo 3: Gestione di log di sistema

Configurazione delle impostazioni log di sistema Configurazione delle impostazioni di registrazione remote Visualizzazione dei log memoria
Memoria RAM Memoria FLASH
25
25 27 28
28 29
Guida allamministrazione degli switch gestiti Cisco Small Business serie 300
Sommario
Capitolo 4: Gestione dei file di sistema

Aggiornamento/Backup del firmware/Lingua
Caricamento di un nuovo firmware o file di lingua
30
33
33
Selezione dell'immagine attiva Download o backup di una configurazione o di un log Visualizzazione delle propriet file di configurazione Copia o salvataggio dei tipi di file di configurazione dello switch Impostazione della configurazione automatica DHCP
36 37 40 40 41
Capitolo 5: Informazioni amministrative e operazioni generali

Informazioni di sistema
Visualizzazione del riepilogo di sistema Configurazione delle impostazioni di sistema
44
44
44 46
Modelli di switch Riavvio dello switch Monitoraggio dello stato della ventola e della temperatura Definizione di timeout sessione inattiva
47 49 50 50
Capitolo 6: Ora di sistema

Opzioni Ora di sistema Configurazione dell'ora di sistema Impostazione SNTP Definizione di autenticazione SNTP
51
52 53 55 58
Capitolo 7: Gestione diagnostica del dispositivo

Test delle porte in rame Visualizzazione dello stato Modulo ottico Configurazione del mirroring di porte e VLAN Visualizzazione dell'utilizzo di CPU
60
60 63 64 66
Sommario
Capitolo 8: Configurazione del rilevamento

Configurazione del rilevamento Bonjour
Bonjour per un sistema in modalit Livello 2 Bonjour per un sistema in modalit Livello 3
67
67
67 68
Configurazione di LLDP
Impostazione delle propriet LLDP Modifica delle impostazioni della porta LLDP Protocollo LLDP MED Impostazione dei criteri di rete LLDP MED Configurazione delle impostazioni delle porte LLDP MED Visualizzazione dello stato delle porte LLDP Visualizzazione di informazioni locali LLDP Visualizzazione di informazioni sui router adiacenti LLDP Accesso alle statistiche LLDP Sovraccarico LLDP
69
70 71 74 74 76 77 78 81 86 86
Capitolo 9: Gestione porte

Flusso di lavoro della Gestione porte Impostazione della configurazione base della porta Configurazione dell'aggregazione dei collegamenti Flusso di lavoro del LAG statico e dinamico Definizione della Gestione LAG
Definizione delle porte membro di un LAG.
89
89 90 94 96 96
97
Configurazione delle impostazioni LAG Configurazione del LACP

Impostazioni dei parametri della porta LACP
97 99
100
Ethernet verde
Impostazione delle propriet generali di Ethernet verde Impostazione delle propriet Ethernet verde per porta
101
102 103
Sommario
Capitolo 10: Gestione dei dispositivi Power-over-Ethernet

PoE nello switch
Funzioni PoE Funzionamento di PoE Considerazioni sulla configurazione di PoE
105
105
105 106 107
Configurazione delle propriet di PoE Configurazione dell'alimentazione PoE, della priorit e della classe
108 109
Capitolo 11: Gestione VLAN

Reti VLAN Configurazione delle impostazioni VLAN predefinite Creazione di VLAN Configurazione delle impostazioni interfaccia VLAN Definizione di Appartenenza a VLAN
Configurazione di Porta a VLAN Configurazione VLAN a porta Visualizzazione di Appartenenza a VLAN
112
112 115 116 118 120
120 121 123
Impostazioni GVRP
Definizione delle impostazioni GVRP
123
124
GRUPPI VLAN
Assegnazione di gruppi VLAN basate su MAC Assegnazione di un ID gruppo VLAN a VLAN per interfaccia
125
125 126
VLAN vocale
Opzioni VLAN vocale Vincoli di VLAN vocale
127
128 129
Configurazione delle propriet della VLAN vocale

Configurazione OUI telefonia
130
131
Capitolo 12: Configurazione del protocollo Spanning Tree Protocol

Aspetti del protocollo STP Configurazione dello Stato STP e delle Impostazioni generali
132
133 134
Sommario
Definizione delle impostazioni dell'interfaccia di Spanning Tree Configurazione delle impostazioni di Rapid Spanning Tree Multiple Spanning Tree Definizione delle propriet MSTP Associazione delle VLAN a un'istanza MST Definizione delle impostazioni dell'Istanza MST Definizione delle impostazioni interfaccia MSTP
136 138 140 141 142 143 144
Capitolo 13: Gestione tabelle Indirizzi MAC

Configurazione di indirizzi MAC statici Indirizzi MAC dinamici
Configurazione dei parametri dell'indirizzo MAC dinamico Ricerca di indirizzi dinamici
147
147 148
149 149
Definizione di Indirizzi MAC riservati
150
Capitolo 14: Configurazione dell'Inoltro multicast

Inoltro multicast
Tipica configurazione multicast Operazione multicast Registrazione multicast Propriet indirizzo multicast
152
152
153 154 154 155
Definizione delle propriet multicast Indirizzo gruppo MAC Indirizzo gruppo IP Multicast Snooping IGMP Snooping MLD Gruppo IP Multicast IGMP/MLD Porta router Multicast Definizione dell'inoltro di tutti i multicast Definizione delle Impostazioni multicast non registrato
156 158 160 162 165 167 168 170 171
Sommario
Capitolo 15: Configurazione delle informazioni sull'IP

Interfacce di gestione e IP
Gestione di IPv6 Indirizzamento IP Definizione della configurazione globale IPv6 Definizione di un'interfaccia IPv6 Definizione indirizzi IPv6 Definizione di un Elenco router predefiniti IPv6 Configurazione di tunnel IPv6 Definizione delle informazioni sui router adiacenti IPv6 Visualizzazione delle tabelle Percorso IPv6
173
173
175 175 180 180 182 183 185 186 189
Definizione del routing statico IPv4 Attivazione del proxy ARP Definizione dell'Inoltro UDP Inoltro DHCP
Definizione delle propriet dell'Inoltro DHCP Definizione delle Interfacce inoltro DHCP
190 191 191 192

193 194
Configurazione dell'ARP Domain Name Systems

Definizione dei server DNS Associazione host DNS
195 197
197 198
Capitolo 16: Configurazione della protezione

Definizione degli utenti
Impostazione degli account utente Impostazione delle regole di complessit password
200
201
201 202
Configurazione TACACS+
Configurazione dei parametri TACACS+ predefiniti Aggiunta di un server TACACS+
203
204 204
Configurazione dei parametri RADIUS

Aggiunta di un server RADIUS
205
206
Sommario
Autenticazione di accesso a gestione Profili di accesso

Visualizzazione, aggiunta o attivazione di un profilo di accesso Definizione delle regole di profilo
208 209
211 213
Configurazione dei servizi TCP/UDP Definizione del controllo storm Configurazione della sicurezza della porta 802.1X
Flusso di lavoro dei parametri 802.1X Definizione delle propriet 802.1X Configurazione delle VLAN non autenticate Definizione dell'autenticazione delle porte 802.1X Definizione autenticazione host e sessione Visualizzazione di host autenticati Definizione degli intervalli di tempo Definizione di un intervallo ricorrente
215 217 218 220

223 224 225 226 229 231 232 233
Blocco degli attacchi DoS

Impostazioni suite di sicurezza DoS
234
234
Capitolo 17: Controllo di accesso

Elenco di controllo di accesso Definizione di ACL basati su MAC
Aggiunta di regole a un ACL basato su MAC
241
241 244
244
ACL basati su IPv4

Definizione di ACL basati su IPv4 Aggiunta di regole (ACE) a un ACL basato su IPv4
246
246 247
ACL basati su IPv6

Definizione di un ACL basato su IPv6
250
250
Definizione di un binding di ACL
254
Sommario
Capitolo 18: Configurazione della Qualit del servizio

Funzioni e componenti di QoS
Modalit QoS Flusso di lavoro del QoS
256
256
257 258
Configurazione del QoS

Visualizzazione delle propriet QoS Modifica del valore CoS predefinito dell'interfaccia Configurazione delle code QoS Associazione di CoS/802.1p a una coda Associazione DSCP to Queue Configurazione della larghezza di banda Configurazione della normalizzazione in uscita per coda Configurazione del limite di velocit VLAN Prevenzione congestione TCP
259
259 260 261 262 264 265 266 267 268
Modalit QoS di base

Flusso di lavoro per la configurazione della modalit QoS di base Configurazione delle impostazioni generali Impostazioni interfaccia QoS
269
269 270 271
Modalit avanzata QoS

Flusso di lavoro per la configurazione della modalit QoS avanzata Configurazione della Contrassegnazione DSCP fuori dal profilo Definizione dell'Associazione classe Monitoraggi QoS Definizione dei monitoraggi aggregati Configurazione di un Criterio Mappe delle classi di criteri Binding del criterio
271
273 274 275 276 278 279 279 281
Gestione delle statistiche QoS

Visualizzazione delle statistiche monitoraggio Visualizzazione delle statistiche code
282
282 284
Sommario
Capitolo 19: Configurazione SNMP

Versioni e flusso di lavoro di SNMP
SNMP v1 e v2 SNMP v3 Flusso di lavoro di SNMP MIB supportati
286
286
286 287 288 289
OID del modello ID motore SNMP Configurazione Viste SNMP Creazione di gruppi SNMP Gestione degli utenti SNMP Definizione delle comunit SNMP Definizione delle impostazioni trap Destinatari delle notifiche
Definizione dei destinatari delle notifiche SNMPv1,2 Definizione dei Destinatari delle notifiche SNMPv3
291 292 293 295 296 298 301 301

302 303
Filtri per le notifiche SNMP
305
Capitolo 20: Interfaccia menu Console

Comunicazione tramite l'utilizzo di una connessione tramite cavo seriale Comunicazione tramite l'utilizzo di una connessione TCP/IP
307
308 309
Connessione tramite l'utilizzo di un'applicazione di emulazione del terminale 307
Connessione tramite l'utilizzo di Telnet Spostamento nel menu Configurazione di console Menu principale Interfaccia da console
Menu di configurazione del sistema Informazioni di sistema Impostazioni di gestione Impostazioni del nome utente e della password Impostazioni di sicurezza Gestione VLAN
310 311 312

312 313 313 316 316 317
10
Sommario
Configurazione IP Configurazione indirizzo IPv6 Configurazione della rete Gestione di file Stato delle porte Configurazione delle porte Modalit di sistema Guida Disconnessione
317 319 321 322 325 325 326 326 326
11
1
Introduzione
Questo capitolo fornisce un'introduzione all'interfaccia utente e include i seguenti argomenti: Avvio dell'utilit di configurazione dello switch basata sul Web Configurazione rapida dello switch Esplorazione della finestra

In questa sezione viene descritto come esplorare l'utilit di configurazione dello switch basata sul Web. Limitazioni del browser I browser presentano le seguenti limitazioni: Se si utilizza Internet Explorer 6, non possibile utilizzare direttamente un indirizzo IPv6 per accedere allo switch. Tuttavia, possibile utilizzare il server DNS (Domain Name System) per creare un nome di dominio che contenga l'indirizzo IPv6 e poi utilizzarlo nella barra degli indirizzi al posto dell'indirizzo IPv6. Se si hanno pi interfacce IPv6 nella stazione di gestione, utilizzare l'indirizzo globale IPv6 invece dell'indirizzo locale collegamento IPv6 per accedere allo switch dal browser.
Introduzione
Lancio dell'utilit di configurazione

Per aprire l'interfaccia utente, attenersi alla seguente procedura:
PASSAGGIO 1 Aprire un browser Web. PASSAGGIO 2 Immettere l'indirizzo IP dello switch che si sta configurando nella barra degli
indirizzi del browser, poi premere Invio. Si apre la Login Page.

NOTA Quando lo switch utilizza l'indirizzo IP con valori predefiniti, il LED di alimentazione
continua a lampeggiare. Quando lo switch utilizza un indirizzo IP assegnato da un server DHCP o un indirizzo IP statico configurato dall'amministratore, il LED di alimentazione rimane fisso.
Accesso
Accesso Il nome utente predefinito cisco e la password predefinita cisco. La prima volta che si accede con il nome utente e la password predefiniti, necessario immettere una nuova password. Per accedere all'utilit di configurazione del dispositivo, attenersi alla seguente procedura:
PASSAGGIO 1 Immettere il nome utente/la password. Il nome utente/la password con valori
predefiniti cisco/cisco. La password pu contenente un massimo di 32 caratteri ASCII. Le regole di complessit della password sono descritte nella sezione Impostazione delle regole di complessit password del capitolo Configurazione della protezione .
PASSAGGIO 2 Se non si utilizza l'inglese, selezionare la lingua desiderata dalla casella a discesa
Lingua. Per aggiungere una nuova lingua allo switch oppure aggiornare quella corrente, fare riferimento alla sezione Aggiornamento/Backup del firmware/ Lingua.
PASSAGGIO 3 Se si tratta del primo accesso con l'ID utente predefinito (cisco) e la password
predefinita (cisco) oppure la password scaduta, si apre la Change Password Page. Per ulteriori informazioni, vedere Scadenza password.
PASSAGGIO 4 Immettere il nuovo nome utente/la nuova password e fare clic su Applica.
Quando il tentativo di accesso riesce, si apre la pagina di introduzione.
Introduzione
Se si immette un nome utente o una password errati, viene visualizzato un messaggio di errore e la Login Page rimane visualizzata nella finestra. Se si riscontrano problemi durante l'accesso, vedere la sezione Lancio dell'utilit di configurazione della Guida all'amministrazione degli switch gestiti Cisco Small Business serie 300 per ulteriori informazioni. Selezionare Non visualizzare questa pagina durante l'avvio per impedire che la pagina Getting Started Page venga visualizzata ogni volta che si accede al sistema. Se si seleziona questa opzione, viene aperta la System Summary Page invece della pagina di introduzione.
Scadenza password
Scadenza password Viene visualizzata la New Password Page: La prima volta che si accede allo switch con il nome utente cisco e la password cisco predefiniti. Questa pagina obbliga a sostituire la password con valori predefiniti. Quando la password scade, questa pagina obbliga a selezionarne una nuova.
Disconnessione
Disconnessione Per impostazione predefinita, l'applicazione si disconnette dopo dieci minuti di inattivit. possibile modificare questo valore predefinito come descritto nella sezione Definizione di timeout sessione inattiva del capitolo Informazioni amministrative e operazioni generali.
!
ATTENZIONE A meno che la Configurazione di esecuzione non venga copiata nella
Configurazione di avvio, tutte le modifiche apportate dall'ultima volta che il file stato salvato, se lo switch viene riavviato, vengono perse. Si consiglia di salvare la Configurazione di esecuzione nella Configurazione di avvio prima di disconnettersi per conservare le modifiche apportate durante questa sessione. A sinistra del collegamento dell'applicazione Salva viene visualizzata un'icona rossa X indicante che le modifiche a Configurazione di esecuzione apportate non sono ancora state salvate nel file Configurazione di avvio.
Guida all'amministrazione degli switch gestiti Cisco Small Business serie 300 3
Introduzione
Configurazione rapida dello switch
Quando si fa clic su Salva, viene visualizzata la pagina Copia/Salva configurazione. Salvare il file Configurazione di esecuzione copiandolo nel file Configurazione di avvio. Dopo questo salvataggio, l'icona rossa X e il collegamento all'applicazione Salva non vengono pi visualizzati. Per disconnettersi, fare clic su Esci nell'angolo in alto a destra di qualsiasi pagina. Il sistema si disconnette dallo switch. Quando si verifica un timeout o ci si disconnette intenzionalmente dal sistema, viene visualizzato un messaggio e si apre la Login Page, con un messaggio indicante lo stato disconnesso. Dopo l'accesso, l'applicazione torna alla pagina iniziale. La pagina iniziale visualizzata dipende dall'opzione "Non visualizzare questa pagina durante l'avvio" della Getting Started Page. Se questa opzione non stata selezionata, la pagina iniziale la Getting Started Page. Se questa opzione stata selezionata, la pagina iniziale la System Summary Page.

Per semplificare la configurazione dello switch attraverso una navigazione rapida, la Getting Started Page fornisce collegamenti alle pagine pi utilizzate.
Collegamenti nella pagina di introduzione Categoria Installazione iniziale Nome collegamento (nella pagina) Modifica indirizzo IP dispositivo Crea VLAN Configura impostazioni porte Stato dello switch Riepilogo di sistema Statistiche porte Statistiche RMON Visualizza log Pagina collegata IPv4 Interface Page Create VLAN Page Port Settings Page System Summary Page Interface Page Statistics Page RAM Memory Page
Introduzione
1
Nome collegamento (nella pagina) Cambia password dispositivo Aggiorna software dispositivo Configurazione dispositivo di backup Crea ACL basato su MAC Crea ACL basato su IP Configura QoS Configura mirroring delle porte Pagina collegata User Accounts Page Upgrade/Backup Firmware/ Language Download/Backup Configuration/Logging Page MAC Based ACL Page IPv4 Based ACL Page QoS Properties Page Port and VLAN Mirroring Page
Collegamenti nella pagina di introduzione (Continua) Categoria Accesso rapido
Introduzione
Esplorazione della finestra
1
In questa sezione viene descritta la funzione dell'utilit di configurazione dello switch basata sul Web.
Intestazione applicazione
Intestazione applicazione L'intestazione applicazione viene visualizzata in ogni pagina. Fornisce i seguenti collegamenti all'applicazione:
Collegamenti all'applicazione Nome collegamento all'applicazione Descrizione
A sinistra del collegamento dell'applicazione Salva viene visualizzata un'icona rossa X indicante che le modifiche a Configurazione di esecuzione apportate non sono ancora state salvate nel file Configurazione di avvio. Fare clic su Salva per visualizzare la Copy/Save Configuration Page. Salvare il tipo di file Configurazione di esecuzione copiandolo nel file Configurazione di avvio dello switch. Dopo questo salvataggio, l'icona rossa X e il collegamento all'applicazione Salva non vengono pi visualizzati. Quando lo switch viene riavviato, copia il tipo di file Configurazione di avvio nella Configurazione di esecuzione e imposta i parametri dello switch in base ai dati della Configurazione di esecuzione. Utente Fare clic per visualizzare il nome dell'utente collegato allo switch. Il nome utente predefinito cisco (la password predefinita cisco). Fare clic per disconnettersi dall'utilit di configurazione dello switch basata sul Web. Fare clic per visualizzare il nome e il numero di versione dello switch.
Logout Informazioni su
Introduzione
1
Collegamenti all'applicazione (Continua) Nome collegamento all'applicazione Guida Menu lingua Descrizione
Fare clic per visualizzare la guida in linea. Selezionare una lingua o caricare il file di una nuova lingua nello switch. Se la lingua richiesta viene visualizzata nel menu, selezionarla. Se non viene visualizzata, selezionare Aggiungi nuova lingua. Per ulteriori informazioni sull'aggiunta di una nuova lingua, fare riferimento a Upgrade/Backup Firmware/Language. Quando viene registrato un messaggio SYSLOG sopra il livello di gravit critico, viene visualizzata un'icona Stato di avviso Syslog. Fare clic sull'icona per aprire la RAM Memory Page. Dopo aver avuto accesso a questa pagina, l'icona Stato di avviso Syslog non viene pi visualizzata. Per visualizzare la pagina quando non presente nessun messaggio SYSLOG attivo, seguire il percorso Stato e statistiche > Visualizza log > RAM Memory Page.
Pulsanti di gestione
Pulsanti di gestione Nella tabella seguente vengono descritti i pulsanti pi utilizzati visualizzati nelle diverse pagine del sistema.
Pulsanti di gestione Nome pulsante Descrizione Esplorare la tabella utilizzando le icone freccia destra e sinistra quando ci sono pi di 50 voci in una tabella.
Indica un campo obbligatorio.
Introduzione
1
Pulsanti di gestione (Continua) Nome pulsante Aggiungi Descrizione Fare clic per visualizzare la pagina Aggiungi correlata e aggiungere una voce alla tabella. Immettere le informazioni e fare clic su Applica per salvarle nella Configurazione di esecuzione. Fare clic su Chiudi per tornare alla pagina principale. Fare clic su Salva per visualizzare la Copy/ Save Configuration Page e salvare la Configurazione di esecuzione nel tipo di file Configurazione di avvio dello switch. Fare clic per applicare le modifiche alla Configurazione di esecuzione dello switch. Se lo switch viene riavviato, la Configurazione di esecuzione viene persa a meno che non sia salvata sul tipo di file Configurazione di avvio o su un altro tipo di file. Fare clic su Salva per visualizzare la Copy/ Save Configuration Page e salvare la Configurazione di esecuzione nel tipo di file Configurazione di avvio dello switch. Fare clic per reimpostare le modifiche apportate nella pagina. Fare clic per cancellare i contatori statistica di tutte le interfacce. Fare clic per cancellare i contatori statistica dell'interfaccia selezionata. Cancella i file di log. Cancella le voci della tabella. Torna alla pagina principale. Se ci sono modifiche che non sono state applicate alla Configurazione di esecuzione, viene visualizzato un messaggio.
Applica
Annulla Cancella tutti i contatori interfaccia Cancella contatori interfaccia Cancella log Cancella tabella Chiudi
Introduzione
1
Pulsanti di gestione (Continua) Nome pulsante Copia impostazioni Descrizione Di solito una tabella contiene una o pi voci con impostazioni della configurazione. Invece di modificare ogni voce singolarmente, possibile modificare una voce e poi copiarla in pi voci, come descritto di seguito: 1. Selezionare la voce da copiare. Fare clic su Copia impostazioni per visualizzare il popup. 2. Immettere i numeri della voce di destinazione nel campo a. 3. Fare clic su Applica per salvare le modifiche e su Chiudi per tornare alla pagina principale. Elimina Selezionare la voce nella tabella da eliminare e fare clic su Elimina per rimuovere le voci da una tabella. La voce viene eliminata. Fare clic per visualizzare i dettagli associati alla voce selezionata nella pagina principale. Selezionare la voce e fare clic su Modifica per modificare le voci. Si apre la pagina Modifica e la voce pu essere modificata. 1. Fare clic su Applica per salvare le modifiche alla Configurazione di esecuzione. 2. Fare clic su Chiudi per tornare alla pagina principale. Vai Test Immettere i criteri di filtro e fare clic su Vai. I risultati vengono visualizzati nella pagina. Fare clic su Test per eseguire i test correlati.
Dettagli Modif
2
Visualizzazione delle statistiche
In questo capitolo viene descritto come utilizzare le statistiche dello switch e trattate le seguenti sezioni: Visualizzazione dell'interfaccia Ethernet Visualizzazione delle statistiche Etherlike Visualizzazione delle statistiche GVRP Visualizzazione delle statistiche 802.1X EAP Visualizzazione dell'utilizzo di TCAM Gestione delle statistiche RMON
Visualizzazione dell'interfaccia Ethernet

Nella Interface Page vengono visualizzate le statistiche del traffico per porta. possibile selezionare la frequenza di aggiornamento delle informazioni. Questa pagina utile per l'analisi della quantit di traffico inviato e ricevuto e della sua dispersione (Unicast, Multicast e Broadcast).
10

Visualizzazione dell'interfaccia Ethernet
Per visualizzare le statistiche Ethernet, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Stato e statistiche > Interfaccia. Si apre la Interface Page. PASSAGGIO 2 Immettere i parametri.
Interfaccia: selezionare il tipo di interfaccia e l'interfaccia specifica di cui necessario visualizzare le statistiche Ethernet. Frequenza aggiornamento: selezionare il periodo di tempo che trascorre prima che le statistiche dell'interfaccia Ethernet vengano aggiornate. Le opzioni disponibili sono: Nessun aggiornamento: le statistiche non vengono aggiornate. 15 sec.: le statistiche vengono aggiornate ogni 15 secondi. 30 sec.: le statistiche vengono aggiornate ogni 30 secondi. 60 sec.: le statistiche vengono aggiornate ogni 60 secondi.
Nell'area Statistiche ricezione vengono visualizzate le informazioni sui pacchetti in ingresso. Byte totali (ottetti) : ottetti ricevuti, inclusi i pacchetti danneggiati e gli ottetti FCS, ma non i bit raggruppati in frame. Pacchetti unicast: pacchetti unicast in buono stato ricevuti. Pacchetti multicast: pacchetti multicast in buono stato ricevuti. Pacchetti broadcast: pacchetti broadcast in buono stato ricevuti. Pacchetti con errori: pacchetti con errori ricevuti.
Nell'area Statistiche di trasmissione vengono visualizzate le informazioni sui pacchetti in uscita. Byte totali (ottetti) : ottetti trasmessi, inclusi i pacchetti danneggiati e gli ottetti FCS, ma non i bit raggruppati in frame. Pacchetti unicast: pacchetti unicast in buono stato trasmessi. Pacchetti multicast: pacchetti multicast in buono stato trasmessi. Pacchetti broadcast: pacchetti broadcast in buono stato trasmessi.
11

Visualizzazione delle statistiche Etherlike
Per cancellare i contatori delle statistiche, attenersi alla seguente procedura: Fare clic su Cancella contatori interfaccia per cancellare i contatori dell'interfaccia visualizzati. Fare clic su Cancella tutti i contatori interfaccia per cancellare i contatori di tutte le interfacce.
Visualizzazione delle statistiche Etherlike

Nella Etherlike Page vengono visualizzate le statistiche per porta in base alla definizione standard MIB Etherlike. possibile selezionare la frequenza di aggiornamento delle informazioni. In questa pagina vengono fornite informazioni pi dettagliate relative agli errori nel livello fisico (Livello 1), che potrebbero compromettere il traffico. Per visualizzare le statistiche Etherlike, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Stato e statistiche > Etherlike. Si apre la Etherlike Page. PASSAGGIO 2 Immettere i parametri.
Interfaccia: selezionare il tipo di interfaccia e l'interfaccia specifica di cui necessario visualizzare le statistiche Ethernet. Frequenza aggiornamento: selezionare quanto tempo trascorre prima che le statistiche Etherlike vengano aggiornate.
Vengono visualizzati i campi delle interfacce selezionate. Errori sequenza di controllo frame (FCS) : frame ricevuti i cui CRC (cyclic redundancy checks) non sono riusciti. Frame di collisione singoli: il numero di frame interessati in una collisione singola ma trasmessi correttamente. Collisioni ritardate: collisioni rilevate dopo i primi 512 bit di dati. Troppe collisioni: numero di trasmissioni provocate da troppe collisioni. Pacchetti sovradimensionati: pacchetti ricevuti superiori ai 1518 ottetti. Errori di ricezione MAC interni: frame rifiutati a causa di errori del ricevitore.
12

Visualizzazione delle statistiche GVRP
Frame di pausa ricevuti: frame di pausa del controllo di flusso ricevuti. Frame di pausa trasmessi: frame di pausa del controllo di flusso trasmessi dall'interfaccia selezionata.
Per cancellare i contatori delle statistiche, attenersi alla seguente procedura: Fare clic su Cancella contatori interfaccia per cancellare i contatori delle statistiche Etherlike dell'interfaccia selezionata. Fare clic su Cancella tutti i contatori interfaccia per cancellare i contatori delle statistiche Etherlike di tutte le interfacce.
Visualizzazione delle statistiche GVRP

Nella GVRP Page vengono visualizzate le informazioni relative ai frame del protocollo GVRP (GARP VLAN Registration Protocol, noto anche come MVRP (Multiple VLAN Registration Protocol)) inviati o ricevuti da una porta. GVRP un protocollo di rete Livello 2 basato sugli standard, per la configurazione automatica delle informazioni sulla VLAN degli switch. stato definito nell'emendamento 802.1ak per 802.1Q-2005. Le statistiche di GVRP per una porta vengono visualizzate solo se GVRP attivato a livello globale e nella porta. Ci avviene nella GVRP Page. Per visualizzare le statistiche di GVRP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Stato e statistiche > GVRP. Si apre la GVRP Page . PASSAGGIO 2 Immettere i parametri.
Interfaccia: selezionare l'interfaccia e l'interfaccia specifica di cui necessario visualizzare le statistiche GVRP. Frequenza aggiornamento: selezionare il periodo di tempo che trascorre prima che le statistiche GVRP vengano aggiornate.
Nel blocco Contatore attributo vengono visualizzati i contatori dei diversi tipi di pacchetti per interfaccia. Includi vuoto: numero di pacchetti Includi vuoto GVRP ricevuti/trasmessi. Vuoto: numero di pacchetti Vuoto GVRP ricevuti/trasmessi.
13

Visualizzazione delle statistiche 802.1X EAP
Lascia vuoto: numero di pacchetti Lascia vuoto GVRP ricevuti/trasmessi. Join In: numero di pacchetti Join in GVRP ricevuti/trasmessi. Leave In: numero di pacchetti Leave In GVRP ricevuti/trasmessi. Leave All: numero di pacchetti Leave All GVRP ricevuti/trasmessi.
Nella sezione Statistiche errore GVRP vengono indicati i contatori di errore GVRP. ID protocollo non valido: errori ID del protocollo non valido. Tipo di attributo non valido: errori ID attributo non valido. Valore dell'attributo non valido: errori valore dell'attributo non valido. Lunghezza dell'attributo non valida: errori lunghezza dell'attributo non valida. Evento non valido: eventi non validi.
Per cancellare i contatori, fare clic su Cancella contatori interfaccia. I contatori delle statistiche GVRP vengono cancellati.
Visualizzazione delle statistiche 802.1X EAP

Nella 802.1x EAP Page vengono visualizzate le informazioni dettagliate sui frame EAP (Extensible Authentication Protocol) inviati o ricevuti. Per configurare la funzione 802.1X, vedere la 802.1X Properties Page. Per visualizzare le statistiche EAP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Stato e statistiche > 802.1X EAP. Si apre la 802.1x EAP Page . PASSAGGIO 2 Selezionare la porta di cui effettuare il polling per le statistiche. PASSAGGIO 3 Selezionare il periodo di tempo (Frequenza aggiornamento) che trascorre prima
che le statistiche EAP vengano aggiornate. Vengono visualizzati i valori dell'interfaccia selezionata. Frame EAPOL ricevuti: frame EAPOL validi ricevuti nella porta. Frame EAPOL trasmessi: frame EAPOL validi trasmessi dalla porta. Frame iniziali EAPOL ricevuti: frame iniziali EAPOL ricevuti nella porta.
14

Visualizzazione dell'utilizzo di TCAM
Frame di disconnessione EAPOL ricevuti: frame di disconnessione EAPOL ricevuti nella porta. Frame di risposta EAP/ID ricevuti: frame di risposta EAP/ID ricevuti nella porta. Frame di risposta EAP ricevuti: frame di risposta EAP ricevuti dalla porta (diversi dai frame di risposta/ID). Frame di richiesta EAP/ID trasmessi: frame di richiesta EAP/ID trasmessi dalla porta. Frame di richiesta EAP trasmessi: frame di richiesta EAP trasmessi dalla porta. Frame EAPOL non validi ricevuti: frame EAPOL non riconosciuti ricevuti in questa porta. Frame di errore lunghezza EAP ricevuti: frame EAPOL con una Lunghezza corpo del pacchetto non valida ricevuti in questa porta. Ultima versione frame EAPOL: numero versione di protocollo associato al frame EAPOL ricevuto pi di recente. Ultima origine frame EAPOL: indirizzo MAC di origine associato al frame EAPOL ricevuto pi di recente.

L'architettura dello switch utilizza una TCAM (Ternary Content Addressable Memory) per supportare una ricerca di dati estensiva in un breve periodo di tempo. TCAM conserva le regole prodotte da altri processi, come gli ACL (Access Control Lists) o QoS. Il numero massimo di regole TCAM che possono essere allocate da tutti i processi 512. Alcuni processi allocano regole al loro avvio. Inoltre, i processi inizializzati durante l'avvio del sistema durante il processo di avvio utilizzano alcune delle loro regole. Per visualizzare l'utilizzo di TCAM, fare clic su Stato e statistiche > Utilizzo di TCAM. Si apre la TCAM Utilization Page , che visualizza la percentuale di utilizzo di TCAM nel sistema. In questa pagina viene visualizzato Utilizzo di TCAM, la percentuale di risorse TCAM utilizzate.

Regole di TCAM Nella tabella Regole di TCAM per processo vengono elencati tutti i processi che possono allocare le regole di TCAM. Ogni processo ha il suo criterio di allocazione specifico.
Regole di TCAM per processo Processo Per Porta/ Per Switch Allocazione durante l'attivazione Limite superiore del processo Regole di TCAM consumate per voce utente 1 o 2 voci TCAM per regola. 1 o 2 voci TCAM per regola. 1o2 Le regole per le VLAN basate su MAC vengono duplicate. Le regole per le VLAN basate su MAC vengono duplicate. Commenti
Regole della Modalit avanzata QoS Regole controllo di accesso VLAN basata su protocollo VLAN basata su MAC Snooping DHCP
Porta
6/dispositivo Nessun limite 6/dispositivo Nessun limite 0 Nessun limite Nessun limite
Porta Porta
Porta
Nessun limite
Switch
2/dispositivo Nessun limite 0 Nessun limite
8 voci TCAM per regola Snooping DHCP 1 voce TCAM per voce Guardia origine IP 4 voci TCAM per regola Esame di ARP 1 regola globale per limite di velocit VLAN. Viene creata un'ulteriore regola per ogni regola Consenti nell'interfaccia.
Guardia origine IP
Porta
Esame di ARP
Switch
2/dispositivo 128
Limite di velocit VLAN
Entrambi
255
16

Gestione delle statistiche RMON

RMON (Remote Networking Monitoring) una specifica SNMP che consente a un agente SNMP nello switch di monitorare preventivamente le statistiche sul traffico per un periodo specifico e di inviare trap a un gestore SNMP. L'agente locale SNMP confronta i contatori effettivi e in tempo reale con le soglie predefinite e genera allarmi, senza dover effettuare il polling da una piattaforma di gestione SNMP centrale. Si tratta di un meccanismo efficace per la gestione preventiva, ammesso che si disponga delle soglie corrette impostate relative alla linea di base della rete. RMON riduce il traffico tra il gestore e lo switch perch il gestore SNMP non deve eseguire spesso il polling dello switch per informazioni e consente al gestore di ottenere rapporti sullo stato perch lo switch esegue il rapporto di eventi quando si verificano. Con questa funzione, possibile eseguire le seguenti azioni: Visualizzare le statistiche (valori del contatore) come sono al momento, cio dall'ultima volta in cui sono state cancellate. inoltre possibile raccogliere i valori di questi contatori per un periodo di tempo e visualizzare poi la tabella dei dati raccolti, in cui ogni serie raccolta una singola riga della scheda Cronologia. Definire le modifiche interessanti nei valori del contatore come "numero specifico di collisioni ritardate raggiunto" (definisce l'allarme), quindi definire quale azione eseguire quando si verifica questo evento (log, trap o log e trap).
Visualizzazione delle statistiche RMON

Nella Statistics Page vengono visualizzate informazioni dettagliate sulle dimensioni dei pacchetti e alcune informazioni sugli errori del livello fisico. Le informazioni mostrate sono secondo lo standard RMON. Per visualizzare le statistiche RMON, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su RMON > Statistiche. Si apre la Statistics Page. PASSAGGIO 2 Selezionare l'interfaccia per cui visualizzare le statistiche Ethernet. PASSAGGIO 3 Selezionare Frequenza aggiornamento, il periodo di tempo che trascorre prima
che le statistiche dell'interfaccia vengano aggiornate.
17

Vengono visualizzate le statistiche dell'interfaccia selezionata. Byte ricevuti (ottetti) : numero di ottetti ricevuti, inclusi i pacchetti danneggiati e gli ottetti FCS, ma non i bit raggruppati in frame. Eventi di eliminazione: numero di pacchetti eliminati. Pacchetti ricevuti: numero di pacchetti ricevuti, inclusi i pacchetti danneggiati, multicast e broadcast. Pacchetti broadcast ricevuti: numero di pacchetti broadcast in buono stato ricevuti. Questo numero non include i pacchetti multicast. Pacchetti multicast ricevuti: numero di pacchetti multicast in buono stato ricevuti. Errori CRC e di allineamento: numero di errori CRC e di allineamento verificatisi. Pacchetti sottodimensionati: numero di pacchetti sottodimensionati (meno di 64 ottetti) ricevuti. Pacchetti sovradimensionati: numero di pacchetti sovradimensionati (pi di 1518 ottetti) ricevuti. Frammenti: numero di frammenti (pacchetti con meno di 64 ottetti, esclusi i bit raggruppati in frame, ma inclusi gli ottetti FCS) ricevuti. Jabber : numero totale di pacchetti ricevuti con lunghezza superiore ai 1632 ottetti. Questo numero esclude i bit raggruppati in frame, ma include gli ottetti FCS che avevano un FCS (Frame Check Sequence) errato con un numero integrale di ottetti (errore FCS) o un FCS con un numero non integrale di ottetti (errore di allineamento). Collisioni: numero di collisioni ricevute. Se vengono attivati i frame jumbo, la soglia dei frame jabber raggiunge le dimensioni massime dei frame jumbo. Frame da 64 byte: numero di frame, contenenti 64 byte, ricevuti. Frame da 65 a 127 byte: numero di frame, contenenti 65-127 byte, ricevuti. Frame da 128 a 255 byte: numero di frame, contenenti 128-255 byte, ricevuti. Frame da 256 a 511 byte: numero di frame, contenenti 256-511 byte, ricevuti. Frame da 512 a 1023 byte: numero di frame, contenenti 512-1023 byte, ricevuti.
18

Frame da 1024 a 1518 byte: numero di frame, contenenti 1024-1518 byte, ricevuti.
PASSAGGIO 4 Selezionare un'altra interfaccia nel campo Interfaccia . Vengono visualizzate le
statistiche RMON.
Configurazione della cronologia RMON

Nella History Control Table Page viene offerta la possibilit di raccogliere un log di statistiche in una porta. possibile configurare la frequenza di campionamento, quantit di campioni da memorizzare e la porta da cui raccogliere le informazioni. Dopo il campionamento e la memorizzazione dei dati, viene visualizzata nella History Table Page che pu essere visualizzata facendo clic su Tabella Cronologia. Per visualizzare le informazioni sulla cronologia del controllo RMON, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Stato e statistiche > RMON > Cronologia. Si apre la History Control
Table Page . In questa pagina vengono visualizzati i seguenti campi: N. voce cronologia: il numero della voce della tabella cronologia. Interfaccia di origine: ID dell'interfaccia da cui sono stati acquisiti i campionamenti cronologici. N. max di campionamenti da conservare: numero massimo di campionamenti da memorizzare in questa parte della tabella Cronologia. Intervallo di campionamento: periodo di tempo in secondi in cui i campionamenti sono stati raccolti dalle porte. Il valore compreso tra 1 e 3600. Proprietario: stazione RMON o dell'utente che ha richiesto le informazioni RMON. Il valore possibile pu essere una stringa compresa tra 0 e 20 caratteri. Numero corrente di campionamenti: RMON ha il permesso dallo standard di non garantire tutti i campionamenti richiesti ma limita il numero dei campionamenti per richiesta. Pertanto, questo campo indica il numero di campionamenti al momento garantiti alla richiesta uguale o inferiore al valore richiesto.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add RMON History Page.
19

PASSAGGIO 3 Immettere i parametri.
Nuova voce cronologia: indica il numero della nuova voce della tabella. Interfaccia di origine: selezionare il tipo di interfaccia da cui sono stati acquisiti i campionamenti cronologici. N. max di campionamenti da conservare: immettere il numero di campionamenti da memorizzare. Intervallo di campionamento: immettere il tempo in secondi in cui vengono raccolti i campionamenti dalle porte. Il valore compreso tra 1 e 3600. Proprietario: immettere la stazione RMON o dell'utente che ha richiesto le informazioni RMON. Il valore possibile pu essere una stringa compresa tra 0 e 20 caratteri.
PASSAGGIO 4 Fare clic su Applica. La voce viene aggiunta nella History Control Table Page e lo
switch viene aggiornato.
Visualizzazione della tabella Cronologia RMON

Nella History Table Page vengono visualizzati i campionamenti di rete statistici specifici per interfaccia. Ogni voce della tabella rappresenta tutti i valori dei contatori compilati durante una singola operazione di campionamento. Per visualizzare la cronologia RMON, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su RMON > Cronologia. Si apre la History Control Table Page . PASSAGGIO 2 Fare clic su Tabella Controllo cronologia. Si apre la History Table Page. PASSAGGIO 3 Dall'elenco N. voce cronologia, selezionare il numero della voce per visualizzare i
campionamenti associati a quella voce della cronologia. Vengono visualizzati i campi del campionamento selezionato. Proprietario: voce della tabella della cronologia. N. campionamento: statistiche acquisite da questo campionamento. Eventi di eliminazione: pacchetti eliminati a causa della mancanza di risorse di rete durante l'intervallo di campionamento. Non possibile indicare il numero esatto di pacchetti eliminati per possibile indicare il numero di volte in cui sono stati rilevati pacchetti eliminati.
20

Byte ricevuti: ottetti ricevuti, inclusi i pacchetti danneggiati e gli ottetti FCS, ma non i bit raggruppati in frame. Pacchetti ricevuti: pacchetti ricevuti, inclusi i pacchetti danneggiati, multicast e broadcast. Pacchetti broadcast: pacchetti broadcast in buono stato ricevuti. Questo numero non include i pacchetti multicast. Pacchetti multicast: pacchetti multicast in buono stato ricevuti. Errori di allineamento CRC : errori CRC e di allineamento verificatisi. Pacchetti sottodimensionati: pacchetti sottodimensionati (meno di 64 ottetti) ricevuti. Pacchetti sovradimensionati: pacchetti sovradimensionati (pi di 1518 ottetti) ricevuti. Frammenti: frammenti (pacchetti con meno di 64 ottetti) ricevuti, esclusi i bit raggruppati in frame, ma inclusi gli ottetti FCS. Jabber : numero totale di pacchetti ricevuti con lunghezza superiore ai 1632 ottetti. Questo numero esclude i bit raggruppati in frame, ma include gli ottetti FCS che avevano un FCS (Frame Check Sequence) errato con un numero integrale di ottetti (errore FCS) o un FCS con un numero non integrale di ottetti (errore di allineamento). Collisioni: collisioni ricevute. Utilizzo: percentuale di traffico dell'interfaccia corrente confrontato con il traffico massimo gestibile dall'interfaccia.
Definizione di controllo di eventi RMON

Nella Events Page viene fornita la possibilit di configurare eventi azioni eseguiti quando viene generato un allarme (gli allarmi vengono definiti nella Alarms Page). Un evento pu essere una combinazione di log/trap. Se l'azione inclusa nella registrazione, possibile accedere agli eventi nella Event Log Table Page.
21

Per visualizzare gli eventi RMON, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su RMON > Eventi. Si apre la Events Page .
In questa pagina vengono visualizzati gli eventi definiti in precedenza.

PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add RMON Events Page. PASSAGGIO 3 Immettere i parametri.
Voce evento: indica il numero di indice della voce evento della nuova voce. Comunit: immettere la stringa di comunit SNMP da includere quando vengono inviate le trap (facoltativo). Descrizione: immettere un nome per l'evento. Questo nome viene utilizzato nella Add RMON Alarm Page per associare un allarme a un evento. Tipo: selezionare il tipo di azione derivante da questo evento. I valori sono: Nessuno: non viene eseguita alcuna azione quando l'allarme si spegne. Log: aggiungere una voce del log quando l'allarme si spegne. Trap: inviare una trap quando l'allarme si spegne. Log e trap: aggiungere una voce del log e inviare una trap quando l'allarme si spegne.
Proprietario: immettere il dispositivo o l'utente che ha definito l'evento.
PASSAGGIO 4 Fare clic su Applica. L'evento RMON viene aggiunto e lo switch viene aggiornato.
Visualizzazione dei log degli eventi RMON

Nella Event Log Table Page viene indicato il log degli eventi (azioni) verificatisi. possibile accedere a un evento quando il tipo di evento Log o Log e trap. L'azione nell'evento viene eseguita quando l'evento associato a un allarme (vedere la Alarms Page) e si sono verificate le condizioni dell'allarme.
PASSAGGIO 1 Fare clic su RMON > Eventi. Si apre la Events Page . PASSAGGIO 2 Fare clic su Tabella Log evento. Si apre la Event Log Table Page .
22

In questa pagina vengono visualizzati i seguenti campi: Evento: numero voce del log eventi. N. log: numero del log. Ora di log: ora in cui stata inserita la voce del log. Descrizione: descrizione della voce del log.
Definizione degli allarmi RMON

Gli allarmi RMON forniscono un meccanismo per l'impostazione di soglie e intervalli di campionamento per generare eventi eccezione in qualsiasi contatore RMON o in qualsiasi contatore oggetto SNMP conservato dall'agente. Nell'allarme necessario configurare sia la soglia superiore che quella inferiore. Superata la soglia superiore, non viene generato un altro evento superiore fino a quando non viene superata la soglia inferiore. Utilizzato un allarme inferiore, l'allarme successivo viene utilizzato quando viene superata una soglia superiore. A un evento sono associati uno o pi allarmi. L'evento indica l'azione da intraprendere quando si verifica un allarme. Nella Alarms Page viene offerta la possibilit di configurare allarmi e associarli agli eventi. I contatori allarme possono essere monitorati dai valori assoluti o dalle modifiche (delta) nei valori dei contatori. Per immettere allarmi RMON, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su RMON > Allarmi. Si apre la Alarms Page . PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add RMON Alarm Page. PASSAGGIO 3 Immettere i parametri.
Voce allarme: viene indicato il numero della voce dell'allarme. Interfaccia: selezionare il tipo di interfaccia di cui vengono visualizzate le statistiche RMON. Nome contatore: selezionare la variabile MIB che indica il tipo di occorrenza misurata.
23

2
Delta: il valore dell'ultimo campionamento viene sottratto dal valore corrente e la differenza viene confrontata con la soglia. Se la soglia stata superata, viene generato un allarme. Assoluto: se la soglia stata superata, viene generato un allarme.
Tipo di campionamento: selezionare il metodo di campionamento per generare un allarme. Le opzioni sono: -
Soglia superiore: immettere il valore del contatore superiore che attiva l'allarme della soglia superiore. Evento superiore: selezionare un evento da quelli definiti nella tabella Eventi, da eseguire quando viene attivato un evento superiore. Soglia inferiore: immettere il valore del contatore inferiore che attiva l'allarme della soglia inferiore. Evento inferiore: seleziona un evento da quelli definiti nella tabella Eventi, da eseguire quando viene attivato un evento inferiore. Allarme di avvio: selezionare il primo evento da cui avviare la generazione di allarmi. Con Rising Alarm si intende il superamento di una soglia a causa del passaggio da un valore pi basso a uno pi alto. Allarme soglia superiore: un valore del contatore superiore che attiva l'allarme della soglia superiore. Allarme soglia inferiore: un valore del contatore inferiore che attiva l'allarme della soglia inferiore. Definizione di superiore e inferiore: sia i valori del contatore superiore che quelli del contatore inferiore attivano l'allarme.
Intervallo: immettere l'intervallo dell'allarme in secondi. Proprietario: immettere il nome dell'utente o del sistema di gestione di rete che riceve l'allarme.
PASSAGGIO 4 Fare clic su Applica. L'allarme RMON viene aggiunto e lo switch viene aggiornato.
24
3
Gestione di log di sistema
In questo capitolo viene descritta la funzione Log di sistema che consente allo switch di conservare molti log indipendenti. Ogni log una serie di messaggi che registrano gli eventi del sistema. Lo switch genera i seguenti log locali: Log scritto in un elenco ciclico di eventi registrati nella RAM che viene cancellato quando lo switch si riavvia. Log scritto in un file di log ciclico salvato nella memoria Flash e che viene conservato dopo il riavvio.
Inoltre, possibile registrare messaggi in server SYSLOG remoti che mantengono i log sottoforma di trap SNMP e messaggi SYSLOG. In questo capitolo sono presenti le seguenti sezioni: Configurazione delle impostazioni log di sistema Configurazione delle impostazioni di registrazione remote Visualizzazione dei log memoria
Configurazione delle impostazioni log di sistema

possibile attivare o disattivare l'accesso alla Log Settings Page e selezionare se aggregare messaggi di log. Livelli di gravit possibile selezionare gli eventi per livello di gravit. Ogni messaggio di log ha un livello di gravit contrassegnato con la prima lettera del livello di gravit concatenato con un trattino (-) ad ogni lato (tranne per Emergenza che indicato dalla lettera F). Per esempio, il messaggio di log "%INIT-I-InitCompleted: " ha un livello di gravit I, cio Informativo.
25

Configurazione delle impostazioni log di sistema
I livelli di gravit degli eventi sono elencati dalla gravit maggiore alla minore, come indicato di seguito: Emergenza: il sistema non utilizzabile. Allarme: necessaria un'azione. Critico: il sistema in una condizione critica. Errore: il sistema in una condizione di errore. Avviso: stato generato un avviso per il sistema. Notifica: il sistema funziona correttamente, ma stata generata una notifica per il sistema. Informativo: informazioni sul dispositivo. Debug: fornisce informazioni dettagliate su un evento.
possibile selezionare diversi livelli di gravit per RAM e log Flash. Questi log possono essere visualizzati rispettivamente nella RAM Memory Page e nella Flash Memory Page. La selezione di un livello di gravit da memorizzare in un log provoca la memorizzazione automatica nel log di tutti gli eventi con gravit maggiore. Gli eventi con gravit minore non vengono memorizzati nel log. Per esempio, se stato selezionato Avviso, tutti i livelli di gravit Avviso e con livello di gravit maggiore vengono memorizzati nel log (Emergenza, Allarme, Critico, Errore e Avviso). Non viene memorizzato nessun livello di gravit inferiore a Avviso (Notifica, Informativo e Debug).
Per impostare i parametri globali, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Amministrazione > Log di sistema > Impostazioni di log. Si apre la
Log Settings Page .

Registrazione: selezionare per attivare la registrazione di messaggi. Aggregazione Syslog: selezionare per attivare l'aggregazione di messaggi e trap SYSLOG. Se attivato, vengono aggregati messaggi e trap SYSLOG contigui in un intervallo di tempo e poi inviati in un singolo messaggio. I messaggi aggregati vengono inviati nell'ordine di arrivo. Ogni messaggio indica il numero di volte che stato aggregato.
26

Configurazione delle impostazioni di registrazione remote
Tempo di aggregazione max: immettere l'intervallo di tempo in cui vengono aggregati i messaggi SYSLOG. Registrazione memoria RAM: selezionare i livelli di gravit dei messaggi da registrare nella RAM. Registrazione memoria Flash: selezionare i livelli di gravit dei messaggi da registrare nella memoria Flash.
PASSAGGIO 3 Fare clic su Applica. Lo switch viene aggiornato.
Configurazione delle impostazioni di registrazione remote

Nella Remote Log Servers Page viene consentita la definizione di server SYSLOG remoti in cui vengono inviati i messaggi di log (utilizzando il protocollo SYSLOG). Per ogni server, possibile configurare la gravit dei messaggi che riceve. Per definire i server SYSLOG, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Log di sistema > Server di log remoti. Si apre la
Remote Log Servers Page.

La pagina visualizza l'elenco dei server di log remoti.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Remote Log Server Page. PASSAGGIO 3 Immettere i parametri.
Versione IP: selezionare il formato IP supportato. Tipo di indirizzo IPv6: selezionare il tipo di indirizzo IPv6 (se IPv6 viene utilizzato). Le opzioni sono: Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione. Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti.
27

Visualizzazione dei log memoria
3
Interfaccia locale collegamento: selezionare l'interfaccia locale collegamento (se Collegamento locale tipo di indirizzo IPv6 selezionato) dall'elenco. Indirizzo IP del server di log: immettere l'indirizzo del server a cui vengono inviati i log. Porta UDP: immettere la porta UDP a cui vengono inviati i messaggi di log. Infrastruttura: selezionare il valore di un'infrastruttura da cui i log di sistema vengono inviati al server remoto. possibile assegnare un solo valore dell'infrastruttura a un server. L'impostazione di un secondo codice di infrastruttura causer la rimozione del primo. Descrizione: immettere la descrizione di un server. Gravit minima: selezionare il livello minimo dei messaggi di log di sistema da inviare al server.
PASSAGGIO 4 Fare clic su Applica. La Add Remote Log Server Page viene chiusa, il server
SYSLOG viene aggiunto e lo switch viene aggiornato.

Lo switch pu scrivere nei seguenti log: Log nella RAM (cancellato durante il riavvio). Log nella memoria Flash (cancellato solo su comando dell'utente).
possibile configurare i messaggi scritti in ogni log per gravit e un messaggio pu essere inviato a pi di un log, inclusi i log che si trovano nei server SYSLOG esterni.
Memoria RAM
Memoria RAM Nella RAM Memory Page vengono visualizzati tutti i messaggi salvati nella RAM (cache) in ordine cronologico. Le voci vengono memorizzate nel log della RAM in base alla configurazione della Log Settings Page.
28

Per visualizzare le voci, fare clic su Stato e statistiche > Visualizza log > Memoria RAM. Si apre la RAM Memory Page . In questa pagina vengono visualizzati i seguenti campi: Indice dei log: numero voce del log. Ora di log: ora in cui stato generato il messaggio. Gravit: gravit evento. Descrizione: messaggio di testo che descrive l'evento.
Per cancellare i messaggi di log, fare clic su Cancella log. I messaggi vengono cancellati.
Memoria FLASH
Memoria FLASH Nella Flash Memory Page vengono visualizzati i messaggi memorizzati nella memoria Flash in ordine cronologico. La gravit minima per la registrazione viene configurata nella Log Settings Page. Quando lo switch viene riavviato i log di Flash vengono conservati. possibile cancellare i log manualmente. Per visualizzare i log Flash, fare clic su Stato e statistiche > Visualizza log > Memoria Flash. Si apre la Flash Memory Page. In questa pagina vengono visualizzati i seguenti campi: Indice dei log: numero voce del log. Ora di log: ora in cui stato generato il messaggio. Gravit: gravit evento. Descrizione: messaggio di testo che descrive l'evento.
Per cancellare i messaggi, fare clic su Cancella log. I messaggi vengono cancellati.
29
4
Gestione dei file di sistema
possibile scegliere il file firmware da cui viene avviato lo switch. inoltre possibile copiare i tipi di file internamente nello switch oppure in o da un dispositivo esterno come un PC. I metodi di trasferimento di file sono: Copia interna. HTTP che utilizza le risorse che fornisce il browser. Client TFTP che richiede un server TFTP.
I file di configurazione nello switch vengono definiti dal loro tipo e contengono le impostazioni e i valori dei parametri del dispositivo. Quando nello switch viene fatto riferimento a una configurazione, si fa riferimento al suo tipo di file di configurazione e non a un nome file che pu essere modificato dall'utente. I contenuti possono essere copiati da un tipo di file all'altro ma i nomi dei tipi di file non possono essere modificati dall'utente. Gli altri file nel dispositivo includono firmware, codice di avvio e file di log e sono denominati file operativi. I file di configurazione sono file di testo e possono essere modificati da un utente in un editor di testo come Blocco note dopo essere stati copiati in un dispositivo esterno come un PC. File e tipi di file Nello switch sono disponibili i seguenti tipi di file di configurazione e di file operativi: Configurazione di esecuzione: parametri utilizzati al momento dallo switch per il funzionamento. Si tratta dell'unico tipo di file modificato dall'utente quando i valori del parametro vengono modificati utilizzando una delle interfacce di configurazione e che per essere conservato deve essere salvato manualmente. Se lo switch viene riavviato, la Configurazione di esecuzione viene persa. Quando lo switch viene riavviato, questo tipo di file viene copiato dalla Configurazione di avvio memorizzata in Flash nella Configurazione di esecuzione memorizzata in RAM.
30
4
Per conservare qualsiasi modifica apportata allo switch, necessario salvare la Configurazione di esecuzione nella Configurazione di avvio o in un altro tipo di file se non si desidera che lo switch riavvii questa configurazione. Se la Configurazione di esecuzione stata salvata nella Configurazione di avvio, quando lo switch viene riavviato, ricrea una Configurazione di esecuzione che include le modifiche apportate dall'ultima volta che la Configurazione di esecuzione stata salvata nella Configurazione di avvio.
Configurazione di avvio: i valori del parametro salvati dall'utente copiando un'altra configurazione (di solito la Configurazione di esecuzione) nella Configurazione di avvio. La Configurazione di avvio viene conservata in Flash e viene mantenuta ogni volta che lo switch viene riavviato. Quando viene riavviato, la Configurazione di avvio viene copiata in RAM e identificata come la Configurazione di esecuzione.
Configurazione di backup: una copia manuale delle definizioni dei parametri per la protezione contro l'arresto del sistema o per il mantenimento di uno stato operativo specifico. possibile copiare la Configurazione a specchio, la Configurazione di avvio o la Configurazione di esecuzione in un file di Configurazione di backup. La Configurazione di backup presente in Flash e viene mantenuta anche se il dispositivo viene riavviato. Configurazione a specchio: una copia della Configurazione di avvio, creata dallo switch dopo che: Lo switch ha funzionato senza interruzione per 24 ore. Non stata apportata nessuna modifica alla Configurazione di esecuzione nelle 24 ore precedenti. La Configurazione di avvio identica alla Configurazione di esecuzione.
Solo il sistema pu copiare la Configurazione di avvio nella Configurazione a specchio. Tuttavia, possibile eseguire copie dalla Configurazione a specchio in altri tipi di file o in un altro dispositivo. Se lo switch viene riavviato, la Configurazione a specchio viene reimpostata sui parametri predefiniti di fabbrica. In tutti gli altri aspetti, la Configurazione a specchio si comporta nello stesso modo della Configurazione di backup, fornendo una copia dei valori dei parametri che vengono conservati se lo switch viene riavviato. Firmware: il sistema operativo. Comunemente definito immagine. Codice di avvio: controlla l'avvio del sistema di base e lancia l'immagine firmware.
31
4
File di lingua: il vocabolario che consente alle finestre di essere visualizzate nella lingua selezionata. Log Flash: messaggi SYSLOG memorizzati in memoria Flash.
Azioni su file Per gestire firmware e file di configurazione possibile eseguire le azioni seguenti: Aggiornare il firmware o il codice di avvio oppure sostituire una lingua come descritto nella sezione Aggiornamento/Backup del firmware/Lingua. Visualizzare l'immagine firmware correntemente in uso oppure selezionare l'immagine da utilizzare al riavvio successivo come descritto nella sezione Selezione dell'immagine attiva. Salvare i file nello switch in una posizione in un altro dispositivo come descritto nella sezione Download o backup di una configurazione o di un log. Cancellare i tipi di file della Configurazione di avvio o della Configurazione di backup come descritto nella Visualizzazione delle propriet file di configurazione. Copiare un tipo di file di configurazione in un altro tipo di file di configurazione come descritto nella Copia o salvataggio dei tipi di file di configurazione dello switch. Caricare un file di configurazione da un server TFTP nello switch come descritto nella sezione Impostazione della configurazione automatica DHCP.
!
ATTENZIONE A meno che la Configurazione di esecuzione non venga copiata manualmente nella
Configurazione di avvio, nella Configurazione di backup o in un file esterno, tutte le modifiche apportate dall'ultima volta che il file stato salvato, se lo switch viene riavviato, vengono perse. Si consiglia di salvare la Configurazione di esecuzione nella Configurazione di avvio prima di disconnettersi per conservare qualsiasi modifica apportata durante questa sessione. Un'icona rossa X, visualizzata a sinistra del collegamento all'applicazione Salva indica che le modifiche alla configurazione sono state apportate e non sono ancora state salvate nel file Configurazione di avvio. Quando si fa clic su Salva, viene visualizzata la pagina Copia/Salva configurazione. Salvare il file Configurazione di esecuzione copiandolo nel file Configurazione di avvio. Dopo questo salvataggio, l'icona rossa X e il collegamento alla pagina Copia/Salva configurazione vengono nascosti.
32

In questo capitolo viene descritto come vengono gestiti i file di configurazione e di log. e trattati i seguenti argomenti: Aggiornamento/Backup del firmware/Lingua Selezione dell'immagine attiva Download o backup di una configurazione o di un log Visualizzazione delle propriet file di configurazione Copia o salvataggio dei tipi di file di configurazione dello switch Impostazione della configurazione automatica DHCP

Il processo Aggiornamento/Backup del firmware/Lingua pu essere utilizzato per: Eseguire l'aggiornamento o il backup dell'immagine firmware Eseguire l'aggiornamento o il backup del codice di avvio Importare un nuovo file di lingua o aggiornare un file di lingua esistente
Sono supportati i seguenti metodi di trasferimento dei file: HTTP che utilizza le risorse fornite dal browser. TFTP che richiede un server TFTP
Se stato caricato un nuovo file di lingua nello switch, la nuova lingua pu essere selezionata dalla casella a discesa (non necessario riavviare lo switch). possibile accedere alla pagina Aggiornamento/Backup del firmware/Lingua anche selezionando Aggiungi nuova lingua nella casella a discesa di ogni pagina.
Caricamento di un nuovo firmware o file di lingua

Ci sono due immagini firmware, Immagine 1 e Immagine 2, memorizzate nello switch. Una delle immagini viene identificata come l'immagine attiva e l'altra viene identificata come l'immagine inattiva.
33

Quando si aggiorna il firmware, la nuova immagine sostituisce sempre l'immagine identificata come l'immagine inattiva. Dopo aver caricato il nuovo firmware nello switch, lo switch continua ad avviarsi utilizzando l'immagine attiva (la vecchia versione) fino a quando lo stato della nuova immagine non viene modificato in immagine attiva utilizzando la procedura della sezione Selezione dell'immagine attiva. Avviare poi lo switch utilizzando il processo descritto nella sezione Riavvio dello switch. Per scaricare o eseguire il backup di un sistema o di un file di lingua, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Gestione di file > Aggiornamento/Backup del
firmware/Lingua. Si apre la pagina Aggiornamento/Backup del firmware/Lingua.

PASSAGGIO 2 Fare clic sul Metodo di trasferimento. Se stato selezionato TFTP, andare in
PASSAGGIO 3. Se stato selezionato HTTP, andare in PASSAGGIO 4.

PASSAGGIO 3 Se stato selezionato TFTP, immettere i parametri come descritto in questo
passaggio. Altrimenti, passare al PASSAGGIO 4. Selezionare Salva azione. Se per Salva azione si seleziona Aggiorna per specificare che il tipo di file nello switch deve essere sostituito con una nuova versione di quel tipo di file posizionato in un server TFTP, procedere come indicato di seguito. Altrimenti, andare alla procedura successiva di questo passaggio. a. Tipo di file: selezionare il tipo di file di destinazione. Vengono mostrati solo i tipi di file validi (i tipi di file sono descritti nella sezione File e tipi di file). b. Versione IP: selezionare se viene utilizzato un indirizzo IPv4 o IPv6. c. Tipo di indirizzo IPv6: selezionare il tipo di indirizzo IPv6 (se IPv6 viene utilizzato). Le opzioni sono: Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione. Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti.
d. Interfaccia locale collegamento: selezionare l'interfaccia locale collegamento (se viene utilizzato IPv6) dall'elenco.

e. Server TFTP: immettere l'indirizzo IP del server TFTP. f. Nome file di origine: immettere il nome del file di origine.
Se per Salva azione stato selezionato Esegui backup per specificare che una copia del tipo di file deve essere salvata in un file di un altro dispositivo, procedere come indicato di seguito. a. Tipo di file: selezionare il tipo di file di origine. possibile selezionare solo i tipi di file validi (i tipi di file sono descritti nella sezione File e tipi di file). b. Versione IP: selezionare se viene utilizzato un indirizzo IPv4 o IPv6. c. Tipo di indirizzo IPv6: selezionare il tipo di indirizzo IPv6 (se utilizzato). Le opzioni sono: Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione. Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti.
d. Interfaccia locale collegamento: selezionare l'interfaccia locale collegamento (se viene utilizzato IPv6) dall'elenco. e. Server TFTP: immettere l'indirizzo IP del server TFTP. f. Nome file di destinazione: immettere il nome del file di destinazione. I nomi dei file non possono contenere barre (\ o /), la prima lettera del nome del file non pu essere un punto (.) e la lunghezza massima dei nomi dei file in un server TFTP 160 caratteri (caratteri validi: A-Z, a-z, 0-9, ".", "-", "_").
PASSAGGIO 4 Se stato selezionato HTTP, immettere i parametri come descritto in questo
passaggio. Selezionare Salva azione: possibile selezionare solo le azioni supportate. Se per Salva azione stato selezionato Aggiorna per specificare che il tipo di file nello switch deve essere sostituito con una nuova versione di quel tipo di file, procedere come indicato di seguito. Altrimenti, se stato selezionato Esegui backup, andare alla procedura successiva di questo passaggio. a. Tipo di file: selezionare il tipo di file di configurazione. possibile selezionare solo i tipi di file validi (i tipi di file sono descritti nella sezione File e tipi di file).
35

Selezione dell'immagine attiva
b. Nome file: fare clic su Sfoglia per selezionare un file oppure immettere il percorso e il nome del file di origine da utilizzare durante il trasferimento. c. Fare clic su Applica. Il file stato aggiornato. Se per Salva azione stato selezionato Esegui backup per specificare che una copia del tipo di file deve essere salvata in un file di un altro dispositivo, procedere come indicato di seguito. a. Tipo di file di origine: selezionare il tipo di file di configurazione. Vengono visualizzati solo i tipi di file validi (i tipi di file sono descritti nella sezione File e tipi di file). b. Fare clic su Applica. Verr visualizzata la schermata Donwload file. c. Fare clic su Salva. Verr visualizzata la schermata Salva con nome. d. Fare clic su Salva.
PASSAGGIO 5 Fare clic su Applica o su Fine. Viene eseguito l'aggiornamento o il backup del file.
Selezione dell'immagine attiva

Ci sono due immagini firmware, Immagine 1 e Immagine 2, memorizzate nello switch. Una delle immagini viene identificata come l'immagine attiva e l'altra viene identificata come l'immagine inattiva. Lo switch viene avviato dall'immagine impostata come l'immagine attiva. possibile cambiare l'immagine identificata come l'immagine inattiva nell'immagine attiva ( possibile riavviare lo switch utilizzando il processo descritto nella sezione Riavvio dello switch). Per selezionare l'immagine attiva, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Gestione di file > Immagine attiva. Si apre la
Active Image Page.

Nella pagina vengono visualizzati gli elementi seguenti: Immagine attiva: viene visualizzato il file di immagine al momento attivo nello switch. Numero di versione immagine attiva: viene visualizzata la versione del firmware dell'immagine attiva.
36

Download o backup di una configurazione o di un log
PASSAGGIO 2 Selezionare l'immagine dal menu Immagine attiva dopo il riavvio per identificare
l'immagine del firmware utilizzata come immagine attiva dopo il riavvio dello switch. Nel Numero di versione immagine attiva dopo il riavvio viene visualizzata la versione dell'immagine attiva utilizzata dopo il riavvio dello switch.
PASSAGGIO 3 Fare clic su Applica. La selezione dell'immagine attiva viene aggiornata.

Nella Download/Backup Configuration/Log Page viene consentito il backup dai tipi di file di configurazione o dal log flash dello switch in un file di un altro dispositivo o il ripristino dei tipi di file di configurazione da un altro dispositivo nello switch. Durante il ripristino di un file di configurazione sulla Configurazione di esecuzione, il file importato aggiunge i comandi di configurazione non esistenti nel vecchio file e annulla i valori dei parametri dei comandi di configurazione esistenti. Durante il ripristino di un file di configurazione sulla Configurazione di avvio o di un file di configurazione di backup, il nuovo file sostituisce quello precedente. Durante il ripristino sulla Configurazione di avvio, necessario riavviare lo switch per poter utilizzare il file di Configurazione di avvio ripristinato come Configurazione di esecuzione. possibile riavviare lo switch utilizzando il processo descritto nella sezione Riavvio dello switch. Per eseguire il backup o il ripristino del file di configurazione di sistema, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Gestione di file > Download/Configurazione
backup/Log. Si apre la Download/Backup Configuration/Log Page.

PASSAGGIO 2 Fare clic sul Metodo di trasferimento. PASSAGGIO 3 Se TFTP selezionato, immettere i parametri. Altrimenti, passare al PASSAGGIO 4.
Selezionare Salva azione. Se Salva azione selezionato Scarica per specificare che il file di un altro dispositivo sostituir un tipo di file nello switch, procedere come indicato di seguito. Altrimenti, andare alla procedura successiva di questo passaggio. a. Versione IP: selezionare se viene utilizzato un indirizzo IPv4 o IPv6.
37

b. Tipo di indirizzo IPv6: selezionare il tipo di indirizzo IPv6 (se utilizzato). Le opzioni sono: Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione. Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti.
c. Interfaccia locale collegamento: selezionare l'interfaccia locale collegamento dall'elenco. d. Server TFTP: immettere l'indirizzo IP del server TFTP. e. Nome file di origine: immettere il nome del file di origine. I nomi dei file non possono contenere barre (\ o /), la prima lettera del nome del file non pu essere un punto (.) e la lunghezza massima dei nomi dei file nel server TFTP 160 caratteri (caratteri validi: A-Z, a-z, 0-9, ".", "-", "_"). f. Tipo di file di destinazione: immettere il tipo di file di configurazione di destinazione. Vengono visualizzati solo i tipi di file validi (i tipi di file sono descritti nella sezione File e tipi di file).
Se per Salva azione stato selezionato Esegui backup per specificare che necessario copiare un tipo di file in un file di un altro dispositivo, procedere come indicato di seguito: a. Versione IP: selezionare se viene utilizzato un indirizzo IPv4 o IPv6. b. Tipo di indirizzo IPv6: selezionare il tipo di indirizzo IPv6 (se utilizzato). Le opzioni sono: Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione. Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti.
c. Interfaccia locale collegamento: selezionare l'interfaccia locale collegamento dall'elenco.
38

d. Server TFTP: immettere l'indirizzo IP del server TFTP. e. Tipo di file di origine: immettere il tipo di file di configurazione di origine. Vengono visualizzati solo i tipi di file validi (i tipi di file sono descritti nella sezione File e tipi di file). f. Nome file di destinazione: immettere il nome del file di destinazione. I nomi dei file non possono contenere barre (\ o /), la prima lettera del nome del file non pu essere un punto (.) e la lunghezza massima dei nomi dei file nel server TFTP 160 caratteri (caratteri validi: A-Z, a-z, 0-9, ".", "-", "_").
PASSAGGIO 4 Se selezionato HTTP, immettere i parametri come descritto in questo passaggio.
Selezionare Salva azione. Se per Salva azione si seleziona Scarica per specificare che il tipo di file nello switch deve essere sostituito con una nuova versione di quel tipo di file di un file di un altro dispositivo, procedere come indicato di seguito. Altrimenti, andare alla procedura successiva di questo passaggio. a. Nome file di origine: fare clic su Sfoglia per selezionare un file oppure immettere il percorso e il nome del file di origine da utilizzare durante il trasferimento. b. Tipo di file di destinazione: selezionare il tipo di file di configurazione. Vengono visualizzati solo i tipi di file validi (i tipi di file sono descritti nella sezione File e tipi di file). c. Fare clic su Applica. Il file viene trasferito dall'altro dispositivo allo switch. Se per Salva azione stato selezionato Esegui backup per specificare che necessario copiare un tipo di file in un file di un altro dispositivo, procedere come indicato di seguito: a. Tipo di file di origine: selezionare il tipo di file di configurazione. Vengono visualizzati solo i tipi di file validi (i tipi di file sono descritti nella sezione File e tipi di file). b. Fare clic su Applica. Verr visualizzata la schermata Donwload file. c. Fare clic su Salva. Verr visualizzata la schermata Salva con nome. d. Fare clic su Salva.
PASSAGGIO 5 Fare clic su Applica o su Fine. L'aggiornamento o il backup del file viene eseguito
nello switch (in base al tipo di file).
39

Visualizzazione delle propriet file di configurazione
Visualizzazione delle propriet file di configurazione

In questa Configuration Files Properties Page viene consentita la visualizzazione dei tipi di file di configurazione di sistema e la data e l'ora in cui sono stati modificati. Viene consentita anche l'eliminazione della Configurazione di avvio e/o della Configurazione di backup. Non possibile eliminare gli altri tipi di file di configurazione. Per visualizzare le propriet file di configurazione, fare clic su Amministrazione > Gestione di file > Propriet file di configurazione. Si apre la Configuration Files Properties Page. In questa pagina vengono forniti i seguenti campi: Nome file di configurazione: viene visualizzato il tipo di file. Ora di creazione viene visualizzata la data e l'ora in cui stato modificato il file.
Per cancellare un file di configurazione, selezionarlo e fare clic su Cancella file.
Copia o salvataggio dei tipi di file di configurazione dello switch

Quando si fa clic su Applica in qualsiasi finestra, le modifiche apportate alle impostazioni di configurazione dello switch vengono memorizzate solo nella Configurazione di esecuzione. Per conservare i parametri nella Configurazione di esecuzione, necessario copiare la Configurazione di esecuzione in un altro tipo di configurazione oppure salvarla come un file in un altro dispositivo. Nella Copy/Save Configuration Page viene consentita la copia o il salvataggio di un file di configurazione in un altro per scopi relativi al backup.
!
ATTENZIONE A meno che la Configurazione di esecuzione non venga copiata nella
Configurazione di avvio o in un altro file di configurazione, tutte le modifiche apportate dall'ultima volta che il file stato copiato, se lo switch viene riavviato, vengono perse.
40

Impostazione della configurazione automatica DHCP
Sono consentite le seguenti combinazioni di copia di tipi di file interni: Dalla Configurazione di esecuzione alla Configurazione di avvio o Configurazione di backup. Dalla Configurazione di avvio alla Configurazione di backup. Dalla Configurazione di backup alla Configurazione di avvio. Dalla Configurazione a specchio alla Configurazione di avvio o Configurazione di backup.
Per copiare una configurazione da un tipo di file a un altro, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Gestione di file > Copia/Salva configurazione. Si
apre la Copy/Save Configuration Page.

PASSAGGIO 2 Selezionare il Nome file di origine da copiare. Vengono visualizzati solo i tipi di file
validi (i tipi di file sono descritti nella sezione File e tipi di file).
PASSAGGIO 3 Selezionare il Nome file di destinazione da sovrascrivere con il file di origine. PASSAGGIO 4 Fare clic su Applica. Il file viene copiato e lo switch viene aggiornato.

Il protocollo DHCP (Dynamic Host Configuration Protocol) fornisce un mezzo per trasmettere le informazioni sulla configurazione (inclusi l'indirizzo IP di un server TFTP e il nome di un file di configurazione) da ospitare in una rete TCP/IP. Per impostazione predefinita, lo switch viene attivato come un client DHCP. Configurazione automatica DHCP Quando l'indirizzo IP viene allocato o rinnovato, ad esempio durante un riavvio o su richiesta esplicita di rinnovo di DHCP e se lo switch e il server sono configurati per farlo, lo switch trasferisce un file di configurazione dal server TFTP identificato allo switch tramite DHCP. Questo processo viene chiamato configurazione automatica.
NOTA Se si attiva Configurazione automatica DHCP in uno switch con DHCP disattivato,
necessario attivare il DHCP utilizzando la procedura descritta nella sezione Indirizzamento IP.
41

Nella DHCP Auto Configuration Page lo switch viene configurato per ricevere informazioni DHCP indicanti un server TFTP per scopi relativi alla configurazione automatica o manuale del server TFTP e il file di configurazione nel caso in cui le informazioni non vengano fornite in un messaggio DHCP. Notare le seguenti restrizioni relative al processo di aggiornamento automatico di DHCP: Un file di configurazione posizionato nel server TFTP deve corrispondere ai requisiti di formato di un file di configurazione supportato. Il formato del file viene verificato ma la validit dei parametri di configurazione non viene verificata prima che venga caricato nella Configurazione di avvio. Per essere sicuri che la configurazione dei dispositivi funzioni come desiderato e a causa dell'allocazione di indirizzi IP diversi con ogni ciclo di rinnovo di DHCP, necessario associare gli indirizzi IP agli indirizzi MAC nella tabella Server DHCP. In questo modo viene garantito che ogni dispositivo ha il suo indirizzo IP riservato personale e altre informazioni importanti.
Per configurare una configurazione automatica del server DHCP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Gestione di file > Configurazione automatica
DHCP. Si apre la DHCP Auto Configuration Page.

PASSAGGIO 2 Immettere i valori.
Configurazione automatica tramite DHCP: selezionare questo campo per attivare o disattivare il trasferimento automatico di una configurazione da un server TFTP alla Configurazione di avvio dello switch. Esegui backup del server TFTP: immettere l'indirizzo IP del server TFTP da utilizzare se nel messaggio DHCP non specificato nessun indirizzo IP del server TFTP. Esegui backup del file di configurazione: immettere il percorso e il nome del file da utilizzare se nel messaggio DHCP non specificato nessun nome di file di configurazione.
Nella finestra vengono visualizzati gli elementi seguenti: Indirizzo IP server TFTP ultima configurazione automatica: viene visualizzato l'indirizzo IP dell'ultimo server TFTP utilizzato per eseguire la configurazione automatica.
42

Nome file ultima configurazione automatica: viene visualizzato l'ultimo nome del file utilizzato dallo switch nella configurazione automatica. Indirizzo IP server TFTP ultima configurazione automatica e Nome file ultima configurazione automatica vengono confrontati con le informazioni ricevute da un server DHCP e ricevono un indirizzo IP di configurazione per lo switch. Nel caso in cui questi valori non corrispondessero, lo switch trasferisce il file di configurazione dal server TFTP identificato dal server DHCP nel file Configurazione di avvio e inizia il riavvio. Se non corrisponde nessun valore, non vengono intraprese azioni.
PASSAGGIO 3 Fare clic su Applica. La Configurazione automatica DHCP viene aggiornata.
43
5
Informazioni amministrative e operazioni generali
In questo capitolo viene descritto come visualizzare le informazioni di sistema e come configurare le diverse opzioni nello switch e trattati i seguenti argomenti: Informazioni di sistema Modelli di switch Riavvio dello switch Monitoraggio dello stato della ventola e della temperatura Definizione di timeout sessione inattiva
Nella System Summary Page viene fornita la vista di un grafico dello switch e viene visualizzato lo stato dello switch, le informazioni sull'hardware, le informazioni sulla versione firmware, lo stato generale di Power-over-Ethernet (PoE) e cos via.
Visualizzazione del riepilogo di sistema

Visualizzazione del riepilogo di sistema Per visualizzare le informazioni di sistema, fare clic su Stato e statistiche > Riepilogo di sistema. Si apre la System Summary Page. Nella pagina Riepilogo di sistema vengono visualizzate le informazioni sul sistema e sull'hardware.
44

Informazioni di sistema: Descrizione sistema: una descrizione del sistema. Percorso di sistema: posizione fisica dello switch. Fare clic su Modifica per andare nella System Settings Page per immettere questo valore. Contatto del sistema: nome di una persona di riferimento. Fare clic su Modifica per andare nella System Settings Page per immettere questo valore. Nome host: nome dello switch. Fare clic su Modifica per andare nella System Settings Page per immettere questo valore. Per impostazione predefinita, il nome host dello switch composto dalla parola switch concatenata con gli ultimi tre importanti byte dell'indirizzo MAC dello switch (le ultime sei cifre esadecimali a destra). ID oggetto del sistema: identificazione del produttore esclusivo del sottosistema di gestione di rete contenuto nell'entit (utilizzato in SNMP). Disponibilit del sistema: il tempo trascorso dall'ultimo riavvio. Ora corrente: ora di sistema corrente. Indirizzo MAC di base: indirizzo MAC dello switch. Frame jumbo: stato di supporto del frame jumbo. Questo supporto pu essere attivato o disattivato utilizzando la Port Settings Page.
Informazioni sulla versione hardware e firmware: Descrizione modello: descrizione del modello dello switch. Numero di serie: numero di serie. PID VID : numero di parte e ID versione. Versione firmware (immagine attiva) : numero di versione firmware dell'immagine attiva. Checksum firmware MD5 (immagine attiva) : checksum MD5 dell'immagine attiva. Versione firmware (immagine non attiva) : numero di versione firmware dell'immagine non attiva. . Checksum firmware MD5 (immagine non attiva) : checksum MD5 dell'immagine non attiva. Vers. procedura di avvio: numero vers. procedura di avvio. Checksum avvio MD5: checksum MD5 della vers. procedura di avvio.
45

Impostazioni locali: impostazioni locali della prima lingua (sono sempre Inglese). Versione lingua: versione firmware del pacchetto della lingua principale. Checksum lingua MD5: checksum MD5 del file di lingua. Impostazioni locali: impostazioni locali della seconda lingua. Versione lingua: versione firmware del pacchetto della lingua secondaria. Checksum lingua MD5: checksum MD5 del file di lingua secondaria.
Stato PoE generale nei modelli con funzionalit PoE: Potenza disponibile massima (W) : potenza disponibile massima che pu essere fornita dal PoE. Assorbimento principale (W) : potenza PoE corrente offerta ai dispositivi PoE connessi. Stato operativo del sistema: modalit di alimentazione PoE.
Configurazione delle impostazioni di sistema

Per immettere le impostazioni di sistema, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Impostazioni di sistema. Si apre la System
Settings Page.
PASSAGGIO 2 Modificare le impostazioni di sistema.
Descrizione sistema: visualizza una descrizione dello switch. Percorso di sistema: immettere la posizione fisica dello switch. Contatto del sistema: immettere il nome di una persona di riferimento. Nome host: selezionare il nome host: Usa predefinito: il nome host (nome di sistema) predefinito di questi switch : switch123456, dove 123456 rappresenta gli ultimi tre byte dell'indirizzo MAC dello switch in formato esadecimale. Definito dall'utente: immettere il nome host. Utilizzare solo lettere, cifre e trattini. I nomi host non possono iniziare o finire con un trattino. Non sono consentiti altri simboli, punteggiatura o spazi bianchi (come specificato in RFC1033, 1034, 1035).
46

Modelli di switch
PASSAGGIO 3 Fare clic su Applica per impostare i valori nella Configurazione di esecuzione.
Modelli di switch
possibile gestire completamente tutti i modelli attraverso l'utilit di configurazione dello switch basata sul Web. Livello 2 la modalit operativa predefinita di tutti i dispositivi. In modalit Livello 2, lo switch reindirizza i pacchetti come un bridge in grado di rilevare reti VLAN. In modalit Livello 3, lo switch esegue il routing IPv4 e il bridging in grado di rilevare reti VLAN. possibile impostare ogni modello sulla modalit Livello 3 utilizzando la interfaccia da console, descritta nel capitolo Interfaccia menu Console della guida all'amministrazione. Quando lo switch funziona in modalit Livello 3, il limite velocit in ingresso VLAN e i monitoraggi QoS non funzionano. Le altre funzioni della modalit avanzata QoS funzionano.
Modelli di switch gestiti

Nome modello ID prodotto (PID) Descrizione Porte Alimentazi one riservata a PoE N. di porte che supportano PoE
SG 300-10 SG 300-10MP
SRW2008-K9 SRW2008MPK9 SRW2008P-K9
Gigabit a 10 porte. PoE gigabit a 10 porte.
g1-g10, 8 GE + 2 porte combo (GE/ SFP). g1-g10, 8 GE + 2 porte combo. Al massimo 124 W Al massimo 62 W 8
SG 300-10P
PoE gigabit a 10 porte.
g1-g10, 8 GE + 2 porte combo.
SG 300-20 SG 300-28 SG 300-28P
SRW2016-K9 SRW2024-K9 SRW2024P-K9
Gigabit a 20 porte. Gigabit a 28 porte. PoE gigabit a 28 porte.
g1-g20, 16 GE + 4 slot SFP condivisi con 2 GE. g1-g28. 24 porte regolari e quattro speciali: collegamenti e porte combo. g1-g28. 24 porte regolari e quattro speciali: collegamenti e porte combo. Al massimo 180 W 24
47

Modelli di switch
5
Alimentazi one riservata a PoE N. di porte che supportano PoE
Modelli di switch gestiti (Continua)

Nome modello ID prodotto (PID) Descrizione Porte
SG 300-52 SF 300-08 SF 302-08 SF 302-08MP
SRW2048-K9 SRW208-K9 SRW208G-K9 SRW208MP-K9
Gigabit a 52 porte. 10/100 a 8 porte. 10/100 a 8 porte. PoE 10/100 a 8 porte.
g1-g52. 48 porte regolari e quattro speciali: collegamenti e porte combo. e1-e8. 10/100 a 8 porte. e1-e8, g1-g2. 10/1000 a 8 porte pi due porte 10/100/1000. e1-e8, g1-g2. 10/1000 a 8 porte pi due porte 10/100/1000. e1-e8, g1-g2. 10/1000 a 8 porte pi due porte 10/100/1000. e1-e24, g1-g4. 24 porte 10/100 regolari pi quattro speciali 10/100/ 1000: collegamenti e porte combo. e1-e24, g1-g4. 24 porte 10/100 regolari pi quattro speciali 10/100/ 1000: collegamenti e porte combo. e1-e48, g1-g4. 48 porte 10/100 regolari pi quattro speciali 10/100/ 1000: collegamenti e porte combo. e1-e48, g1-g4. 48 porte 10/100 regolari pi quattro speciali 10/100/ 1000: collegamenti e porte combo. Al massimo 375 W 48 Al massimo 180 W 24 Al massimo 124 W Al massimo 62 W 8
SF 302-08P
SRW208P-K9
PoE 10/100 a 8 porte.
SF 300-24
SRW224G4-K9
10/100 a 24 porte.
SF 300-24P
SRW224G4P-K9
SF 300-48
SRW248G4-K9
Gigabit a 48 porte.
SF 300-48P
SRW248G4P-K9
48

Riavvio dello switch
Riavvio dello switch

Alcune modifiche della configurazione, come l'attivazione del supporto del frame jumbo, affinch diventino effettive richiedono il riavvio del sistema. Tuttavia, riavviando lo switch la Configurazione di esecuzione viene eliminata, quindi importante salvarla nella Configurazione di avvio prima di riavviare lo switch. Facendo clic su Applica la configurazione non viene salvata nella Configurazione di avvio. Per ulteriori informazioni sui file e sui tipi di file, vedere la sezione File e tipi di file del capitolo Gestione dei file di sistema. possibile eseguire il backup della configurazione utilizzando Amministrazione > Salva/Copia configurazione oppure fare clic su Salva in alto alla finestra. inoltre possibile caricare la configurazione da un dispositivo remoto, vedere la sezione Download o backup di una configurazione o di un log del capitolo Gestione dei file di sistema. Per riavviare lo switch, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Riavvia. Si apre la Reboot Page . PASSAGGIO 2 Fare clic su uno dei pulsanti Riavvia.
Riavvia: lo switch viene riavviato. Dato che al riavvio dello switch tutte le informazioni non salvate nella Configurazione di esecuzione vengono eliminate, necessario fare clic su Salva nell'angolo superiore destro della finestra per conservare la configurazione corrente durante il processo di avvio (se l'opzione Salva non viene visualizzata, la Configurazione di esecuzione e corrisponde alla Configurazione di avvio e non necessaria nessuna azione). Riavvio con impostaz predefinite di fabbrica: lo switch viene riavviato utilizzando la configurazione con impostaz predefinite di fabbrica. Questo processo cancella il file di Configurazione di avvio; qualsiasi impostazione non salvata in un altro file con la selezione di questa azione verr cancellata.
!
ATTENZIONE Configurazione automatica DHCP deve essere disattivata ( attivata per
impostazione predefinita), altrimenti un file di configurazione potrebbe essere caricato da un server TFTP invece delle impostazioni predefinite di fabbrica. Lo switch viene riavviato.
49

Monitoraggio dello stato della ventola e della temperatura
Monitoraggio dello stato della ventola e della temperatura

Nella Health Page viene visualizzato lo stato della ventola e la temperatura in un SF 300-48P. SG 300-28P, SF 300-24P e SG 300-52 visualizzano solo lo stato della ventola. Per visualizzare i parametri di integrit dello switch, fare clic su Stato e statistiche > Integrit. Si apre la Health Page. Nella pagina Integrit vengono visualizzati i seguenti campi: Stato della ventola: stato della ventola. Temperatura: temperatura dello switch.
Definizione di timeout sessione inattiva

Il Timeout sessione inattiva configura gli intervalli di tempo in cui le sessioni di gestione possono rimanere inattive prima che avvenga il timeout e che l'utente acceda di nuovo per ristabilire una delle seguenti sessioni: Timeout sessione HTTP Timeout sessione HTTPS Timeout sessione Console Timeout sessione Telnet Timeout sessione SSH
Per immettere il timeout sessione inattiva di diversi tipi di sessione, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Timeout sessione inattiva. Si apre il Timeout
sessione inattiva.
PASSAGGIO 2 Selezionare il timeout per ogni sessione dall'elenco corrispondente. I timeout
predefiniti sono 10 minuti.

PASSAGGIO 3 Fare clic su Applica per impostare le impostazioni della configurazione nello switch.
6
Ora di sistema
La sincronizzazione dell'ora di rete importante perch ogni aspetto della gestione, della protezione, della pianificazione e del debug di una rete comporta la determinazione di quando avverranno gli eventi. L'ora fornisce inoltre l'unico frame di riferimento tra tutti i dispositivi della rete. Senza l'ora di sincronizzazione, mettere in relazione in modo preciso i file di log tra questi dispositivi difficile, se non impossibile. Alcuni motivi specifici includono, rilevamento degli accessi non autorizzati, utilizzo della rete. quasi impossibile rilevare i problemi che colpiscono un gran numero di componenti se i timestamp nei log non sono precisi. L'ora riduce inoltre la confusione nei file system condivisi, dato che importante che gli orari delle modifiche siano coerenti, indipendentemente dalla macchina in cui risiedono i file system. Per questi motivi importante che l'ora configurata in tutti i dispositivi della rete sia precisa.
NOTA Lo switch supporta il protocollo SNTP (Simple Network Time Protocol) e quando
attivato, lo switch sincronizza in modo dinamico l'ora dello switch con l'ora del server SNTP. Lo switch funziona solo come un client SNTP e non pu fornire servizi temporali ad altri dispositivi. In questo capitolo vengono descritte le opzioni per la configurazione dell'ora di sistema, del fuso orario e dell'ora legale (Daylight Savings Time, DST) e trattati i seguenti argomenti: Opzioni Ora di sistema Configurazione dell'ora di sistema Impostazione SNTP Definizione di autenticazione SNTP
51
Ora di sistema
Opzioni Ora di sistema
6
L'ora di sistema pu essere impostata manualmente dall'utente oppure dinamicamente utilizzando un server SNTP. Se viene scelto un server SNTP, le impostazioni manuali dell'ora vengono sovrascritte quando vengono stabilite le comunicazioni con il server. Durante il processo di avvio, lo switch configura sempre l'ora, il fuso orario e DST in qualche modo, o da DHCP, da SNTP, dai valori impostati manualmente o se tutto il resto non riesce, dalle impostazioni predefinite. Ora Per ottenere o impostare l'ora nello switch, sono disponibili i seguenti metodi: SNTP che garantisce una sincronizzazione dell'ora di rete dello switch precisa al millisecondo utilizzando un server SNTP per l'origine ora.
NOTA Senza l'ora di sincronizzazione, mettere in relazione in modo preciso i
Opzioni Ora di sistema
file di log tra dispositivi difficile, se non impossibile. Si consiglia di utilizzare SNTP per l'origine ora. Inserimento manuale dell'ora di sistema da parte dell'utente. Inserimento dell'ora dal computer che accede allo switch tramite l'utilit di configurazione del dispositivo. Se questa funzione attivata, lo switch utilizza l'ora di sistema del computer di configurazione, a meno che l'ora non sia stata configurata nello switch manualmente dall'utente o il supporto del server SNTP non sia disponibile o attivato.
NOTA Ricevere l'ora dal computer che sta configurando lo switch dovrebbe
essere l'ultima risorsa, ad esempio dopo un'interruzione dell'alimentazione quando non c' nessun'altra origine ora disponibile. Fuso orario e ora legale (DST) Fuso orario e DST possono essere impostati nello switch nei modi seguenti: Configurazione dinamica dello switch tramite un server DHCP, in cui: DST dinamica, quando attivata e disponibile, ha sempre la precedenza sulla configurazione manuale di DST. Se il server che fornisce i parametri di origine guasto o la configurazione dinamica viene disattivata dall'utente, vengono utilizzate le impostazioni manuali.
52
Ora di sistema
Configurazione dell'ora di sistema
6
Configurazione dinamica del fuso orario e di DST continua dopo la scadenza del periodo di validit dell'indirizzo IP. Configurazione manuale del fuso orario e di DST da parte dell'utente, in cui il fuso orario e DST impostati manualmente diventano il fuso orario e DST operativi, solo se la configurazione dinamica del fuso orario e di DST disattivata o non riesce.

Utilizzare la System Time Page per configurare l'ora, il fuso orario, DST e l'origine ora correnti. Se l'ora viene determinata manualmente, immettere l'ora manuale qui.
!
ATTENZIONE Lo switch non ha un orologio interno che aggiorna questo valore. Se l'ora di sistema
viene impostata manualmente e lo switch viene riavviato, le impostazioni manuali dell'ora devono essere immesse di nuovo. Per definire l'ora di sistema, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione> Impostazione ora > Ora di sistema. Si apre la
System Time Page.

Origine ora: selezionare l'origine utilizzata per impostare l'orologio di sistema. Usa impostazioni locali: l'ora di sistema viene immessa manualmente oppure viene acquisita dal computer di configurazione. Se questo pulsante di opzione selezionato, immettere le Impostazioni locali. Usa server SNTP: l'ora di sistema si ottiene da un server SNTP. Aggiungere inoltre un server SNTP e attivare la modalit Broadcast SNTP utilizzando la SNTP Settings Page. Applica l'autenticazione delle sessioni SNTP utilizzando la SNTP Authentication Page.
Origine ora alternativa: selezionare per impostare la data e l'ora da questo computer quando Usa impostazioni locali selezionato.
53
Ora di sistema
6
Ottieni fuso orario da DHCP: selezionare per attivare la configurazione dinamica del fuso orario e di DST dal server DHCP. La configurazione o meno di questi parametri dipende dalle informazioni trovate nel pacchetto DHCP. Se questa opzione attivata, necessario attivare anche il client DHCP nello switch. Per farlo, impostare il Tipo di indirizzo IP su Dinamico nella IPv4 Interface Page.
Impostazioni locali: l'ora locale viene utilizzata quando non c' un'origine di ora alternativa, come un server SNTP: Data: immettere la data di sistema. Ora locale: immettere l'ora di sistema. Offset fuso orario: selezionare la differenza in ore tra l'ora di Greenwich (GMT) e quella locale. Per esempio, l'offset fuso orario di Parigi GMT +1, mentre quello di New York GMT -5. Ora legale: selezionare Ora legale per attivare DST. Offset impostazione data: immettere il numero di minuti in cui fuso orario obbliga la modifica dell'ora. Tipo di Ora legale: selezionare come viene definita DST: USA : in base alle date utilizzate in USA Europeo: in base alle date utilizzate dall'Unione Europea e da altri Paesi che utilizzano questo standard. Per date: manualmente, di solito per un Paese diverso da USA o da un Paese europeo. Immettere i seguenti parametri: Da: giorno e ora di inizio di DST. A : giorno e ora di fine di DST. Ricorrente: DST si verifica nella stessa data ogni anno. Immettere i seguenti parametri: Da: data in cui ogni anno inizia DST. Giorno: giorno della settimana in cui ogni anno inizia DST. Settimana: settimana del mese in cui ogni anno inizia DST. Mese: mese dell'anno in cui ogni anno inizia DST. Ora: l'ora in cui ogni anno inizia DST.
54
Ora di sistema
Impostazione SNTP
6
A : data in cui ogni anno finisce DST. Per esempio, DST finisce localmente ogni quarto venerd di ottobre alle 5:00. I parametri sono: Giorno: giorno della settimana in cui ogni anno finisce DST. Settimana: settimana del mese in cui ogni anno finisce DST. Mese: mese dell'anno in cui ogni anno finisce DST. Ora: l'ora in cui ogni anno finisce DST.
PASSAGGIO 3 Fare clic su Applica. I valori dell'ora di sistema vengono definiti e lo switch viene
aggiornato. Le impostazioni dell'ora vengono visualizzate nel blocco Dettagli sull'ora attuale.
Impostazione SNTP
possibile configurare uno switch in modo da sincronizzare il suo orologio di sistema con un server SNTP utilizzando la SNTP Settings Page.
NOTA Affinch funzioni correttamente, questa funzione richiede che i server DNS siano
configurati nello switch (vedere la sezione Definizione dei server DNS). Lo switch supporta le seguenti modalit: Broadcast: il server SNTP trasmette l'ora e lo switch ascolta questi broadcast. Quando lo switch in questa modalit, non necessario definire un server SNTP unicast. Modalit server SNTP unicast: lo switch invia query unicast all'elenco di server SNTP configurati manualmente e attende una risposta.
Lo switch esegue il supporto con entrambe le modalit attive contemporaneamente, scegliendo l'origine migliore dei parametri in base allo strato pi vicino (distanza dall'orologio di riferimento).
55
Ora di sistema
Impostazione SNTP
6
Per definire le impostazioni del server SNTP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Impostazione ora > Impostazioni SNTP . Si apre la
SNTP Settings Page.

PASSAGGIO 2 (Facoltativo) Selezionare Ricezione broadcast SNTP > Attiva per ascoltare i
pacchetti di sincronizzazione broadcast SNTP per le informazioni sull'ora di sistema. Se questa opzione selezionata, il sistema non visualizza il server SNTP da cui vengono ricevuti i parametri dell'ora. In questa pagina vengono visualizzate le seguenti informazioni per ogni server SNTP unicast: Server SNTP: indirizzo IP del server SNTP. possibile definire un massimo di otto server SNTP. Il server preferito viene scelto in base al suo livello di strato. Intervallo di polling: intervallo (in secondi) con cui il server SNTP effettua il polling per le informazioni sull'ora di sistema. L'intervallo di polling 1024 secondi. ID chiave di autenticazione: chiave di identificazione utilizzata per comunicare tra il server SNTP e lo switch. Preferenza: priorit di utilizzo del server SNTP. Primario: server con il livello di strato pi basso. Livello di strato la distanza dall'orologio di riferimento. Le informazioni sull'ora vengono acquisite da questo server. Secondario: server con il livello di strato pi basso successivo dopo il server primario. Funziona come un backup al server primario. In corso: server SNTP che sta inviando o ricevendo le informazioni su SNTP.
Stato: stato del server SNTP. Le opzioni possibili sono: Attivo: server SNTP al momento funzionante normalmente. Disattivo: server SNTP al momento non disponibile. Sconosciuto: server SNTP al momento ricercato dallo switch.
Ultima risposta: data e ora dell'ultima volta che stata ricevuta una risposta da questo server SNTP.
56
Ora di sistema
Impostazione SNTP
6
Offset: l'offset stimato dell'orologio del server relativo all'orologio locale, in millisecondi. L'host determina il valore di questo offset utilizzando l'algoritmo descritto in RFC 2030. Ritardo: il ritardo di trasmissione stimato dell'orologio del server relativo all'orologio locale nel percorso di rete tra di essi, in millisecondi. L'host determina il valore di questo ritardo utilizzando l'algoritmo descritto in RFC 2030.
PASSAGGIO 3 Fare clic su Aggiungi per visualizzare la Add SNTP Server Page. PASSAGGIO 4 Immettere i seguenti parametri:
Definizione server : selezionare se il server SNTP in fase di identificazione da parte del suo indirizzo IP oppure se sta scegliendo un server SNTP noto per nome dall'elenco.
NOTA Per specificare un server SNTP noto, lo switch deve essere connesso
a Internet e configurato con un server DNS o configurato in modo che un server DNS venga identificato utilizzando DHCP (vedere la sezione Definizione dei server DNS). Versione IP: selezionare la versione dell'indirizzo IP: Versione 6 o Versione 4. Tipo di indirizzo IPv6: selezionare il tipo di indirizzo IPv6 (se IPv6 viene utilizzato). Le opzioni sono Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione. Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti.
Interfaccia locale collegamento: selezionare l'interfaccia locale collegamento (se Collegamento locale tipo di indirizzo IPv6 selezionato) dall'elenco. Indirizzo IP del server SNTP: immettere l'indirizzo IP del server SNTP. Il formato dipende dal tipo di indirizzo selezionato. Server SNTP: selezionare il nome del server SNTP da un elenco di server SNTP noti. Se viene scelto altro, immettere il nome del server SNTP nel campo adiacente.
57
Ora di sistema
Definizione di autenticazione SNTP
6
Intervallo di polling: selezionare per attivare il polling del server SNTP per le informazioni sull'ora di sistema. Di tutti i server SNTP registrati per il polling viene effettuato il polling e l'orologio viene selezionato dal server con il livello di strato pi basso (distanza dall'orologio di riferimento) raggiungibile. Il server con lo strato pi basso viene considerato il server primario. Il server con lo strato pi basso successivo viene considerato un server secondario e cos via. Se il server primario disattivo, lo switch effettua il polling di tutti i server con l'impostazione di polling attivata e seleziona un nuovo server primario con lo strato pi basso. Autenticazione: selezionare la casella di controllo per attivare l'autenticazione. ID chiave di autenticazione: se autenticazione attivata, selezionare il valore dell'ID della chiave (creare le chiavi di autenticazione utilizzando la SNTP Authentication Page).
PASSAGGIO 5 Fare clic su Applica. Il server STNP viene aggiunto e si viene ricondotti alla pagina
principale.

Nella SNTP Authentication Page viene consentita la configurazione delle chiavi di autenticazione utilizzate durante la comunicazione con un server SNTP che richiede autenticazione. Dopo essere stata creata, una chiave deve essere associata a uno o pi server SNTP appropriati per essere autenticata. Questa chiave di autenticazione pu essere utilizzata anche per l'autenticazione durante la ricezione della sincronizzazione Broadcast. Le sessioni SNTP potrebbero richiedere l'autenticazione. Un server SNTP unicast che richiede l'autenticazione deve essere associato a una chiave di autenticazione quando viene aggiunto utilizzando la Add SNTP Server Page. Per definire l'autenticazione SNTP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Impostazione ora > Autenticazione SNTP. Si apre
la SNTP Authentication Page.

PASSAGGIO 2 Selezionare Autenticazione SNTP per richiedere l'autenticazione di una sessione
SNTP tra lo switch e un server SNTP.
58
Ora di sistema
PASSAGGIO 3 Fare clic su Applica per aggiornare lo switch. PASSAGGIO 4 Fare clic su Aggiungi. Si apre la Add SNTP Authentication Page. PASSAGGIO 5 Immettere i seguenti parametri:
ID chiave di autenticazione: immettere il numero utilizzato per identificare questa chiave di identificazione SNTP internamente. Chiave di autenticazione: immettere la chiave utilizzata per l'autenticazione (massimo otto caratteri). Il server SNTP deve inviare questa chiave affinch si sincronizzi con lo switch. Chiave affidabile: selezionare la casella di controllo per consentire allo switch di ricevere informazioni sulla sincronizzazione broadcast solo da un server SNTP utilizzando questa chiave di autenticazione.
PASSAGGIO 6 Fare clic su Applica. L'autenticazione SNTP viene definita e lo switch viene
aggiornato.
59
7
Gestione diagnostica del dispositivo
In questo capitolo vengono presentate le informazioni per la configurazione del mirroring delle porte, per l'esecuzione dei test sui cavi e per la visualizzazione delle informazioni operative sul dispositivo e trattati i seguenti argomenti: Test delle porte in rame Visualizzazione dello stato Modulo ottico Configurazione del mirroring di porte e VLAN Visualizzazione dell'utilizzo di CPU
Test delle porte in rame

Nella Copper Ports Page vengono visualizzati i risultati dei test sui cavi integrati eseguiti in cavi in rame. Vengono utilizzati due tipi di test: La tecnologia TDR (Time Domain Reflectometry) verifica la qualit e le caratteristiche di un cavo in rame collegato a una porta. possibile provare cavi con una lunghezza massima di 100 metri. I test basati su DSP vengono eseguiti in collegamenti attivi GE per misurare la lunghezza.
!
ATTENZIONE Quando viene provata una porta, viene impostata sullo stato Inattivo e le
comunicazione vengono interrotte. Dopo il test, la porta torna allo stato Attivo. Non si consiglia di eseguire il test sulle porte in rame in una porta che si sta utilizzando per eseguire l'utilit di configurazione dello switch basata sul Web, perch le comunicazioni con quel dispositivo sono compromesse.
60

Per provare i cavi in rame collegati alle porte, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Diagnostica > Porte in rame. Si apre la Copper
Ports Page . In questa pagina vengono visualizzati i risultati dei test di base eseguiti in precedenza.
PASSAGGIO 2 Per eseguire un test di base, selezionare una porta dall'elenco di porte e fare clic
su Test di base. Viene visualizzato un messaggio che indica che il test causa l'inattivit del collegamento per qualche secondo.
PASSAGGIO 3 Fare clic su OK per confermare che il collegamento pu diventare inattivo o su
Annulla per interrompere il test. I risultati vengono visualizzati nella pagina: Risultato test: risultati del test sui cavi. Le opzioni disponibili sono: OK : il cavo ha superato il test. Nessun cavo: non presente un cavo collegato alla porta. Cavo aperto: il cavo collegato solo a una estremit. Cortocircuito cavo: si verificato un cortocircuito sul cavo. Risultato test sconosciuto: si verificato un errore di sistema.
Distance to Fault: distanza dalla porta alla posizione del cavo in cui stato rilevato l'errore. Lunghezza del cavo: lunghezza stimata del cavo, disponibile solo per i collegamenti da 1 GB, escluse le porte Combo. Vedere la spiegazione nella sezione Cable Length Description.
NOTA La lunghezza del cavo Sconosciuta quando sono attive le funzioni
in verde. Ultimo aggiornamento: ora dell'ultimo test condotto nella porta.
PASSAGGIO 4 Per eseguire il Test avanzato in tutte le porte GE, fare clic su Test avanzato. Si apre
la Copper Cable Extended Feature Page.

NOTA Per evitare risultati sconosciuti nel Test avanzato, eseguire prima il
Test di base.
61

In questa pagina vengono visualizzati i risultati del test pi recente: Porta: identificatore della porta. Stato del cavo: stato del cavo. Velocit: velocit di collegamento. Stato del collegamento: stato corrente del collegamento Attivo/Inattivo. Coppia: coppie di cavi elettrici in fase di verifica. Distance to Fault: distanza tra la porta e la posizione del cavo in cui stato rilevato l'errore. Stato: stato della coppia di cavi elettrici. Il rosso indica l'errore e il verde indica lo stato OK. Lunghezza del cavo: lunghezza del cavo in metri. Se il link inattivo, per provare le porte GE e FE viene utilizzata la tecnologia TDR. Le misurazioni della lunghezza del cavo sono accurate nell'intervallo di 3-4 metri. Se il link attivo, per provare le porte GE viene utilizzata la tecnologia DSP (il test per la lunghezza delle porte FE non viene eseguito). I valori restituiti sono: 1: meno di 50 metri 2: da 50 a 80 metri 3: da 80 a 110 metri 4: da 110 a 140 metri 5: pi di 140 metri
Canale: canale del cavo. Polarit: indica se il rilevamento e la correzione automatici della polarit sono stati attivati per la coppia di cavi elettrici. Alterazione segnale coppia: differenza del ritardo tra le coppie di cavi elettrici.
PASSAGGIO 5 Fare clic su Chiudi per chiudere la finestra.
62

Visualizzazione dello stato Modulo ottico
Visualizzazione dello stato Modulo ottico

Nella Optical Module Status Page vengono visualizzate le condizioni operative riportate dal ricetrasmettitore SFP (Small Form-factor Pluggable). Alcune informazioni potrebbero non essere disponibili per gli SFP che non supportano lo standard SFF-8472 del monitoraggio della diagnostica digitale. SFP compatibili con MSA Sono supportati i seguenti ricetrasmettitori FE SFP (100 Mbps): MFEBX1: ricetrasmettitore 100BASE-BX-20U SFP per cavo in fibra ottica monomodale, lunghezza d'onda 1310 nm, supporta fino a 20 km. MFEFX1: ricetrasmettitore 100BASE-FX SFP per cavo in fibra ottica multimodale, lunghezza d'onda 1310 nm, supporta fino a 2 km. MFELX1: ricetrasmettitore 100BASE-LX SFP per cavo in fibra ottica monomodale, lunghezza d'onda 1310 nm, supporta fino a 10 km.
Sono supportati i seguenti ricetrasmettitori GE SFP (1000 Mbps): MGBBX1: ricetrasmettitore 1000BASE-BX-20U SFP per cavo in fibra ottica monomodale, lunghezza d'onda 1310 nm, supporta fino a 40 km. MGBLH1: ricetrasmettitore 1000BASE-LH SFP per cavo in fibra ottica monomodale, lunghezza d'onda 1310 nm, supporta fino a 40 km. MGBLX1: ricetrasmettitore 1000BASE-LX SFP per cavo in fibra ottica monomodale, lunghezza d'onda 1310 nm, supporta fino a 10 km. MGBSX1: ricetrasmettitore 1000BASE-SX SFP per cavo in fibra ottica multimodale, lunghezza d'onda 850 nm, supporta fino a 550 m. MGBT1: ricetrasmettitore 1000BASE-T SFP per cavo in rame della categoria 5, supporta fino a 100 m.
Per visualizzare i risultati dei test ottici, fare clic su Amministrazione > Diagnostica > Stato modulo ottico. Si apre la Optical Module Status Page . In questa pagina vengono visualizzati i seguenti campi: Porta: numero della porta su cui connesso SFP. Temperatura: temperatura (Celsius) a cui opera l'SFP. Tensione: tensione operativa dell'SFP.
63

Configurazione del mirroring di porte e VLAN
Corrente: assorbimento corrente dell'SFP. Potenza di uscita: potenza ottica trasmessa. Potenza di entrata: potenza ottica ricevuta. Errore trasmettitore: SFP remoto segnala perdita di segnale. I valori sono Vero, Falso e Nessun segnale (N/S). Perdita del segnale: SFP locale segnale perdita di segnale. I valori sono Vero e Falso. Data Ready : SFP operativo. I valori sono Vero e Falso

Mirroring di porte utilizzato su uno switch di rete per inviare una copia dei pacchetti di rete visualizzati in una porta dello switch, in pi porte dello switch o su una VLAN intera per una connessione di monitoraggio di rete in un'altra porta dello switch. Di solito utilizzata per le macchine di rete che richiedono il monitoraggio del traffico di rete come un sistema di identificazione di intrusione. Un analizzatore di rete connesso alla porta di monitoraggio visualizza i pacchetti di dati per la diagnosi, il debug e il monitoraggio delle prestazioni. possibile eseguire il mirroring di fino a otto fonti. Pu essere qualsiasi combinazione di otto porte singole e/o VLAN. Di un pacchetto ricevuto in una porta di rete assegnata a una VLAN soggetta al mirroring, viene eseguito il mirroring nella porta dell'analizzatore anche se per il pacchetto stato eseguito il trap o l'eliminazione. Dei pacchetti inviati dallo switch viene eseguito il mirroring quando attivato il mirroring Tx (Transmit) . Il mirroring non garantisce che tutto il traffico delle porte di origine venga ricevuto nella porta dell'analizzatore (di destinazione). Se alla porta dell'analizzatore vengono inviati pi dati di quelli che pu supportare, alcuni dati potrebbero andare persi. Il mirroring VLAN non attivo in una VLAN non creata. Per esempio, se VLAN 23 stata creata da GVRP e poi rimossa dal database VLAN per qualsiasi motivo ed stata creata manualmente VLAN 34 e si crea il mirroring della porta che include VLAN 23, VLAN 34 o entrambe e poi si elimina VLAN 34, lo stato nel mirroring della porta impostato su Non pronto perch le VLAN non si trovano pi nel database. supportata solo un'istanza di mirroring a livello di sistema. La porta dell'analizzatore (o porta di destinazione per il mirroring di VLAN o di porte) la stessa per tutte le VLAN o le porte di cui stato eseguito il mirroring.

Per attivare il mirroring di porte e VLAN, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Amministrazione > Diagnostica > Mirroring di porte e VLAN. Si apre
la Port and VLAN Mirroring Page. In questa pagina vengono visualizzati i seguenti campi: Porta di destinazione: porta in cui deve essere copiato il traffico; la porta dell'analizzatore. Interfaccia di origine: interfaccia, porta o VLAN da cui viene inviato il traffico alla porta dell'analizzatore. Tipo: tipo di monitoraggio: in ingresso nella porta, in uscita dalla porta o entrambi. Stato: se l'interfaccia attiva o inattiva.
PASSAGGIO 2 Fare clic su Aggiungi per aggiungere una porta o una VLAN di cui eseguire il
mirroring. Si apre la Add Port/VLAN Mirroring Page.

PASSAGGIO 3 Immettere i parametri:
Porta di destinazione: selezionare la porta dell'analizzatore in cui vengono copiati i pacchetti. Un analizzatore di rete, come un PC che esegue Wireshark, connesso a questa porta. Una porta identificata come la porta di destinazione di un analizzatore, rimane la porta di destinazione dell'analizzatore fino a quando tutte le voci non vengono rimosse. Interfaccia di origine: selezionare porta o VLAN come la porta o la VLAN di origine da cui deve essere eseguito il mirroring del traffico. Tipo: selezionare se viene eseguito il mirroring di in entrata, in uscita o di entrambi i tipi di traffico nella porta dell'analizzatore. Se Porta selezionato, le opzioni sono: Solo Rx: mirroring della porta nei pacchetti in entrata. Solo Tx: mirroring della porta nei pacchetti in uscita. Tx e Rx: mirroring della porta in entrambi i pacchetti in entrata e in uscita.
PASSAGGIO 4 Fare clic su Applica. Il mirroring della porta viene aggiunto e lo switch viene
aggiornato.
65

Visualizzazione dell'utilizzo di CPU
Visualizzazione dell'utilizzo di CPU

Nella pagina Utilizzo di CPU viene visualizzato l'utilizzo del CPU dello switch. possibile attivare o disattivare il monitoraggio dell'utilizzo di CPU e configurare la frequenza con cui viene aggiornato il grafico. Per attivare e visualizzare l'utilizzo di CPU, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Diagnostica > Utilizzo di CPU. Si apre la CPU
Utilization Page.
PASSAGGIO 2 Selezionare Utilizzo di CPU per attivare la visualizzazione delle informazioni
sull'utilizzo della risorsa CPU.

PASSAGGIO 3 Selezionare la Frequenza aggiornamento (periodo di tempo in secondi) che
trascorre prima che le statistiche vengano aggiornate. Per ogni periodo di tempo viene creato un nuovo esempio. Nella finestra viene visualizzato un grafico dell'utilizzo di CPU. L'asse Y rappresenta la percentuale di utilizzo mentre l'asse X il numero dell'esempio.
66
8
Configurazione del rilevamento
In questo capitolo vengono fornite le informazioni per la configurazione del Rilevamento e trattati i seguenti argomenti: Configurazione del rilevamento Bonjour Configurazione di LLDP

Come client Bonjour, lo switch trasmette periodicamente i pacchetti del protocollo Rilevamento Bonjour alle sottoreti IP a connessione diretta, dichiarando la sua esistenza e i servizi che fornisce, per esempio HTTP, HTTPS e Telnet (utilizzare la pagina Sicurezza > Servizi TCP/UDP per attivare o disattivare i servizi dello switch). Lo switch pu essere rilevato da un sistema di gestione di rete o da altre applicazioni di terze parti. Per impostazione predefinita, Bounjour attivato per essere eseguito nella Gestione VLAN. La console Bonjour rileva automaticamente il dispositivo e lo visualizza.
Bonjour per un sistema in modalit Livello 2

Bonjour per un sistema in modalit Livello 2 Quando lo switch in modalit Livello 2, Rilevamento Bonjour attivato a livello globale; non possibile attivarlo in base alla porta o alla VLAN. Lo switch dichiara tutti i servizi attivati dall'amministratore: HTTP, HTTPS, Telnet e SSH. Quando Rilevamento Bonjour e IGMP sono entrambi attivati, l'indirizzo multicast IP di Bonjour viene visualizzato nella IP Multicast Group Address Page. Quando Rilevamento Bonjour disattivato, lo switch interrompe gli annunci di qualsiasi tipo di servizio e non risponde alle richieste di servizio da parte delle applicazioni di gestione di rete.
67

Per attivare Bonjour a livello globale quando lo switch in modalit Livello 2, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Rilevamento - Bonjour. Si apre la Discovery -
Bonjour Page.
PASSAGGIO 2 Selezionare Attiva per attivare Rilevamento Bonjour a livello globale nello switch. PASSAGGIO 3 Fare clic su Applica. Bonjour viene attivato o disattivato nello switch in base alla
selezione.
Bonjour per un sistema in modalit Livello 3

Bonjour per un sistema in modalit Livello 3 In modalit Livello 3, a ogni interfaccia (VLAN, porta o LAG) pu essere assegnato un indirizzo IP. Quando Bonjour attivato, lo switch pu inviare i pacchetti Rilevamento Bonjour su tutte le interfacce con indirizzi IP (passare a Configurazione IP > Interfaccia IP e di gestione > Interfaccia IPv4 per configurare un indirizzo IP in un'interfaccia). possibile attivare Rilevamento Bonjour per le singole interfacce. Se un'interfaccia, ad esempio una VLAN, viene rilevata, i pacchetti Goodbye vengono inviati per annullare la registrazione dei servizi che lo switch sta dichiarando dalla tabella della cache all'interno della rete locale (vedere la tabella Controllo interfaccia rilevamento Bonjour nella pagina Amministrazione > Rilevamento - Bonjour). Se i servizi disponibili vengono modificati, queste modifiche vengono dichiarate, annullando la registrazione dei servizi disattivati e registrando i servizi attivi. Se un indirizzo IP viene modificato, questa modifica viene dichiarata. Per impostazione predefinita, Bounjour attivato in tutte le interfacce che fanno parte di Gestione VLAN. Se Bonjour disattivato, lo switch non invia nessun annuncio Rilevamento Bonjour e non ascolta gli annunci Rilevamento Bonjour inviati da altri dispositivi.
68

Per configurare Bonjour quando lo switch in modalit Livello 3, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su > Amministrazione > Rilevamento - Bonjour. Si apre la Discovery-
Bonjour Page.
PASSAGGIO 2 Selezionare le interfacce da attivare o disattivare e da aggiungere a o eliminare
dalla tabella Controllo interfaccia rilevamento Bonjour. Rilevamento Bonjour pu essere attivato solo sulle interfacce con un indirizzo IP.
PASSAGGIO 3 Fare clic su Aggiungi per attivare un'interfaccia e aggiungerla alla tabella Controllo
interfaccia rilevamento Bonjour. Fare clic su Elimina per disattivare un'interfaccia e rimuoverla dalla tabella Controllo interfaccia rilevamento Bonjour.
PASSAGGIO 4 Fare clic su Applica. Viene visualizzato un popup che indica se l'attivazione o la
disattivazione di Bonjour nelle interfacce riuscita.

PASSAGGIO 5 Fare clic su Applica. Bonjour viene attivato o disattivato nelle interfacce aggiunte.
LLDP (Link Layer Discovery Protocol) consente ai responsabili di rete di risolvere problemi e migliorare la gestione di rete rilevando e mantenendo le topologie di rete in ambienti multi-vendor. LLDP rileva router di rete adiacenti standardizzando i metodi con cui i dispositivi di rete si dichiarano ad altri sistemi e memorizzano le informazioni rilevate. LLDP consente a un dispositivo di dichiarare la propria identificazione, configurazione e le proprie funzionalit ai dispositivi adiacenti che memorizzano poi i dati in un MIB (Management Information Base). Il sistema di gestione di rete modella la topologia della rete interrogando questi database MIB. Il protocollo LLDP funziona nel Livello 2 trasmettendo frame multicast da ogni porta. Questi sono definiti come Protocol Data Unit (PDU o PDU LLDP) e vengono elaborati da dispositivi in grado di rilevare il protocollo LLDP. La PDU LLDP comprende TLV (tuple tipo-lunghezza-valore) contenenti le informazioni trasmesse dal dispositivo. possibile configurare i tipi di TLV da trasmettere.
69

Il protocollo LLDP ha un'estensione chiamata LLDP-MED (LLDP Media Endpoint Discovery) che fornisce e accetta le informazioni dei dispositivi vocali o video. Per ulteriori informazioni su LLDP-MED, vedere la sezione Protocollo LLDP MED. Flusso di lavoro della configurazione di LLDP Di seguito sono presentati esempi delle azioni che possibile eseguire con la funzione LLDP: 1. Attivare LLDP a livello globale (LLDP viene attivato per impostazione predefinita) e immettere i parametri globali LLDP, come l'intervallo di tempo per l'invio di aggiornamenti LLDP, utilizzando la LLDP Properties Page. 2. Configurare LLDP in base all'interfaccia utilizzando la Port Settings Page. 3. Creare i criteri di rete LLDP MED utilizzando la LLDP MED Network Policy Page. 4. Associare i criteri di rete LLDP MED alle porte utilizzando la LLDP MED Port Settings Page. 5. Visualizzare i dettagli dello stato delle porte locali LLDP utilizzando la LLDP
Local Information Page.

6. Visualizzare le informazioni LLDP rilevate dai router adiacenti, come la porta locale, il nome di sistema, la durata, la descrizione del sistema, le funzionalit del sistema utilizzando la LLDP Neighbors Information Page. 7. Visualizzare tutte le informazioni statistiche relative a LLDP in base all'interfaccia utilizzando la LLDP Statistics Page. 8. Visualizzare le informazioni relative al sovraccarico utilizzando la LLDP Overloading Page.
Impostazione delle propriet LLDP

La pagina Propriet LLDP consente l'immissione dei parametri generali LLDP. Sono inclusi l'attivazione/la disattivazione della funzione a livello globale e l'impostazione dei timer. Per immettere le propriet LLDP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Rilevamento - LLDP > Propriet. Si apre la LLDP
Properties Page.
Stato LLDP: selezionare lo stato globale di LLDP nello switch.
70

Intervallo dichiarazione TLV: immettere la velocit in secondi con cui vengono inviati gli aggiornamenti degli annunci LLDP. Intervallo di notifica SNMP della modifica alla topologia: immettere l'intervallo di tempo minimo tra le notifiche SNMP. Moltiplicatore di sospensione: immettere il tempo per il quale i pacchetti LLDP vengono conservati prima di essere eliminati, misurato in multipli dell'intervallo dichiarazione TLV. Per esempio, se l'Intervallo dichiarazione TLV di 30 secondi e il Moltiplicatore di sospensione 4, i pacchetti LLDP vengono eliminati dopo 120 secondi. Ritardo di reinizializzazione: immettere l'intervallo di tempo in secondi che trascorre tra la disattivazione e la reinizializzazione di LLDP, seguendo un ciclo di attivazione/disattivazione di LLDP. Ritardo di trasmissione: immettere quanto tempo in secondi trascorre tra le trasmissioni di frame LLDP successivi a causa di modifiche nel MIB dei sistemi locali LLDP.
Per una descrizione di LLDP MED, fare riferimento alla sezione Protocollo LLDP MED.
PASSAGGIO 3 Nel campo Numero di ripetizione avvio rapido, immettere il numero di volte che i
pacchetti LLDP vengono inviati durante l'inizializzazione del meccanismo Avvio rapido di LLDP-MED. Avviene quando un nuovo dispositivo di punto terminale si collega allo switch.
PASSAGGIO 4 Fare clic su Applica. Vengono definite le propriet LLDP.
Modifica delle impostazioni della porta LLDP

Nella Port Settings Page viene consentita l'attivazione della notifica LLDP e SNMP in base alla porta e l'immissione dei TLV inviati alla PDU LLDP. Impostando queste propriet possibile fornire diversi tipi di informazioni ai dispositivi che supportano il protocollo LLDP. I TLV di LLDP-MED da dichiarare possono essere selezionati nella LLDP MED Port Settings Page.
71

Per definire le impostazioni della porta LLDP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Rilevamento - LLDP > Impostazioni porte. Si
apre la Port Settings Page. In questa pagina vengono visualizzate le informazioni su LLDP della porta.
PASSAGGIO 2 Selezionare una porta e fare clic su Modifica. Si apre la Edit LLDP Port Settings
Page. In questa pagina vengono forniti i seguenti campi: Interfaccia: selezionare la porta da definire. Stato amministrativo: selezionare l'opzione di pubblicazione di LLDP della porta. I valori sono: Solo Tx: esegue solo pubblicazioni ma non rilevamenti. Solo Rx: esegue rilevamenti ma non pubblicazioni. Tx e Rx: esegue pubblicazioni e rilevamenti. Disattiva: indica che LLDP disattivato sulla porta.
Notifica SNMP: selezionando Attiva le notifiche vengono inviate ai destinatari delle notifiche SNMP, per esempio un sistema di gestione SNMP, quando avviene una modifica alla topologia. L'intervallo di tempo tra le notifiche viene immesso nel campo Intervallo di notifica SNMP della modifica alla topologia della LLDP Properties Page. Definire Destinatari delle notifiche SNMP utilizzando SNMP > Destinatario delle notifiche v1,2 e/o SNMP > Destinatario delle notifiche v3.
TLV facoltativi disponibili: selezionare le informazioni che possono essere pubblicate dallo switch spostando il TLV nell'elenco TLV facoltativi selezionati. I TLV disponibili contengono le seguenti informazioni: Descrizione porta: informazioni sulla porta, inclusi il produttore, il nome del prodotto e la versione hardware/software. Nome sistema: nome assegnato del sistema (in formato alfanumerico). Il valore uguale all'oggetto sysName. Descrizione sistema: descrizione dell'entit di rete (in formato alfanumerico). Include il nome del sistema e le versioni dell'hardware, il sistema operativo e il software di rete supportato dallo switch. Il valore uguale all'oggetto sysDescr.
72

8
Funzionalit del sistema: funzioni principali dello switch e se sono attivate o meno nello switch. Le funzionalit sono indicate da due ottetti. I bit da 0 a 7 indicano rispettivamente Altro, Repeater, Bridge, WLAN AP, Router, Telefono, Dispositivo cavo DOCSIS e stazione. I bit da 8 a 15 sono riservati. 802.3 MAC-PHY: la funzionalit duplex e velocit bit e le impostazioni correnti duplex e velocit bit del dispositivo di invio. Indica inoltre se le impostazioni correnti sono dovute alla negoziazione automatica o alla configurazione manuale. Aggregazione collegamenti 802.3: se possibile aggregare il collegamento (associato alla porta in cui viene trasmessa PDU LLDP). Indica inoltre se il collegamento attualmente aggregato e, in caso affermativo, fornisce l'identificatore della porta aggregata. Frame massimo 802.3: funzionalit delle dimensioni massime del frame dell'implementazione MAC/PHY.
I seguenti campi sono correlati all'Indirizzo di gestione: Modalit dichiarazione: selezionare uno dei seguenti modi per dichiarare l'indirizzo di gestione IP dello switch: Dichiarazione automatica: inviare l'indirizzo IP di gestione corrente dello switch, indipendentemente dal fatto che sia stato acquisito tramite DHCP o manualmente. Nessuno: non dichiarare l'indirizzo IP di gestione. Dichiarazione manuale: selezionare questa opzione e l'indirizzo IP di gestione da dichiarare. Si consiglia di selezionare questa opzione quando lo switch in modalit Livello 3 e lo switch configurato con indirizzi IP multipli.
Indirizzo IP: se stata selezionata l'opzione Dichiarazione manuale, selezionare l'indirizzo IP di gestione dagli indirizzi forniti.
PASSAGGIO 3 Immettere le informazioni richieste e fare clic su Applica. Le impostazioni della
porta vengono modificate e lo switch viene aggiornato.
73

Protocollo LLDP MED

LLDP-MED (LLDP Media Endpoint Discovery) un miglioramento di LLDP che
fornisce ulteriori funzionalit per supportare i dispositivi multimediali. LLDP-MED: Fornisce informazioni dettagliate sulla topologia di rete, inclusi i dispositivi posizionati nella rete e la loro posizione, per esempio, quale telefono IP connesso a quale porta, quale software in esecuzione in quale switch e quale porta connessa a quale PC. Rilevamento della posizione del dispositivo per consentire la creazione di database e, nel caso di Voice over Internet Protocol (VoIP), Emergency Call Service (E-911) utilizzando le informazioni sulla posizione del telefono IP. Fornisce informazioni sulle procedure di risoluzione dei problemi. LLDP MED invia avvisi ai responsabili di rete: Conflitti tra velocit della porta e modalit duplex Errori di configurazione dei criteri QoS
NOTA Lo switch dichiara automaticamente il criterio conforme alla configurazione;
tuttavia, inoltre necessario configurare manualmente lo switch in modo che utilizzi questo criterio.
Impostazione dei criteri di rete LLDP MED

I criteri di rete LLDP-MED sono una serie di impostazioni di configurazione correlate identificate da un numero di criterio di rete. Questa serie viene caricata in un TLV di LLDP-MED e inviata ai dispositivi connessi allo switch. Tali informazioni vengono utilizzate dal dispositivo connesso per inviare traffico, come specificato nel criterio di rete. Per esempio, possibile creare un criterio per i telefoni VoIP che illustra come: Inviare traffico vocale alla VLAN 10 Contrassegnare il traffico vocale con DSCP=63 Trasmettere il traffico di dati allo switch (dal PC connesso allo switch tramite il telefono VoIP) senza modificare il traffico inviato dal PC (di solito Senza tag).
I criteri di rete vengono associati alle porte utilizzando la LLDP MED Port Settings Page (un amministratore deve creare le VLAN e configurare le appartenenze alle VLAN in base alla specifica dei criteri di rete LLDP-MED).

Per definire un criterio di rete LLDP MED, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Rilevamento - LLDP > Criterio di rete LLDP MED.
Si apre la LLDP MED Network Policy Page. In questa pagina vengono visualizzati i criteri di rete creati in precedenza.
PASSAGGIO 2 Facendo clic su Aggiungi si apre la Add LLDP MED Network Policy Page.
In questa pagina viene consentita la definizione di nuovi criteri.

Numero criterio di rete: selezionare il numero del criterio da creare. Applicazione: selezionare dall'elenco il tipo di applicazione (tipo di traffico) per cui stato definito il criterio di rete. Voce Segnalazione vocale Voce ospite Segnalazione vocale ospite Voce softphone Videoconferenza Flusso video Segnalazione video
ID VLAN: immettere l'ID VLAN a cui inviare il traffico. Tag VLAN: decidere se il traffico Con tag o Senza tag. Priorit utente: selezionare la priorit di traffico applicata al traffico definito da questo criterio di rete. Valore DSCP: selezionare il valore DSCP da associare ai dati dell'applicazione inviati dai router adiacenti. In questo modo vengono informati su come dovrebbero contrassegnare il traffico dell'applicazione che inviano allo switch.
PASSAGGIO 4 Fare clic su Applica. Il criterio di rete viene definito. Associare il criterio di rete con
una porta utilizzando la LLDP MED Port Settings Page.
75

Configurazione delle impostazioni delle porte LLDP MED

Nella pagina Impostazioni porte LLDP MED viene consentita la selezione dei criteri di rete, configurati nella LLDP MED Network Policy Page, da dichiarare nella porta e la selezione dei TLV di LLDP-MED da inviare nella PDU LLDP. Per configurare LLDP MED su ogni porta, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Rilevamento - LLDP > Impostazioni porte LLDP
MED. Si apre la LLDP MED Port Settings Page. In questa pagina vengono visualizzate le impostazioni LLDP MED, inclusi i TLV attivati, per tutte le porte.
PASSAGGIO 2 Selezionare una porta e fare clic su Modifica. Si apre la Edit LLDP MED Port
Settings Page. In questa pagina viene consentita l'associazione dei criteri LLDP MED alle porte.
Porta: selezionare una porta da configurare. Dopo aver configurato la porta e aver fatto clic su Applica, possibile configurare un'altra porta senza tornare alla pagina Impostazioni porte LLDP MED. Stato LLDP MED : attivare/disattivare LLDP MED in questa porta. Notifica SNMP: decidere se una notifica SNMP deve essere inviata in base alle porte quando viene rilevata una stazione terminale che supporta MED, per esempio un sistema di gestione SNMP, nel caso in cui ci sia una modifica alla topologia. TLV facoltativi disponibili: selezionare i TLV che possono essere pubblicate dallo switch spostandoli nell'elenco TLV facoltativi selezionati. Criteri di rete disponibili: selezionare i criteri LLDP MED che verranno pubblicati da LLDP, spostandoli nell'elenco Criteri di rete selezionati. Sono stati creati nella LLDP MED Network Policy Page.
NOTA I seguenti campi devono essere compilati in caratteri esadecimali nel
formato dati esatto definito nello standard LLDP-MED (ANSI-TIA1057_final_for_publication.pdf). Coordinate posizione: immettere le coordinate posizione da far pubblicare a LLDP. Indirizzo civico posizione: immettere l'indirizzo civico da far pubblicare a LLDP. Collegamento (ECS) ELIN: immettere il collegamento Emergency Call Service (ECS) ELIN da far pubblicare a LLDP.
76

PASSAGGIO 4 Fare clic su Applica. Le impostazioni della porta LLDP MED vengono modificate e
lo switch viene aggiornato.
Visualizzazione dello stato delle porte LLDP

Nella pagina Tabella Stato porte LLDP vengono visualizzate le informazioni globali su LLDP e lo stato LLDP di ogni porta. Per visualizzare lo stato della porta LLDP, fare clic su Amministrazione > Rilevamento - LLDP > Stato porte LLDP. Si apre la LLDP Port Status Page. Informazioni generali sullo stato delle porte LLDP Sottotipo ID chassis: tipo di ID chassis (per esempio, indirizzo MAC). ID chassis: identificatore di chassis. Nel caso in cui il sottotipo ID chassis sia un indirizzo MAC, viene visualizzato l'indirizzo MAC dello switch. Nome sistema: nome dello switch. Descrizione sistema: descrizione dello switch (in formato alfanumerico). Funzionalit del sistema supportate: funzioni principali del dispositivo, come Bridge, WLAN AP o Router. Funzionalit del sistema attivate: funzioni principali del dispositivo attivate. Sottotipo ID porta: tipo di identificatore della porta mostrato.
Tabella Stato porte LLDP Interfaccia: identificatore della porta. Stato LLDP: opzione di pubblicazione di LLDP. Stato LLDP MED : attivato o disattivato. PoE locale: informazioni sul PoE locale dichiarate. PoE remoto: informazioni sul PoE dichiarate dal router adiacente. # di router adiacenti: numero di router adiacenti rilevati. Funzionalit router adiacenti del primo dispositivo: vengono visualizzate le funzioni del router adiacente del dispositivo principale attivate, per esempio: bridge o router.
77

Visualizzazione di informazioni locali LLDP

Per visualizzare lo stato della porta locale LLDP dichiarato su una porta, attenersi alla seguente procedura:
PASSAGGIO 1 fare clic su Amministrazione > Rilevamento - LLDP > Informazioni locali LLDP.
Si apre la LLDP Local Information Page. Fare clic su Dettagli informazioni locali LLDP per visualizzare i dettagli dei TLV di LLDP e di LLDP-MED inviati al router adiacente. Fare clic su Dettagli informazioni router adiacenti LLDP per visualizzare i dettagli dei TLV di LLDP e di LLDP-MED ricevuti dal router adiacente.
PASSAGGIO 2 Selezionare la porta desiderata dall'elenco Porta.
In questa pagina vengono forniti i seguenti campi: Globale Sottotipo ID chassis: tipo di ID chassis (per esempio, l'indirizzo MAC). ID chassis: identificatore di chassis. Nel caso in cui il sottotipo ID chassis sia un indirizzo MAC, viene visualizzato l'indirizzo MAC dello switch. Nome sistema: nome dello switch. Descrizione sistema: descrizione dello switch (in formato alfanumerico). Funzionalit del sistema supportate: funzioni principali del dispositivo, come Bridge, WLAN AP o Router. Funzionalit del sistema attivate: funzioni principali del dispositivo attivate. Sottotipo ID porta: tipo di identificatore della porta mostrato. ID porta: identificatore della porta. Descrizione porta: informazioni sulla porta, inclusi il produttore, il nome del prodotto e la versione hardware/software.
Indirizzo di gestione Viene visualizzata la tabella degli indirizzi dell'agente LLDP locale. Gli altri responsabili remoti possono utilizzare questo indirizzo per ottenere informazioni relative al dispositivo locale. L'indirizzo consiste negli elementi seguenti: Sottotipo indirizzo: tipo di indirizzo IP di gestione elencato nel campo Indirizzo di gestione, per esempio, IPv4.
78

Indirizzo: indirizzo ripristinato pi appropriato per l'utilizzo di gestione, di solito un indirizzo di Livello 3. Sottotipo interfaccia: metodo di numerazione utilizzato per definire il numero di interfaccia. Numero interfaccia: interfaccia specifica associata a questo indirizzo di gestione.
Dettagli MAC/PHY Negoziazione automatica supportata: stato di supporto della negoziazione automatica della velocit della porta. Negoziazione automatica attivata: stato attivo della negoziazione automatica della velocit della porta. Funzionalit dichiarate della negoziazione automatica: funzionalit di negoziazione automatica della velocit della porta, per esempio, modalit 1000BASE-T half duplex, modalit 100BASE-TX full duplex. Tipo MAU operativa: tipo di MAU (Medium Attachment Unit). La MAU esegue funzioni di livello fisico, inclusa la conversione di dati digitali dal rilevamento di collisioni delle interfacce Ethernet e l'inserimento di bit nella rete (per esempio, modalit 100BASE-TX full duplex).
Dettagli 802.3 Dimensioni massime frame 802.3: le dimensioni IEEE 802.3 massime supportate.
Aggregazione collegamenti 802.3 Funzionalit di aggregazione: indica se possibile aggregare l'interfaccia. Stato di aggregazione: indica se l'interfaccia aggregata. ID porta di aggregazione: ID interfaccia aggregata dichiarato.
Dettagli MED Funzionalit supportate: funzionalit MED supportate sulla porta. Funzionalit correnti: funzionalit MED attivate sulla porta. Classe del dispositivo: classe del dispositivo del punto terminale LLDPMED. Le possibili classi del dispositivo sono: Classe punto terminale 1: indica una classe del punto terminale generica, che offre servizi LLDP di base.
79

8
Classe punto terminale 2: indica una classe del punto terminale del supporto, che offre funzionalit di flusso multimediale e tutte le funzioni della Classe 1. Classe punto terminale 3: indica una classe di dispositivi di comunicazione che offre tutte le funzioni della Classe 1 e 2 pi collegamento, 911, supporto per lo switch di Livello 2 e funzionalit per la gestione delle informazioni sul dispositivo.
Tipo di dispositivo PoE: tipo di porta PoE, per esempio, alimentata. Origine alimentazione PoE: origine di alimentazione della porta. Priorit alimentazione PoE: priorit di alimentazione della porta. Valore alimentazione PoE: valore di alimentazione della porta. Revisione hardware: versione hardware. Revisione firmware: versione firmware. Revisione software: versione software. Numero di serie: numero di serie del dispositivo. Nome produttore: nome del produttore del dispositivo. Nome modello: nome del modello del dispositivo. ID asset: ID asset.
Informazioni sulla posizione Immettere le seguenti strutture di dati in esadecimali come descritto nella sezione 10.2.4 dello standard ANSI-TIA-1057: Civico: indirizzo. Coordinate: coordinate della mappa: latitudine, longitudine e altitudine. ECS ELIN: numero ELIN (Emergency Location Identification Number) del servizio ECS (Emergency Call Service).
Tabella Criteri di rete Tipo di applicazione: tipo di applicazione del criterio di rete, per esempio, Vocale. ID VLAN: ID VLAN per cui viene definito il criterio di rete.
80

8
Con tag: indica che il criterio di rete definito per le VLAN con tag. Senza tag: indica che il criterio di rete definito per le VLAN senza tag.
Tipo VLAN: tipo di VLAN per cui viene definito il criterio di rete. Le opzioni disponibili sono: -
Priorit utente: priorit utente del criterio di rete. DSCP: DSCP criterio di rete.
Visualizzazione di informazioni sui router adiacenti LLDP

Nella LLDP Neighbors Information Page vengono visualizzate le informazioni ricevute utilizzando il protocollo LLDP dai dispositivi adiacenti. Dopo il timeout (basato sul valore acquisito dal campo Time To Live TLV del router adiacente nel quale non stata ricevuta alcuna PDU LLDP da un router adiacente), le informazioni vengono eliminate. Per visualizzare le informazioni sui router adiacenti LLDP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Rilevamento - LLDP > Informazioni sui router
adiacenti. Si apre la LLDP Neighbors Information Page. In questa pagina vengono visualizzati i seguenti campi: Porta locale: numero della porta locale a cui connesso il router adiacente. Sottotipo ID chassis: tipo di ID chassis (per esempio, indirizzo MAC). ID chassis: identificatore di chassis del dispositivo adiacente 802 LAN. Sottotipo ID porta: tipo di identificatore della porta mostrato. ID porta: identificatore della porta. Nome sistema: nome dello switch pubblicato. Durata: intervallo di tempo (in secondi) dopo il quale le informazioni di questo router adiacente vengono eliminate.
PASSAGGIO 2 Selezionare una porta locale e fare clic su Dettagli. Si apre la Neighbors
Information Page.
81

In questa pagina vengono visualizzati i seguenti campi: Dettagli porta Porta locale: numero della porta. Voce MSAP: numero della voce MSAP (Media Service Access Point) del dispositivo.
Dettagli di base Sottotipo ID chassis: tipo di ID chassis (per esempio, indirizzo MAC). ID chassis: identificatore di chassis del dispositivo adiacente 802 LAN. Sottotipo ID porta: tipo di identificatore della porta mostrato. ID porta: identificatore della porta. Descrizione porta: informazioni sulla porta, inclusi il produttore, il nome del prodotto e la versione hardware/software. Nome sistema: nome del sistema pubblicato. Descrizione sistema: descrizione dell'entit di rete (in formato alfanumerico). Include il nome del sistema e le versioni dell'hardware, il sistema operativo e il software di rete supportati dal dispositivo. Il valore uguale all'oggetto sysDescr. Funzionalit del sistema supportate: funzioni principali del dispositivo. Le funzionalit sono indicate da due ottetti. I bit da 0 a 7 indicano rispettivamente Altro, Repeater, Bridge, WLAN AP, Router, Telefono, Dispositivo cavo DOCSIS e stazione. I bit da 8 a 15 sono riservati. Funzionalit del sistema attivate: funzioni principali del dispositivo attivate.
Indirizzo gestito Sottotipo indirizzo: sottotipo di indirizzo gestito, per esempio MAC o IPv4. Indirizzo: indirizzo gestito. Sottotipo interfaccia: sottotipo di porta. Numero interfaccia: numero di porta.
Dettagli MAC/PHY Negoziazione automatica supportata: stato di supporto della negoziazione automatica della velocit della porta. I possibili valori sono Vero e Falso.
82

Negoziazione automatica attivata: stato attivo della negoziazione automatica della velocit della porta. I possibili valori sono Vero e Falso. Funzionalit dichiarate della negoziazione automatica: funzionalit di negoziazione automatica della velocit della porta, per esempio, modalit 1000BASE-T half duplex, modalit 100BASE-TX full duplex. Tipo MAU operativa: tipo di MAU (Medium Attachment Unit). La MAU esegue funzioni di livello fisico, inclusa la conversione di dati digitali dal rilevamento di collisioni delle interfacce Ethernet e l'inserimento di bit nella rete (per esempio, modalit 100BASE-TX full duplex).
Alimentazione 802.3 tramite MDI Classe porta di supporto alimentazione MDI: classe porta di supporto alimentazione dichiarata. Supporto alimentazione MDI PSE: indica se l'alimentazione MDI supportata sulla porta. Stato alimentazione MDI PSE: indica se l'alimentazione MDI attivata sulla porta. Capacit di controllo coppia alimentazione PSE: indica se il controllo coppia alimentazione supportato sulla porta. Coppia alimentazione PSE: tipo di controllo coppia alimentazione supportato sulla porta. Classe di alimentazione PSE: valore di alimentazione della porta dichiarato.
Dettagli 802.3 Dimensioni massime frame 802.3: le dimensioni massime dichiarate supportate nella porta.
Aggregazione collegamenti 802.3 Funzionalit di aggregazione: indica se possibile aggregare la porta. Stato di aggregazione: indica se la porta correntemente aggregata. ID porta di aggregazione: ID porta aggregata dichiarato.
Dettagli MED Funzionalit supportate: funzionalit MED attivate sulla porta. Funzionalit correnti: TLV MED dichiarati dalla porta.
83

8
Classe punto terminale 1: indica una classe del punto terminale generica, che offre servizi LLDP di base. Classe punto terminale 2: indica una classe del punto terminale del supporto, che offre funzionalit di flusso multimediale e tutte le funzioni della Classe 1. Classe punto terminale 3: indica una classe di dispositivi di comunicazione che offre tutte le funzioni della Classe 1 e 2 pi collegamento, 911, supporto per lo switch di Livello 2 e funzionalit per la gestione delle informazioni sul dispositivo.
Classe del dispositivo: classe del dispositivo del punto terminale LLDPMED. Le possibili classi del dispositivo sono: -
Tipo di dispositivo PoE: tipo di porta PoE, per esempio, alimentata. Origine alimentazione PoE: origine di alimentazione della porta. Priorit alimentazione PoE: priorit di alimentazione della porta. Valore alimentazione PoE: valore di alimentazione della porta. Revisione hardware: versione hardware. Revisione firmware: versione firmware. Revisione software: versione software. Numero di serie: numero di serie del dispositivo. Nome produttore: nome del produttore del dispositivo. Nome modello: nome del modello del dispositivo. ID asset: ID asset.
VLAN e protocollo 802.1 PVID : ID VLAN della porta dichiarato.
PPVID VID : ID VLAN del protocollo. Supportato: ID VLAN del protocollo e della porta supportati. Attivato: ID VLAN del protocollo e della porta attivati.
84

ID VLAN VID : ID VLAN del protocollo e della porta. Nomi VLAN: nomi della VLAN dichiarati.
ID protocollo ID protocollo: ID del protocollo dichiarati.
Informazioni sulla posizione Immettere le seguenti strutture di dati in esadecimali come descritto nella sezione 10.2.4 dello standard ANSI-TIA-1057: Civico: civico o indirizzo. Coordinate: coordinate della mappa posizione (latitudine, longitudine e altitudine). ECS ELIN: numero ELIN (Emergency Location Identification Number) del servizio ECS (Emergency Call Service) del dispositivo. Sconosciuto: informazioni sulla posizione sconosciute.
Criteri di rete Tipo di applicazione: tipo di applicazione del criterio di rete, per esempio, Vocale. ID VLAN: ID VLAN per cui viene definito il criterio di rete. Tipo VLAN: tipo di VLAN, Con tag o Senza tag, per cui viene definito il criterio di rete. Priorit utente: priorit utente del criterio di rete. DSCP: DSCP criterio di rete.
85

Accesso alle statistiche LLDP

Nella pagina Statistiche LLDP vengono visualizzate le informazioni statistiche LLDP in base alla porta. Per visualizzare le statistiche LLDP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Rilevamento - LLDP > Statistiche LLDP. Si apre
la LLDP Statistics Page. Per ogni porta, vengono visualizzati i seguenti campi. Interfaccia: identificatore dell'interfaccia. Frame Tx totali: numero di frame trasmessi. Frame Rx Totale: numero di frame ricevuti. Eliminato: numero totale di frame ricevuti che sono stati eliminati. Errori: numero totale di frame ricevuti con errori.
TLV Rx Eliminato: numero totale di TLV ricevuti che sono stati eliminati. Non riconosciuto: numero totale di TLV ricevuti che non sono stati riconosciuti.
Numero di eliminazioni di informazioni sui router adiacenti: numero di scadenze di router adiacenti sull'interfaccia.
PASSAGGIO 2 Fare clic su Aggiorna per visualizzare le ultime statistiche.
Sovraccarico LLDP
LLDP aggiunge informazioni ai pacchetti e pu creare pacchetti sovradimensionati. Le informazioni che LLDP aggiunge sono divise in gruppi. Lo switch trasmette il numero massimo di gruppi interi possibili, quindi non viene trasmesso nessun gruppo parziale. Nella LLDP Overloading Page viene visualizzato il numero di byte inviati e il numero di byte che devono essere inviati per TLV LLDP per porta e lo stato di trasmissione della porta.

Per visualizzare le informazioni sul sovraccarico di LLDP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Rilevamento - LLDP > Sovraccarico LLDP. Si
apre la LLDP Overloading Page. In questa pagina vengono visualizzati i seguenti campi per ogni porta. Interfaccia: identificatore della porta. Totale (byte) : numero totale di byte in ogni pacchetto. Da inviare (byte) : numero totale di byte da aggiungere al pacchetto. Stato: se i TLV sono in fase di trasmissione o se sono sovraccarichi.
PASSAGGIO 2 Per visualizzare i dettagli del sovraccarico di una porta, selezionarla e fare clic su
Dettagli. Si apre la LLDP Overloading Details. In questa pagina vengono visualizzate le seguenti informazioni per ogni TLV inviato nella porta: TVL obbligatori LLDP Dimensioni (byte) : dimensioni in byte dei TLV obbligatori totali. Stato: se il gruppo TLV obbligatorio in fase di trasmissione oppure se stato sovraccaricato.
Funzionalit LLDP MED Dimensioni (byte) : dimensioni totali in byte dei pacchetti delle funzionalit LLDP MED. Stato: se i pacchetti delle funzionalit LLDP MED sono stati inviati oppure se sono stati sovraccaricati.
Posizione LLDP MED -
Dimensioni (byte) : dimensioni totali in byte dei pacchetti della posizione

di LLDP MED.
Stato: se i pacchetti delle posizioni LLDP MED sono stati inviati oppure se
sono stati sovraccaricati.
Criteri di rete LLDP MED -
Dimensioni (byte) : dimensioni totali in byte dei pacchetti dei criteri di rete
LLDP MED.
87

8
Stato: se i pacchetti dei criteri di rete LLDP MED sono stati inviati oppure
se sono stati sovraccaricati.
Alimentazione estesa LLDP MED tramite MDI -
Dimensioni (byte) : dimensioni totali in byte dei pacchetti con

alimentazione estesa LLDP MED tramite MDI.
Stato: se l'alimentazione estesa LLDP MED stata inviata tramite pacchetti MDI oppure se stata sovraccaricata.
TLV 802.3 -
Dimensioni (byte) : dimensioni totali in byte dei pacchetti di TLV LLDP

MED 802.3.
Stato: se i pacchetti di TLV LLDP MED 802.3 sono stati inviati oppure se sono stati sovraccaricati.
TLV facoltativi LLDP -
Dimensioni (byte) : dimensioni totali in byte dei pacchetti di TLV LLDP

MED facoltativi.
Stato: se i pacchetti di TLV LLDP MED facoltativi sono stati inviati oppure
se sono stati sovraccaricati.
Inventario LLDP MED -
Dimensioni (byte) : dimensioni totali in byte dei pacchetti di TLV

dell'inventario LLDP MED.
Stato: se i pacchetti dell'inventario LLDP MED sono stati inviati oppure se

sono stati sovraccaricati.
Totale (byte) : numero totale di pacchetti inviati (in byte). Da inviare (byte) : numero totale di byte del pacchetto da trasmettere.
88
9
Gestione porte
In questo capitolo vengono illustrate la configurazione delle porte, l'aggregazione dei collegamenti e la funzione Ethernet verde e trattati i seguenti argomenti: Impostazione della configurazione base della porta Configurazione dell'aggregazione dei collegamenti Flusso di lavoro del LAG statico e dinamico Definizione della Gestione LAG Configurazione del LACP Ethernet verde
Flusso di lavoro della Gestione porte

Flusso di lavoro della Gestione porte Per configurare le porte, effettuare le seguenti operazioni: 1. Configurare la porta dalla Port Settings Page. 2. Attivare/disattivare il protocollo Link Aggregation Control e configurare dalla LAG Management Page le possibili porte membro sui Gruppi di aggregazione dei collegamenti (LAG, Link Aggregation Groups) desiderati. Per impostazione predefinita, i LAG non presentano membri porta. 3. Configurare i parametri Ethernet, quali velocit e negoziazione automatica, per i gruppi di aggregazione dei collegamenti utilizzando la LAG Settings Page. 4. Configurare i parametri LACP per le porte membri o candidate di un gruppo di aggregazione dei collegamenti dalla LACP Page. 5. Configurare le impostazioni generali dell'Ethernet verde utilizzando la Properties Page.
89
Gestione porte
Impostazione della configurazione base della porta
6. Configurare la modalit di energia Ethernet verde per porta utilizzando la Port Settings Page. 7. Se PoE supportata dallo switch ed attiva, configurare lo switch come riportato in Gestione dei dispositivi Power-over-Ethernet.

Nella Port Settings Page vengono visualizzate le impostazioni generali e per porta relative a tutte le porte. Nella pagina possibile selezionare e configurare le porte desiderate dalla Edit Port Setting Page.
NOTA Quando si utilizzano entrambe le porte, Fibra SFP avr la precedenza.
Per configurare le impostazioni della porta, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Gestione porte > Impostazioni porte. Si apre la Port Settings Page. PASSAGGIO 2 Selezionare (Frame jumbo) Attiva per utilizzare pacchetti di dimensioni fino a
10 Kb. Se Frame jumbo non attivo, il sistema supporta pacchetti con dimensione massima di 1,632 byte.
PASSAGGIO 3 Fare clic su Applica per aggiornare l'impostazione generale.
Le modifiche della configurazione dei Frame jumbo vengono applicate solo dopo aver salvato esplicitamente la Configurazione di esecuzione sul file Configurazione di avvio utilizzando la Copy/Save Configuration Page e riavviato lo switch.
PASSAGGIO 4 Per aggiornare le impostazioni delle porte, selezionare la porta desiderata e fare
clic su Modifica. Si apre la Edit Port Setting Page.

PASSAGGIO 5 Modificare i seguenti parametri:
Porta: selezionare il numero della porta. Descrizione porta: immettere il nome della porta o i commenti definiti dall'utente. Tipo di porta: viene indicato il tipo di porta. Le opzioni possibili sono: Porte in rame: quelle regolari, non combo, supportano i valori seguenti: 10M, 100M, 1000M (tipo: rame).
90
Gestione porte
Porte in rame combinate: le porte Combo collegate tramite il cavo CAT5 in rame supportano i valori seguenti: 10M, 100M, 1000M (tipo: ComboC) Fibra combinata: la Porta di conversione dell'interfaccia Gigabit con Fibra SFP supporta i seguenti valori: 100M e 1000M (tipo: ComboF)
Stato amministrativo: selezionare se, dopo il ravvio dello switch, la porta deve essere operativa (Up) o non operativa (Down). Stato operativo: indica lo stato corrente della connessione della porta. Riattiva porta sospesa: consente di riattivare una porta precedentemente sospesa. Una porta pu essere sospesa in vari modi, ad esempio tramite la funzione di sicurezza basata sul blocco della porta, le configurazioni dell'Elenco di controlli di accesso (ACL, Access Control List), la BPDU Guardia o la Guardia root. Negoziazione automatica: selezionare questa funzione per attivare la negoziazione automatica sulla porta. La negoziazione automatica consente a una porta di dichiarare la propria velocit di trasmissione, la modalit duplex e le capacit di controllo del flusso sugli altri dispositivi. Negoziazione automatica operativa: indica lo stato corrente della negoziazione automatica della porta. Velocit porta amministrativa: selezionare la velocit configurata per la porta. Il tipo di porta consente di determinare le opzioni disponibili relative all'impostazione della velocit. possibile specificare la Velocit amministrativa solo quando la negoziazione automatica della porta disattivata. Velocit porta operativa: indica la velocit attuale della porta ottenuta dalla negoziazione. Modalit duplex amministrativa: selezionare la modalit duplex sulla porta. Questo campo pu essere configurato solo quando la negoziazione automatica disattivata e la velocit della porta impostata su 10M o 100M. Le opzioni possibili sono: Full: l'interfaccia supporta la trasmissione tra lo switch e il client contemporaneamente in entrambe le direzioni. Half : l'interfaccia supporta la trasmissione tra lo switch e il client in una sola direzione alla volta.
Modalit duplex operativa: indica la modalit duplex corrente della porta ottenuta dalla negoziazione.
91
Gestione porte
Annuncio automatico: selezionare la velocit di trasmissione raggiungibile dichiarata dalla porta. Le opzioni sono: Capacit massima: vengono accettate tutte le velocit e le impostazioni della modalit duplex della porta. 10 Half: velocit a 10 Mbps in modalit half-duplex. 10 Full: velocit a 10 Mbps in modalit full-duplex. 100 Half: velocit a 100 Mbps in modalit half-duplex. 100 Full: velocit a 100 Mbps in modalit full-duplex. 1000 Full: velocit a 1000 Mbps in modalit full-duplex.
Annuncio operativo: indica le capacit attualmente dichiarate sul router adiacente della porta per avviare il processo di negoziazione. Le opzioni possibili sono riportate nel campo Annuncio amministrativo. Congestione: selezionare la modalit Congestione sulla porta (utilizzata con la modalit half-duplex) per diminuire la velocit di ricezione del pacchetto quando lo switch congestionato. Questo consente di disattivare la porta remota, impedendo l'invio di pacchetti tramite la congestione di quelli di medie dimensioni. Controllo del flusso: attivare o disattivare il Controllo del flusso 802.3x, oppure attivare la negoziazione automatica del controllo del flusso della porta (solo in modalit full-duplex). MDI/MDIX: lo stato della Media Dependent Interface (MDI)/Media Dependent Interface crossover (MDIX) sulla porta. Le porte dello switch sono collegate secondo gli standard del settore delle telecomunicazioni (Telecommunications Industry Association). Le opzioni sono: MDIX: selezionare MDIX per collegare lo switch agli hub e gli altri switch con un cavo dritto. Lo switch scambia la coppia di trasmissione con quella di ricezione, pertanto lo switch pu essere collegato con un altro switch o un hub tramite un cavo dritto. MDI: selezionare MDI per collegare lo switch a una stazione tramite un cavo dritto.
92
Gestione porte
Automatico: consente allo switch di rilevare automaticamente i pinout corretti per collegarsi a un altro dispositivo. Se l'altro dispositivo supporta l'AutoMDX e il parametro impostato su automatico, generalmente i dispositivi registrano i pinout in base al tipo di cavo che collega i dispositivi e la configurazione di trasmissione e ricezione dei pinout su ciascuna porta.
MDI/MDIX operativo: indica l'impostazione attuale della MDI/MDIX. Porta protetta: consente di rendere una porta protetta. (Una porta protetta fa riferimento anche a un Private VLAN Edge (PVE).) Le caratteristiche di una porta protetta sono le seguenti: Le porte protette forniscono un isolamento tra le interfacce di livello 2 (porte Ethernet e LAG (Link Aggregation Groups )) che condividono lo stesso dominio di broadcast (VLAN). I pacchetti ricevuti da porte protette possono essere inoltrati solo su porte di uscita non protette. Ai pacchetti inoltrati dal software, come le applicazioni snooping, vengono applicate le regole del filtro porta protetta. La protezione della porta non soggetta all'appartenenza VLAN. I dispositivi collegati alle porte protette non possono comunicare con gli altri, anche se appartengono alla stessa VLAN. Sia le porte che i LAG possono essere definiti come protetti o non protetti.
Membro in LAG: indica il LAG, se la porta appartiene a un LAG.
PASSAGGIO 6 Fare clic su Applica. Le impostazioni della porta vengono modificate e lo switch
viene aggiornato. possibile configurare un'atra porta selezionando la porta desiderata dal campo Porta nella parte superiore della Edit Port Setting Page.
93
Gestione porte
Configurazione dell'aggregazione dei collegamenti

Il Link Aggregation Control Protocol (LACP) appartiene ad una specifica IEEE (802.3ad) che consente di raggruppare diverse porte fisiche formando un unico canale logico. L'aggregazione dei collegamenti ottimizza l'utilizzo delle porte collegando pi porte insieme per formare un gruppo di aggregazione dei collegamenti (LAG). I LAG consentono di aumentare la larghezza di banda e la flessibilit della porta e forniscono collegamenti ridondanti tra due dispositivi. Sono utilizzati due tipi di LAG: Statico: un LAG statico se il LACP (Link Aggregation Control Protocol) non attivo. Configurare un LAG statico con un gruppo di porte che sono membri sempre attivi del LAG. Dinamico: un LAG dinamico se il LACP attivo. Definire un gruppo di porte come porte candidate di un LAG dinamico. Il LACP determina quali porte candidate del LAG sono porte membro attive. Le porte membro non attive sono porte in standby pronte per sostituire qualsiasi porta membro attiva mancante.
Bilanciamento del carico Il carico del traffico inoltrato a un LAG bilanciato su tutte le porte membro attive, pertanto si ottiene un'effettiva larghezza di banda simile a quella di tutte le porte membro attive aggregate su un LAG. Il bilanciamento del carico del traffico su porte membro attive di un LAG viene gestito da una funzione di distribuzione basata su hash che consente di distribuire traffico unicast sulla base delle informazioni relative all'intestazione di un pacchetto di livello 2 o di livello 3. I pacchetti multicast si comportano come pacchetti unicast. Lo switch supporta due modalit di bilanciamento del carico: Tramite indirizzi MAC: secondo gli indirizzi MAC di origine e di destinazione di tutti i pacchetti. Tramite indirizzi IP e MAC: secondo gli indirizzi IP di origine e di destinazione dei pacchetti IP e gli indirizzi MAC di origine e di destinazione dei pacchetti non IP.
94
Gestione porte
Gestione LAG Le porte membro attive di un LAG vengono definite per assegnazione esplicita dell'utente oppure selezionate dinamicamente dal Link Aggregation Control Protocol (LACP). Il processo di selezione LACP consente di scegliere le porte membro attive del LAG in seguito allo scambio di informazioni LACP tra i dispositivi locali e remoti. Generalmente, il sistema tratta un LAG come una singola porta logica. Nello specifico, gli attributi delle porte di un LAG, quali stato e velocit, sono simili a quelli di una porta regolare. Lo switch supporta otto LAG, ciascuno dei quali presenta le caratteristiche seguenti: Tutte le porte di un LAG devono avere lo stesso tipo di supporto. Per aggiungere una porta al LAG, questo non pu appartenere a nessuna VLAN se non a quella predefinita. Le porte di un LAG devono essere assegnate a un altro LAG. Su un LAG statico possibile assegnare non pi di otto porte e per un LAG dinamico possibile sceglierne massimo 16. Su tutte le porte di un LAG la negoziazione automatica deve essere disattivata, sebbene sul LAG sia possibile attivarla. Quando si aggiunge una porta alla configurazione originaria di un LAG, la configurazione precedente non viene pi utilizzata e viene applicata quella attuale. Quando la porta viene rimossa dal LAG, viene nuovamente applicata la configurazione originaria. I protocolli, quali lo Spanning Tree, trattano tutte le porte di un LAG come un'unica porta. Le porte del LAG devono avere la stessa priorit 802.1p.
95
Gestione porte
Flusso di lavoro del LAG statico e dinamico
Flusso di lavoro del LAG statico e dinamico

Per configurare un LAG statico, eseguire le seguenti operazioni: 1. Configurare il LAG selezionato come un LAG statico disattivando il LACP. Assegnare al LAG statico un massimo di otto porte membro attive selezionando e spostando le porte dall'Elenco porteall'elenco Membri LAG nella LAG Management Page. 2. Configurare la velocit del LAG e il controllo del flusso utilizzando la LAG Settings Page. Per configurare un LAG dinamico, eseguire le seguenti operazioni: 1. Configurare il LAG selezionato come un LAG dinamico attivando il LACP. Assegnare al LAG dinamico un massimo di 16 porte candidate selezionando e spostando le porte dall'Elenco porteall'elenco Membri LAG nella LAG Management Page. 2. Configurare la velocit del LAG e il controllo del flusso utilizzando la LAG Settings Page. 3. Configurare i parametri LACP delle porte del LAG utilizzando la LACP Page.
Definizione della Gestione LAG

Nella LAG Management Page vengono visualizzate le impostazioni generali e per LAG. Inoltre, qui possibile configurare le impostazioni generali e selezionare e modificare il LAG desiderato sulla Edit LAG Membership Page.
PASSAGGIO 1 Per configurare la gestione LAG, fare clic su Gestione porte > Aggregazione
collegamenti > Gestione LAG. Si apre la LAG Management Page.

PASSAGGIO 2 Selezionare uno dei seguenti Algoritmi di bilanciamento carico:
Indirizzo MAC : eseguire il bilanciamento del carico tramite gli indirizzi MAC di origine e di destinazione su tutti i pacchetti. Indirizzo IP/MAC : eseguire il bilanciamento del carico tramite gli indirizzi IP di origine e destinazione sui pacchetti IP e gli indirizzi MAC di origine e di destinazione sui pacchetti non IP.
PASSAGGIO 3 Fare clic su Applica. L'Algoritmo di bilanciamento carico viene definito e lo switch
viene aggiornato.
96
Gestione porte
Configurazione delle impostazioni LAG
Definizione delle porte membro di un LAG.

Nella pagina Gestione LAG possibile definire le porte membro di un LAG.
PASSAGGIO 1 Selezionare il LAG da configurare e fare clic su Modifica. Si apre la Edit LAG
Membership Page.
PASSAGGIO 2 Immettere i valori dei seguenti campi:
LAG: selezionare il numero del LAG. Nome LAG: immettere il nome LAG o un commento. LACP: selezionare LACP per attivarlo sul LAG selezionato. Questo consente di creare un LAG dinamico. Elenco porte: spostare le porte da assegnare al LAG dall'Elenco porte all'elenco Membri LAG. possibile assegnare un massimo di otto porte per LAG statico e 16 su un LAG dinamico.
PASSAGGIO 3 Fare clic su Applica. L'appartenenza LAG viene definita e lo switch viene
aggiornato. possibile selezionare un altro LAG da configurare modificando il campo LAG.

Nella LAG Settings Page viene visualizzata una tabella in cui sono riportate le impostazioni attuali di tutti i LAG. possibile configurare le impostazioni dei LAG selezionati e riattivare quelli sospesi avviando la Edit LAG Settings Page. Per configurare il LAG, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione porte > Gestione LAG > Impostazioni LAG. Si apre la LAG
Settings Page.
PASSAGGIO 2 Selezionare un LAG e fare clic su Modifica. Si apre la Edit LAG Settings Page. PASSAGGIO 3 Immettere i valori dei seguenti campi:
LAG: selezionare il numero ID del LAG. Descrizione: immettere il nome LAG o un commento.
97
Gestione porte
Tipo di LAG: indica il tipo di porta che in cui incluso il LAG. Stato amministrativo: impostare il LAG selezionato su operativo (Up) o non operativo (Down). Stato operativo: indica se il LAG al momento operativo. Riattiva LAG sospeso: consente di riattivare una porta se stato disattivato il LAG tramite la funzione di sicurezza basata sul blocco della porta o tramite le configurazioni ACL. Negoziazione automatica amministrativa: consente di attivare o disattivare la negoziazione automatica sul LAG. La negoziazione automatica un protocollo utilizzato da due parti di un collegamento che consente a un gruppo LAG di dichiarare la propria velocit di trasmissione e il controllo del flusso (per impostazione predefinita il Controllo del flusso disattivato). Si consiglia di tenere la negoziazione automatica attivata su entrambe le parti di un collegamento aggregato, oppure disattivata se le velocit dei collegamenti sono identiche. Negoziazione automatica operativa: indica l'impostazione della negoziazione automatica. Velocit amministrativa: selezionare la velocit del LAG. Velocit LAG operativa: indica la velocit attuale dell'operativit del LAG. Annuncio amministrativo: selezionare la velocit di trasmissione raggiungibile dichiarata dal LAG. Le opzioni sono: Capacit massima: sono disponibili le velocit e le modalit duplex di tutti i LAG. 10 Full: il LAG dichiara una velocit a 10 Mbps in modalit full-duplex. 100 Full: il LAG dichiara una velocit a 100 Mbps in modalit full-duplex. 1000 Full: il LAG dichiara una velocit a 1000 Mbps in modalit fullduplex.
Annuncio operativo: indica lo stato dell'Annuncio operativo. Per avviare il processo di negoziazione un LAG dichiara le proprie capacit al LAG adiacente. I valori possibili sono riportati nel campo Annuncio amministrativo. Annuncio LAG adiacente: indica il LAG adiacente (il LAG a cui collegata l'interfaccia selezionata) che dichiara le proprie capacit al LAG per avviare il processo di negoziazione. I valori possibili sono identici a quelli riportati nel campo Annuncio amministrativo.
98
Gestione porte
Configurazione del LACP
9
Controllo del flusso amministrativo: attivare o disattivare il Controllo del flusso oppure attivare la negoziazione automatica del Controllo del flusso del LAG. Controllo del flusso operativo: indica l'impostazione attuale del Controllo del flusso. LAG protetto: consente di rendere il LAG una porta protetta per l'isolamento di livello 2. La Configurazione delle porte viene descritta nella sezione Flusso di lavoro della Gestione porte con i dettagli relativi alle porte e ai LAG protetti.
possibile selezionare un altro LAG da configurare modificando il campo LAG.

Un LAG dinamico un LAG abilitato al LACP; il Link Aggregation Control Protocol viene eseguito su ogni porta selezionata definita nel LAG. Priorit e regole sul LACP La priorit sul sistema e sulla porta LACP determina quale delle porte candidate diventer porta membro attiva in un LAG dinamico configurato con pi di otto porte selezionate. Le porte candidate selezionate del LAG sono tutte collegate allo stesso dispositivo remoto. Un gruppo canale LACP pu avere fino a 16 porte Ethernet dello stesso tipo. Possono essere attive o in modalit di standby massimo otto porte. Se ci sono pi di otto porte in un gruppo canale LACP, lo switch posto sull'estremit di controllo del collegamento utilizza le priorit sulla porta per determinare quali porte vengono raggruppate nel canale e quali vengono inserite nella modalit di standby. Le priorit delle porte poste sugli altri switch (l'estremit non-di controllo del collegamento) vengono ignorate. La priorit del LACP viene acquisita o dal dispositivo locale o da quello remoto, in base alle regole seguenti: La Priorit di sistema LACP locale viene confrontata con il dispositivo della Priorit di sistema LACP remoto e viene utilizzata la priorit pi bassa. Se le priorit sono identiche, vengono confrontati gli indirizzi MAC locali e remoti e viene utilizzata la priorit del dispositivo che presenta l'indirizzo MAC pi basso.
99
Gestione porte
9
Le regole aggiuntive per la selezione di porte attive o in standby in un LACP dinamico sono le seguenti: Qualsiasi collegamento che opera ad una velocit diversa rispetto al membro attivo con la massima velocit o che opera in modalit half-duplex viene resa standby. Tutte le porte attive di un LAG dinamico operano alla stessa velocit di trasmissione. Se la priorit del collegamento della porta LACP inferiore rispetto a quella delle porte membro del collegamento correntemente attive e che presentano il numero massimo, il collegamento viene reso inattivo e posto in modalit standby.
Impostazioni dei parametri della porta LACP

La LACP Page visualizza e consente di configurare la Priorit di sistema LACP, del timeout LACP e della priorit della porta LACP. Il timeout LACP un parametro impostato per porta e rappresenta l'intervallo di tempo che trascorre tra l'invio e la ricezione di PDU LACP consecutive. Impostando tutti gli elementi in modo uguale, quando il LAG configurato con pi porte candidate rispetto al numero massimo di porte attive consentito, lo switch seleziona le porte come attive dal LAG dinamico avente la priorit pi alta.
NOTA L'impostazione LACP non fondamentale sulle porte non appartenenti a un LAG
dinamico. Per definire le impostazioni LACP, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Gestione porte > Aggregazione collegamenti > LACP. Si apre la
LACP Page.
PASSAGGIO 2 Immettere il valore globale Priorit di sistema LACP che stabilisce quali porte
candidate diventeranno membri del LAG. Nella pagina possibile visualizzare le impostazioni LACP di ciascuna porta. possibile selezionare e modificare la porta desiderata utilizzando la Edit LACP Page.
PASSAGGIO 3 Selezionare una porta e fare clic su Modifica. Si apre la Edit LACP Page. PASSAGGIO 4 Immettere i valori dei seguenti campi:
Porta: selezionare il numero della porta a cui i valori di timeout e priorit sono assegnati. Priorit porta LACP: immettere il valore della priorit LACP della porta.
100
Gestione porte
Ethernet verde
9
Timeout LACP: selezionare le PDU LACP trasmesse periodicamente a una velocit di trasmissione lenta o veloce, in base alle preferenze di timeout LACP indicate.
possibile procedere con le modifiche selezionando un'altra porta nel campo Porta.
Ethernet verde
Ethernet verde un nome comune che indica una serie di funzioni ideate per creare un ambiente ecologico e per ridurre l'assorbimento di un dispositivo. La funzione Ethernet verde consente di ridurre l'utilizzo energetico complessivo in due modi: Modalit di rilevamento energia: su un collegamento inattivo, la porta passa in modalit inattiva risparmiando energia e mantenendo contemporaneamente attivo lo stato amministrativo della porta. Il passaggio da questa modalit a quella completamente operativa avviene in modo rapido e trasparente senza comportare la perdita di frame. Questa modalit viene supportata sia su porte GE che su porte FE. Modalit di raggiungimento breve: viene analizzata la lunghezza del cavo e regolato l'utilizzo energetico per le varie lunghezze dei cavi. In questa modalit, viene eseguito un test VCT (Virtual Cable Tester) per misurare la lunghezza del cavo. Se il cavo risulta pi corto rispetto alla lunghezza prestabilita, lo switch invia frame sul cavo utilizzando meno energia e comportando quindi un risparmio energetico. Questa modalit viene supportata solo su porte RJ45 GE e non su porte GE con Porta combinata.
Le due modalit Ethernet verde, ovvero Modalit di rilevamento energia e Modalit di raggiungimento breve, devono essere attivate a livello globale e configurate su ciascuna porta. possibile monitorare il risparmio e il consumo corrente di energia. possibile visualizzare la quantit totale di energia risparmiata tramite una percentuale dell'eventuale alimentazione consumata dalle interfacce fisiche non eseguite in modalit Ethernet verde. e monitorare il risparmio energetico.
101
Gestione porte
Ethernet verde
9
Le funzioni di Ethernet verde vendono definite per porta, indipendentemente dalla loro appartenenza LAG.
Impostazione delle propriet generali di Ethernet verde

Nella Properties Page possibile visualizzare e configurare la modalit Ethernet verde per lo switch. Inoltre, possibile visualizzare il risparmio energetico attuale. Per definire le propriet generali di Ethernet verde, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione porte > Ethernet verde > Propriet. Si apre la Properties
Page.
Modalit di rilevamento energia: attivare o disattivare a livello globale la modalit Rilevamento energia. Se modificata, viene visualizzato un messaggio. La modalit Energia viene modificata facendo clic su OK .
Modalit di raggiungimento breve: se sullo switch ci sono porte GE, attivare o disattivare a livello globale la modalit Raggiungimento breve.
NOTA Disattivando o attivando la Modalit di rilevamento energia le
connessioni di rete vengono temporaneamente interrotte. Risparmio energetico: viene indicata la percentuale di energia risparmiata operando in modalit Ethernet verde. Energia totale risparmiata: viene indicata la quantit di energia risparmiata dall'ultimo riavvio dello switch. Questo valore viene aggiornato ogni volta che si verifica un evento che incide sul risparmio energetico.
PASSAGGIO 3 Fare clic su Applica. Le impostazioni della porta vengono modificate e lo switch
viene aggiornato.
102
Gestione porte
Ethernet verde
9
Impostazione delle propriet Ethernet verde per porta
Nella Port Settings Page viene visualizzata la modalit Energia Ethernet verde corrente per ciascuna porta ed possibile selezionare una porta su cui configurare questa modalit utilizzando la Edit Port Setting Page. Per consentire ad una porta di operare in modalit Ethernet verde, nella Properties Page necessario attivare a livello globale le modalit corrispondenti. Per definire le impostazioni di Ethernet verde per porta, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione porte > Ethernet verde> Impostazioni porte. Si apre la Port
Settings Page. La Port Settings Page visualizza gli elementi seguenti: Numero voce: il numero sequenziale della voce presente nella tabella. Porta: il numero della porta. Rilevamento energia: stato della porta relativo alla modalit Rilevamento energia. Lo stato pu essere: Amministrativo: indica se la modalit Rilevamento energia stata attivata. Operativo: indica se la modalit Rilevamento energia al momento operativa. Motivo: se la modalit Rilevamento energia non operativa, ne indica il motivo.
Raggiungimento breve: stato della porta relativo alla modalit Raggiungimento breve. Lo stato pu essere: Amministrativo: indica se la modalit Raggiungimento breve stata attivata. Operativo: indica se la modalit Raggiungimento breve al momento operativa. Motivo: se la modalit Raggiungimento breve non operativa, ne indica il motivo.
103
Gestione porte
Ethernet verde
9
NOTA La finestra visualizza l'impostazione Raggiungimento breve di
ciascuna porta. Tuttavia, tale funzione non attivasu tutte le porte, tranne nel caso in cui Raggiungimento breve sia stato attivato a livello globale utilizzando la Properties Page. Per attivare Raggiungimento breve a livello globale, vedere la sezione Impostazione delle propriet generali di Ethernet verde. Lunghezza del cavo: indica la lunghezza del cavo VCT in metri.
PASSAGGIO 2 Selezionare una Porta e fare clic su Modifica. Si apre la Edit Port Setting Page. PASSAGGIO 3 Selezionare la modalit Rilevamento energia per attivarla o disattivarla sulla porta. PASSAGGIO 4 Selezionare la modalit Raggiungimento breve per attivarla o disattivarla sulla
porta.
PASSAGGIO 5 Fare clic su Applica. Le impostazioni della porta Ethernet verde vengono
modificate e lo switch viene aggiornato. Selezionare un'altra porta per visualizzarla o modificarla.
104
10
Gestione dei dispositivi Power-over-Ethernet
La funzione PoE (Power over Ethernet) disponibile solo nei dispositivi basati su PoE. Per un elenco dei dispositivi basati su PoE, fare riferimento alla sezione Modelli di switch. In questo capitolo viene descritto come utilizzare la funzione PoE e trattati i seguenti argomenti: PoE nello switch Configurazione delle propriet di PoE Configurazione dell'alimentazione PoE, della priorit e della classe
PoE nello switch

Uno switch PoE PSE (Power Sourcing Equipment) che fornisce alimentazione elettrica ai dispositivi PD (Powered Devices) connessi tramite cavi in rame esistenti senza interferire con il traffico di rete, aggiornando la rete fisica o modificando l'infrastruttura di rete.
Funzioni PoE
Funzioni PoE PoE fornisce le seguenti funzioni: Elimina la necessit di eseguire alimentazione 110/220 V CA su tutti i dispositivi di una LAN cablata. Rimuove la necessit di posizionare tutti i dispositivi di rete accanto a fonti di alimentazione. Elimina la necessit di distribuire sistemi di cablaggio doppi in un'azienda riducendo notevolmente i costi di installazione.
105

PoE nello switch
10
Power over Ethernet pu essere utilizzato in qualsiasi rete aziendale che distribuisce dispositivi a relativamente bassa alimentazione connessi alla LAN Ethernet, come: Telefoni IP Punti di accesso wireless Gateway IP Dispositivi di monitoraggio remoti audio e video
Funzionamento di PoE
Funzionamento di PoE PoE viene implementato nelle seguenti fasi: Rilevamento: invia impulsi speciali nel cavo in rame. Quando un dispositivo PoE viene posizionato sull'altra estremit, quel dispositivo risponde a questi impulsi. Classificazione: la negoziazione tra PSE (Power Sourcing Equipment) e PD (Powered Device) ha inizio dopo la fase di Rilevamento. Durante la negoziazione, il PD specifica la sua classe, cio la quantit di alimentazione massima che consuma il PD. Assorbimento: al termine della fase di classificazione, PSE fornisce alimentazione al PD. Se il PD supporta PoE ma senza classificazione, si assume che sia di classe 0 (il massimo). Se un dispositivo PD cerca di consumare pi alimentazione di quella consentita dallo standard, PSE interrompe la fornitura di alimentazione alla porta.
PoE supporta due modalit: Limite porta: l'alimentazione massima che lo switch pu fornire limitata al valore configurato dall'amministratore di sistema, indipendentemente dal risultato di Classificazione. Limite di alimentazione classe: l'alimentazione massima che lo switch pu fornire viene determinata dai risultati della fase Classificazione. Significa che viene impostato come in base alla richiesta del client.
106

PoE nello switch
10
Considerazioni sulla configurazione di PoE

Considerazioni sulla configurazione di PoE Nella funzione PoE necessario tenere in considerazione due fattori: La quantit di alimentazione che PSE pu fornire La quantit di alimentazione che PD sta cercando di consumare al momento
possibile decidere quanto segue: Alimentazione massima che un PSE pu fornire a PD Durante il funzionamento del dispositivo, possibile passare da Limite di alimentazione classe a Limite porta e vice versa. I valori di alimentazione per porta configurati per la modalit Limite porta vengono conservati. Il limite della porta massimo consentito come il limite numerico in base alla porta in mW (modalit Limite porta). Per generare una trap quando PD cerca di consumare troppo e a quale percentuale di alimentazione massima viene generata questa trap.
L'hardware specifico di PoE rileva automaticamente la classe PD e il suo limite di alimentazione in base alla classe del dispositivo connesso a ogni porta specifica (modalit Limite classe.). Se in qualsiasi momento della connettivit un PD associato richiede pi alimentazione dallo switch rispetto a quanto consente l'allocazione configurata (non importa se lo switch in modalit Limite classe o Limite porta), lo switch esegue quanto segue: Mantiene lo stato attivo/inattivo del collegamento alla porta PoE Disattiva la distribuzione di alimentazione alla porta PoE Registra il motivo della disattivazione dell'alimentazione Genera una trap SNMP
107

Configurazione delle propriet di PoE
10
Configurazione delle propriet di PoE

Nella PoE Properties Page viene consentita la selezione della modalit Limite porta o PoE limite classe e la specificazione delle trap PoE da generare. Queste impostazioni vengono immesse in anticipo. Quando PD si connette e consuma alimentazione, potrebbe consumare molto meno rispetto all'alimentazione massima consentita. Durante il riavvio dell'accensione, l'inizializzazione e la configurazione di sistema, la potenza di uscita viene disattivata per garantire che i PD non vengano danneggiati. Per configurare PoE nello switch e monitorare l'utilizzo dell'alimentazione corrente, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione porte > PoE > Propriet. Si apre la PoE Properties Page. PASSAGGIO 2 Immettere i valori dei seguenti campi:
Modalit di alimentazione: selezionare una delle seguenti opzioni: Limite porta: il limite di alimentazione massimo per ogni porta configurato dall'utente. Limite classe: il limite di alimentazione massima per porta viene determinato dalla classe del dispositivo, risultante dalla fase Classificazione.
Trap: attivare o disattivare trap. Se le trap sono attivate, necessario attivare anche SNMP e configurare almeno un Destinatario notifica SNMP. Soglia trap di alimentazione: immettere la soglia di utilizzo, cio una percentuale del limite di alimentazione. Se l'alimentazione supera questo valore, viene attivato un allarme.
Vengono visualizzati i seguenti contatori: Potenza nominale: la quantit totale di alimentazione che lo switch pu fornire a tutti i PD connessi. Potenza assorbita: quantit di alimentazione che le porte PoE stanno consumando. Potenza disponibile: potenza nominale: la quantit di alimentazione consumata.
108

Configurazione dell'alimentazione PoE, della priorit e della classe
10

Nella PoE Settings Page vengono visualizzate le informazioni sul sistema PoE per l'attivazione di PoE nelle interfacce e il monitoraggio dell'utilizzo corrente dell'alimentazione e il limite di alimentazione massimo per porta. In questa pagina l'alimentazione per porta viene limitata in due modi in base alla modalit di alimentazione: Limite porta: l'alimentazione limitata a un wattaggio specifico. Affinch queste impostazioni siano attive, il sistema deve essere in modalit Limite porta PoE. Quella modalit viene configurata nella PoE Properties Page. Quando l'alimentazione consumata nella porta supera il limite porta, l'alimentazione della porta viene disattivata. Limite classe: l'alimentazione viene limitata in base alla classe del PD connesso. Affinch queste impostazioni siano attive, il sistema deve essere in modalit Limite classe PoE. Quella modalit viene configurata nella PoE Properties Page. Quando l'alimentazione consumata nella porta supera il limite classe, l'alimentazione della porta viene disattivata. In alcuni casi, lo switch non ha abbastanza alimentazione per fornire a tutte le porte contemporaneamente l'alimentazione consentita. Per risolvere questo problema, assegnare alle porte sia i limiti che le priorit. Per esempio, 15.4 W consentito in tutte le 48 porte ma solo 24 porte possono ricevere alimentazione in una volta a causa dei limiti di alimentazione. In questo caso la priorit determina quali porte ricevono alimentazione e quali porte no anche se nessuna porta si trova sopra il limite e hanno tutte PD connessi. Queste priorit vengono immesse nella PoE Settings Page. Per configurare le impostazioni della porta PoE, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione porte > PoE > Impostazioni. Si apre la PoE Settings Page. PASSAGGIO 2 Selezionare una porta e fare clic su Modifica. Si apre la Edit PoE Settings Page . PASSAGGIO 3 Immettere il valore del seguente campo:
Porta: selezionare la porta da configurare. Stato amministrativo PoE: attivare o disattivare PoE nella porta.
109

10
Livello di priorit alimentazione: selezionare la priorit della porta: bassa, alta o critica da utilizzare quando l'alimentazione bassa. Per esempio, se l'alimentazione viene eseguita al 99% di utilizzo e la porta 1 ha una priorit alta ma la porta 3 ha una priorit bassa, la porta 1 riceve alimentazione mentre alla porta 3 l'alimentazione potrebbe essere negata. Classe: questo campo viene visualizzato solo se la Modalit di alimentazione impostata nella PoE Properties Page Limite classe. La classe determina il livello di alimentazione:
Classe 0 1 2 3 4
Alimentazione massima distribuita dalla porta dello switch 15,4 watt 4,0 watt 7,0 watt 15,4 watt 15,4 watt
Distribuzione alimentazione: questo campo viene visualizzato solo se la Modalit di alimentazione impostata nella PoE Properties Page Limite porta. Immettere l'alimentazione in milliwatt allocati nella porta. L'intervallo compreso tra 0 e 15.400. Assorbimento: viene visualizzata la quantit di alimentazione in milliwatt assegnata al dispositivo alimentato connesso all'interfaccia selezionata. Contatore sovraccarico: viene visualizzato il numero totale di volte in cui si verifica un sovraccarico di alimentazione. Contatore breve: visualizza il numero totale di volte in cui si verifica un calo di alimentazione. Contatore respinto: visualizza il numero di volte in cui il dispositivo alimentato stato respinto. Contatore assente: visualizza il numero di volte in cui l'alimentazione al dispositivo alimentato stata interrotta perch il dispositivo non pi stato rilevato.
110

10
Contatore firme non valido: visualizza le volte in cui stata ricevuta una firma non valida. Le firme sono il mezzo attraverso cui il dispositivo alimentato identifica se stesso nel PSE. Le firme vengono generate durante il rilevamento, la classificazione o la manutenzione del dispositivo alimentato.
PASSAGGIO 4 Fare clic su Applica. Le impostazioni PoE della porta vengono definite e lo switch
viene aggiornato.
111
11
Gestione VLAN
In questo capitolo sono presenti i seguenti argomenti: Reti VLAN Configurazione delle impostazioni VLAN predefinite Creazione di VLAN Configurazione delle impostazioni interfaccia VLAN Definizione di Appartenenza a VLAN Impostazioni GVRP GRUPPI VLAN VLAN vocale Configurazione delle propriet della VLAN vocale
Reti VLAN
Una VLAN un gruppo logico che consente ai dispositivi connessi alla VLAN di comunicare l'un l'altro sul livello MAC di Ethernet, indipendentemente dal segmento LAN fisico della rete connessa a cui sono connessi. Descrizione VLAN Ogni VLAN configurata con un VID (ID VLAN) univoco con un valore compreso tra 1 e 4094. Una porta di un dispositivo in una rete connessa un membro di una VLAN se pu inviare dati a e ricevere dati dalla VLAN. Una porta un membro senza tag di una VLAN se tutti i pacchetti destinati a quella porta della VLAN non hanno nessun tag VLAN. Una porta un membro con tag di una VLAN se tutti i pacchetti destinati a quella porta della VLAN hanno un tag VLAN. Una porta pu essere un membro di una o pi VLAN.
112
Gestione VLAN
Reti VLAN
11
Una porta in modalit Accesso VLAN pu far parte solo di una VLAN. Se in modalit Generale o Connessione, la porta pu far parte di una o pi VLAN. Le VLAN affrontano problemi relativi alla sicurezza e alla scalabilit. Il traffico di una VLAN rimane all'interno della VLAN e termina nei dispositivi della VLAN. Facilita inoltre la configurazione di rete connettendo logicamente dispositivi senza riposizionarli fisicamente. Se un frame ha tag VLAN, a ogni frame Ethernet viene aggiunto un tag VLAN a quattro byte, aumentando le dimensioni massime del frame da 1518 a 1522. Il tag contiene un ID VLAN tra 1 e 4094 e un tag di priorit VLAN (VPT) tra 0 e 7. Per dettagli su VPT, vedere Modalit QoS. Quando un frame immette un dispositivo in grado di rilevare reti VLAN, viene classificato come appartenente a una VLAN, in base al tag VLAN a quattro byte del frame. Se nel frame non ci sono tag VLAN o se il frame ha solo tag di priorit, il frame viene classificato per la VLAN basata sul PVID (identificatore VLAN della porta) configurato sulla porta d'ingresso in cui il frame viene ricevuto. Il frame viene eliminato sulla porta d'ingresso se Filtro traffico in ingresso attivato e la porta d'ingresso non un membro della VLAN a cui appartiene il pacchetto. Un frame viene considerato come con tag di priorit solo se VID nel suo tag VLAN 0. I frame che appartengono a una VLAN rimangono nella VLAN. A questo scopo necessario inviare o reindirizzare un frame solo alle porte di uscita membri della VLAN di destinazione. Una porta di uscita pu essere un membro con tag o senza tag di una VLAN. La porta di uscita: Aggiunge un tag VLAN al frame se la porta di uscita un membro con tag della VLAN di destinazione e il frame originale non ha un tag VLAN. Rimuove il tag VLAN dal frame se la porta di uscita un membro senza tag della VLAN di destinazione e il frame originale ha un tag VLAN.
Ruoli VLAN Le VLAN funzionano a Livello 2. Tutto il traffico della VLAN (unicast/broadcast/ multicast) rimane in quella VLAN. I dispositivi associati a diverse VLAN non hanno una connettivit diretta l'uno verso l'altro sul livello MAC di Ethernet. I dispositivi di VLAN diverse possono comunicare l'un l'altro solo tramite i router Livello 3. Un router IP, per esempio, deve eseguire il routing del traffico IP tra le VLAN se ogni VLAN rappresenta una subnet IP.
113
Gestione VLAN
Reti VLAN
11
Il router IP deve essere un router tradizionale in cui ogni interfaccia si connette solo a una VLAN. Il traffico verso e da un router IP tradizionale deve essere una VLAN senza tag. Il router IP pu essere un router in grado di rilevare reti VLAN in cui ogni interfaccia pu connettersi a una o pi VLAN. Il traffico verso e da un router IP in grado di rilevare reti VLAN pu essere una VLAN con o senza tag. I dispositivi in grado di rilevare VLAN si scambiano l'un l'altro informazioni su VLAN utilizzando il protocollo GVRP (Generic VLAN Registration Protocol). Di conseguenza, le informazioni sulla VLAN vengono propagate tramite una rete connessa. possibile creare VLAN in un dispositivo dinamicamente o statisticamente in base alle informazioni su GVRP scambiate dai dispositivi. Una VLAN pu essere statica o dinamica (da GRVP), ma non entrambe. Per ulteriori informazioni su GVRP, fare riferimento alla sezione Impostazioni GVRP. Alcune VLAN possono avere altri ruoli, inclusi: VLAN vocale: per ulteriori informazioni, fare riferimento alla sezione VLAN vocale. VLAN ospite: impostare nella Edit VLAN Authentication Page. VLAN predefinita: per ulteriori informazioni, fare riferimento alla sezione Configurazione delle impostazioni VLAN predefinite. Gestione VLAN (nei sistemi in modalit Livello 2): per ulteriori informazioni, fare riferimento alla sezione Indirizzamento IP di livello 2.
Flusso di lavoro della configurazione di VLAN Per configurare le VLAN, attenersi alla seguente procedura: 1. Se richiesto, modificare la VLAN predefinita utilizzando la sezione Configurazione delle impostazioni VLAN predefinite. 2. Creare le VLAN richieste utilizzando la sezione Creazione di VLAN. 3. Impostare la configurazione relativa a VLAN in base alla porta desiderata utilizzando la sezione Configurazione delle impostazioni interfaccia VLAN . 4. Assegnare le interfacce alle VLAN utilizzando la sezione Configurazione di Porta a VLAN o la sezione Configurazione VLAN a porta. 5. possibile visualizzare l'appartenenza alla porta VLAN corrente di tutte le interfacce della sezione Visualizzazione di Appartenenza a VLAN.
114
Gestione VLAN
Configurazione delle impostazioni VLAN predefinite
11
Configurazione delle impostazioni VLAN predefinite

Nelle impostazioni predefinite di fabbrica lo switch crea automaticamente VLAN 1 come la VLAN predefinita, lo stato dell'interfaccia predefinita di tutte le porte Connessione e tutte le porte sono configurate come membri senza tag della VLAN predefinita. La VLAN predefinita presenta le seguenti caratteristiche: distinta, non statica/non dinamica e tutte le porte sono membri senza tag per impostazione predefinita. Non si pu eliminare. Non si pu darle un'etichetta. Non pu essere utilizzata per un ruolo speciale come una VLAN non autenticata o una VLAN vocale. Se una porta non pi un membro di nessuna VLAN, lo switch configura automaticamente la porta come un membro senza tag della VLAN predefinita. Una porta non pi un membro di una VLAN se questa viene eliminata oppure se la porta viene rimossa dalla VLAN. I server RADIUS non possono assegnare la VLAN predefinita ai richiedenti 802.1x utilizzando Assegnazione VLAN dinamica.
Quando il VID della VLAN predefinita viene modificato, lo switch esegue quanto segue in tutte le porte della VLAN dopo aver salvato la configurazione e aver riavviato lo switch: Rimuove l'appartenenza a VLAN delle porte della VLAN predefinita originale (possibile solo dopo il riavvio). Modifica il PVID (identificatore VLAN porta) delle porte nel VID della nuova VLAN predefinita. L'ID VLAN predefinito originale viene rimosso dallo switch. Per essere utilizzato, deve essere creato di nuovo. Aggiunge le porte come membri VLAN senza tag della nuova VLAN predefinita.
115
Gestione VLAN
Creazione di VLAN
11
Per modificare la VLAN predefinita, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione VLAN > Impostazioni VLAN predefinite. Si apre la Default
VLAN Settings Page.

PASSAGGIO 2 Immettere il valore del seguente campo:
ID VLAN predefinito corrente: indica l'ID VLAN predefinito corrente. ID VLAN predefinito dopo il ripristino: immettere un nuovo ID VLAN per sostituire l'ID VLAN predefinito dopo il riavvio.
PASSAGGIO 3 Fare clic su Applica. PASSAGGIO 4 Fare clic su Salva (nell'angolo superiore destro della finestra) e salvare la
Configurazione di esecuzione in Configurazione di avvio. L'ID VLAN predefinito dopo il ripristino diventa l'ID VLAN predefinito corrente dopo il riavvio dello switch.
Creazione di VLAN
possibile creare una VLAN che per non ha effetto fino a quando la VLAN non viene associata ad almeno una porta, manualmente o dinamicamente. Le porte devono appartenere sempre a una o pi VLAN. Lo switch Cisco della serie Sx300 supporta 256 VLAN; VLAN predefinita inclusa. Ogni VLAN deve essere configurata con un VID (ID VLAN) univoco con un valore compreso tra 1 e 4094. Lo switch riserva VID 4095 come la VLAN di scarto. Tutti i pacchetti classificati per la VLAN di scarto vengono eliminati all'ingresso e non vengono mai reindirizzati a una porta.
116
Gestione VLAN
Creazione di VLAN
11
Per creare una VLAN, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione VLAN > Crea VLAN. Si apre la Create VLAN Page.
Nella pagina Crea VLAN vengono visualizzati i seguenti campi per tutte le VLAN: ID VLAN: ID VLAN definito dall'utente. Nome VLAN: nome VLAN definito dall'utente. Tipo: tipo di VLAN. Le opzioni possibili sono: Dinamico: VLAN creata dinamicamente attraverso il protocollo GVRP (Generic VLAN Registration Protocol). Statico: VLAN definita dall'utente. Predefinito: VLAN la VLAN predefinita.
PASSAGGIO 2 Fare clic su Aggiungi per aggiungere una nuova VLAN o selezionare una VLAN
esistente, quindi su Modifica per modificare i parametri VLAN. Si apre la Add/Edit VLAN Page . In questa pagina viene consentita la creazione di una VLAN singola o di un intervallo di VLAN.
PASSAGGIO 3 Per creare una VLAN singola, selezionare il pulsante di opzione VLAN, immettere
l'ID VLAN (VID) e se si desidera il Nome VLAN. Per creare un intervallo di VLAN, selezionare il pulsante di opzione Intervallo e specificare l'intervallo di VLAN da creare immettendo il VID iniziale e il VID finale, inclusi.
PASSAGGIO 4 Fare clic su Applica per creare le VLAN.
117
Gestione VLAN
Configurazione delle impostazioni interfaccia VLAN
11

Nella Interface Settings Page viene visualizzata e consentita la configurazione di parametri relativi a VLAN per tutte le interfacce. Lo switch Cisco della serie Sx300 supporta 256 VLAN; VLAN predefinita inclusa. Per configurare le impostazioni della VLAN, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione VLAN > Impostazioni interfaccia. Si apre la Interface
Settings Page.
Nella pagina Impostazioni interfaccia vengono elencati tutte le porte o tutti i LAG e i loro parametri VLAN.
PASSAGGIO 2 Selezionare un tipo di interfaccia (porta o LAG) e fare clic su Vai. PASSAGGIO 3 Selezionare una porta o LAG e fare clic su Modifica. Si apre la Edit Interface
Setting Page.
Interfaccia: selezionare una porta/un LAG. Modalit VLAN interfaccia: selezionare la modalit dell'interfaccia della VLAN. Le opzioni sono: Generale: l'interfaccia pu supportare tutte le funzioni come definito nella specifica IEEE 802.1q. L'interfaccia pu essere un membro con o senza tag di una o pi VLAN. Accesso: l'interfaccia un membro senza tag di una VLAN singola. Una porta configurata in questa modalit conosciuta come una porta di accesso. Connessione: l'interfaccia un membro senza tag di una VLAN al massimo ed un membro con tag di zero o pi VLAN. Una porta configurata in questa modalit conosciuta come una porta di connessione.
PVID : immettere l'ID VLAN della porta (PVID) della VLAN in base a cui sono classificati i frame con tag di priorit e senza tag in ingresso. I possibili valori sono compresi tra 1 e 4094.
118
Gestione VLAN
11
Tipo di frame: selezionare il tipo di frame che l'interfaccia pu ricevere. I frame che non fanno parte del tipo di frame configurato vengono eliminati all'ingresso. Questi tipi di frame sono disponibili solo in modalit Generale. Le opzioni disponibili sono: Ammetti tutti: l'interfaccia accetta tutti i tipi di frame: frame senza tag, frame con tag e frame con tag di priorit. Ammetti solo con tag: l'interfaccia accetta solo i frame con tag. Ammetti solo senza tag: l'interfaccia accetta solo i frame senza tag e di priorit.
Filtro traffico in ingresso: (disponibile solo in modalit Generale) selezionare per attivare il filtro traffico in ingresso. Quando un'interfaccia ha il filtro traffico in ingresso attivato, l'interfaccia elimina tutti i frame in ingresso classificati come VLAN la cui interfaccia non un membro. Il filtro del traffico in ingresso pu essere disattivato o attivato nelle porte generali. sempre attivato nelle porte di accesso e di connessione. Appartenenza automatica in VLAN vocale: selezionare per attivare Appartenenza automatica a VLAN vocale. Quando questa opzione attivata in un'interfaccia, lo switch configura automaticamente l'interfaccia come un membro della VLAN vocale, se lo switch rileva pacchetti vocali in ingresso basati sugli OUI (Organizationally Unique Identifier) di telefonia configurati. Il criterio di rete LLDP-MED non attiva VLAN vocale. Modalit QoS VLAN vocale: selezionare uno dei seguenti valori: Tutto: valori di QoS (Quality of Service) configurati per la VLAN vocale applicati a tutti i frame in ingresso ricevuti nell'interfaccia e classificati per la VLAN vocale. Indirizzo MAC origine telefonia: i valori QoS configurati per la VLAN vocale applicati ai frame in ingresso ricevuti nell'interfaccia, classificati per la VLAN vocale e con un indirizzo MAC origine configurato con OUI telefonia (OUI telefonia vengono configurati utilizzando la procedura della sezione Configurazione OUI telefonia).
PASSAGGIO 5 Fare clic su Applica. I parametri vengono impostati e lo switch viene aggiornato.
119
Gestione VLAN
Definizione di Appartenenza a VLAN
11

Nella Port to VLAN Page, VLAN To Port Page e Port VLAN Membership Page vengono visualizzate le appartenenze alla VLAN delle porte in presentazioni diverse. possibile utilizzare la Port to VLAN Page e la VLAN To Port Page per aggiungere o rimuovere appartenenze alle o dalle VLAN. Quando una porta ha l'appartenenza a VLAN predefinita vietata, questa porta non ha un'appartenenza autorizzata in nessun'altra VLAN. Un VID interno di 4095 viene assegnato alla porta. Per reindirizzare i pacchetti correttamente, i dispositivi in grado di rilevare reti VLAN intermedi che trasmettono il traffico VLAN lungo il percorso tra i nodi finali devono essere configurati manualmente o devono rilevare dinamicamente le VLAN e le loro appartenenze alla porta dal protocollo GVRP (Generic VLAN Registration Protocol). L'appartenenza alla porta senza tag tra due dispositivi in grado di rilevare reti VLAN senza l'intervento di dispositivi in grado di rilevare reti VLAN deve essere nella stessa VLAN. In altre parole, il PVID nelle porte tra i due dispositivi deve essere lo stesso se le porte devono inviare e ricevere pacchetti senza tag alla e dalla VLAN. Altrimenti, il traffico pu fuoriuscire da una VLAN all'altra. I frame con tag VLAN possono passare tra i dispositivi di interconnessione di rete in grado o meno di rilevare reti VLAN. Se un nodo finale di destinazione non in grado di rilevare reti VLAN ma in grado di ricevere traffico da una VLAN, l'ultimo dispositivo in grado di rilevare reti VLAN (se presente) deve inviare frame della VLAN di destinazione al nodo finale senza tag. Quindi, la porta di uscita che raggiunge il nodo finale deve essere un membro senza tag della VLAN.
Configurazione di Porta a VLAN

Utilizzare la Port to VLAN Page per visualizzare e configurare una VLAN e tutti i suoi membri porta in una singola pagina. Per associare porte o LAG a una VLAN, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione VLAN > Porta a VLAN. Si apre la Port to VLAN Page. PASSAGGIO 2 Selezionare una VLAN e il tipo di interfaccia (porta o LAG) e fare clic su Vai per
visualizzare o modificare le caratteristiche della porta per quanto riguarda la VLAN.
120
Gestione VLAN
11
La modalit porta di ogni porta o LAG viene visualizzata con la sua modalit porta corrente (Accesso, Connessione o Generale) configurata dalla Interface Settings Page. Ogni porta o LAG viene visualizzato con la sua registrazione corrente alla VLAN.
PASSAGGIO 3 Modificare la registrazione di un'interfaccia nella VLAN selezionando l'opzione
desiderata dal seguente elenco: Vietato: l'interfaccia non autorizzata a includere la VLAN, neanche dalla registrazione GVRP. Quando una porta non un membro di altre VLAN, attivare questa opzione nella porta fa diventare la porta parte della VLAN 4095 interna (un VID riservato). Escluso: l'interfaccia al momento non un membro della VLAN. Si tratta dell'impostazione predefinita di tutte le porte e di tutti i LAG. La porta pu includere la VLAN tramite la registrazione GVRP. Con tag: l'interfaccia un membro con tag della VLAN. I frame della VLAN vengono inviati con tag alla VLAN interfaccia. Senza tag: l'interfaccia un membro senza tag della VLAN. I frame della VLAN vengono inviati senza tag alla VLAN interfaccia. PVID : selezionare per impostare il PVID dell'interfaccia sul VID della VLAN. PVID un'impostazione basata sulla porta. possibile configurare solo il PVID di porte Generali.
PASSAGGIO 4 Fare clic su Applica. Le interfacce vengono assegnate alla VLAN e lo switch viene
aggiornato. possibile continuare a visualizzare e/o a configurare l'appartenenza alla porta di un'altra VLAN selezionando un altro ID VLAN.
Configurazione VLAN a porta

Utilizzare la VLAN To Port Page per associare porte a pi VLAN dinamiche. Per assegnare una porta a pi VLAN, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione VLAN > VLAN a porta. Si apre la VLAN To Port Page. PASSAGGIO 2 Selezionare un tipo di interfaccia (porta o LAG) e fare clic su Vai. Per tutte le
interfacce del tipo selezionato vengono visualizzati i campi seguenti:
121
Gestione VLAN
11
Interfaccia: ID porta/LAG. Modalit: modalit VLAN interfaccia selezionata nella Interface Settings
Page.
VLAN: elenco a discesa che visualizza tutte le VLAN di cui l'interfaccia un membro. LAG: se l'interfaccia selezionata Porta, viene visualizzato il LAG di cui un membro.
PASSAGGIO 3 Selezionare una porta e fare clic sul pulsante Includi VLAN. Si apre la Join VLAN
To Port Page.
Interfaccia: selezionare una porta o un LAG. Modalit: indica la modalit VLAN porta selezionata nella Interface Settings
Page.
Seleziona VLAN: per associare una porta con VLAN, spostare gli ID VLAN dall'elenco di sinistra all'elenco di destra utilizzando i pulsanti frecce. La VLAN predefinita pu apparire nell'elenco di destra se con tag ma non pu essere selezionata. Tag: selezionare una delle seguenti opzioni di tag/PVID: Con tag: selezionare se la porta con tag. Non importante per le porte di accesso. Senza tag: selezionare se la porta senza tag. Non importante per le porte di accesso. PVID : PVID impostato su questa VLAN. Se l'interfaccia in modalit di accesso o di connessione, lo switch trasforma automaticamente l'interfaccia in un membro senza tag della VLAN. Se l'interfaccia in modalit generale, necessario configurare manualmente l'appartenenza a VLAN.
PASSAGGIO 5 Fare clic su Applica. Le impostazioni vengono modificate e lo switch viene
aggiornato.
122
Gestione VLAN
Impostazioni GVRP
11
Visualizzazione di Appartenenza a VLAN
Nella Port VLAN Membership Page viene visualizzato un elenco delle VLAN a cui appartiene ogni porta. Per visualizzare Appartenenza a VLAN, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione VLAN > Appartenenza a VLAN porta. Si apre la Port VLAN
Membership Page .
PASSAGGIO 2 Selezionare un tipo di interfaccia (porta o LAG) e fare clic su Vai.
Nella pagina Appartenenza a VLAN porta viene visualizzata l'appartenenza operativa delle porte o dei LAG: Numero della porta. Modalit: modalit della porta definita nella Interface Settings Page. PVID : identificatore VLAN della porta a cui vengono assegnati i frame senza tag in ingresso all'ingresso. Si presuppone che non venga utilizzato nessun altro meccanismo di assegnazione VLAN, come VLAN basata su MAC. VLAN: VLAN a cui appartiene la porta.
Impostazioni GVRP
I dispositivi adiacenti in grado di rilevare reti VLAN possono scambiarsi l'un l'altro informazioni su VLAN utilizzando il protocollo GVRP (Generic VLAN Registration Protocol). GVRP si basa sul protocollo GARP (Generic Attribute Registration Protocol) e divulga informazioni su VLAN su una rete connessa. Dato che GVRP richiede assistenza per l'assegnazione di tag, la porta deve essere configurata in modalit Connessione o in modalit Generale. Quando una porta include una VLAN utilizzando GVRP, viene aggiunta alla VLAN come un membro dinamico, a meno che ci non sia espressamente vietato nella VLAN To Port Page. Se la VLAN non esiste, viene creata dinamicamente quando la creazione di VLAN dinamica viene attivata per questa porta. GVRP deve essere attivato a livello globale e su ogni porta. Quando attivato, trasmette e riceve GPDU (GARP Packet Data Units). Le VLAN definite ma non attive non vengono divulgate. Per divulgare la VLAN, deve essere attiva su almeno una porta.
Gestione VLAN
Impostazioni GVRP
11
Definizione delle impostazioni GVRP
Per definire le impostazioni GVRP per un'interfaccia, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione VLAN > Impostazioni GVRP. Si apre la GVRP Settings Page
.
PASSAGGIO 2 Selezionare Stato generale GVRP per attivare GVRP a livello globale. PASSAGGIO 3 Fare clic su Applica per impostare lo stato GVRP globale. PASSAGGIO 4 Selezionare un tipo di interfaccia (porta o LAG) e fare clic su Vai. Nella tabella
Impostazione GVRP vengono visualizzati i campi seguenti. Interfaccia: numero di porta o di LAG. Stato GVRP: indica se GVRP attivato/disattivato sull'interfaccia. Creazione VLAN dinamica: indica se Creazione VLAN dinamica attivato/ disattivato sull'interfaccia. Se disattivato, GVRP pu funzionare ma le nuove VLAN non vengono create. Registrazione GVRP: indica se la registrazione di VLAN tramite GVRP attivata/disattivata sulla porta.
PASSAGGIO 5 Per definire le impostazioni GVRP per una porta, selezionarla e fare clic su
Modifica. Si apre la Edit GVRP Setting Page.

Interfaccia: selezionare l'interfaccia (porta o LAG) da modificare. Stato GVRP: selezionare per attivare GVRP su questa interfaccia. Creazione VLAN dinamica: selezionare per attivare Creazione VLAN dinamica su questa interfaccia. Registrazione GVRP: selezionare per attivare Registrazione VLAN utilizzando GVRP su questa interfaccia.
PASSAGGIO 7 Fare clic su Applica. Le impostazioni GVRP vengono modificate e lo switch viene
aggiornato.
124
Gestione VLAN
GRUPPI VLAN
11
Assegnazione di gruppi VLAN basate su MAC
Utilizzare questa funzione per assegnare il traffico senza tag degli indirizzi MAC specifici a una VLAN specifica per i dispositivi in modalit Livello 2. L'assegnazione viene eseguita in fasi: 1. Assegnare l'indirizzo MAC a un ID gruppo (un identificatore creato utilizzando la MAC Based Groups Page). 2. Per ogni interfaccia, assegnare il gruppo VLAN a una VLAN utilizzando Mapping Group to VLAN Page (le interfacce devono essere in modalit Generale). Questa funzione disponibile solo quando lo switch in modalit Livello 2. necessario creare la VLAN e poi associarla all'interfaccia. Per assegnare un indirizzo MAC a un gruppo VLAN, attenersi alla seguente procedura:
GRUPPI VLAN
PASSAGGIO 1 Fare clic su Gestione VLAN > Gruppi VLAN > Gruppi basati su MAC. Si apre la
MAC Based Groups Page .

PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add MAC Based Group. PASSAGGIO 3 Immettere i valori dei seguenti campi:
Indirizzo MAC : immettere un indirizzo MAC da assegnare a un gruppo VLAN.

NOTA Questo indirizzo MAC non pu essere assegnato a qualsiasi altro
gruppo VLAN. Maschera: immettere una delle seguenti opzioni: Host: host di origine dell'indirizzo MAC Prefisso dell'indirizzo MAC
ID gruppo: immettere un numero ID gruppo VLAN creato dall'utente.
PASSAGGIO 4 Fare clic su Applica. L'indirizzo MAC viene assegnato a un gruppo VLAN.
125
Gestione VLAN
GRUPPI VLAN
11
Assegnazione di un ID gruppo VLAN a VLAN per interfaccia
Nella Mapping Group to VLAN Page vengono visualizzati i gruppi basati su MAC creati nella MAC Based Groups Page. Questa funzione disponibile solo quando lo switch in modalit Livello 2 e la porta in modalit Generale. Per assegnare un ID gruppo VLAN a una VLAN per interfaccia, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione VLAN > Gruppi VLAN > Gruppo di associazione a VLAN. Si
apre la Mapping Group to VLAN Page . La finestra visualizza: Interfaccia: tipo di interfaccia (porta o LAG) attraverso cui il traffico viene ricevuto per questo gruppo. ID gruppo: gruppo VLAN definito nella MAC Based Groups Page. ID VLAN: il traffico viene reindirizzato dal gruppo VLAN a questa VLAN.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Mapping Group to VLAN. (l'interfaccia deve
essere in modalit Generale).

Tipo di gruppo: indica che il gruppo basato su MAC. Interfaccia: immettere un'interfaccia (porta o LAG) attraverso cui il traffico viene ricevuto. ID gruppo: selezionare uno dei gruppi VLAN definiti nella MAC Based
Groups Page.
ID VLAN: selezionare la VLAN a cui viene reindirizzato il traffico dal gruppo VLAN.
NOTA Per ogni interfaccia, possibile selezionare qualsiasi gruppo e VLAN. PASSAGGIO 4 Fare clic su Applica per impostare l'associazione del gruppo VLAN alla VLAN (la
VLAN basata su MAC non associa la porta dinamicamente alla VLAN gruppo MAC; l'interfaccia su cui viene definita la VLAN basata su MAC deve essere aggiunta manualmente a questa VLAN).
126
Gestione VLAN
VLAN vocale
11
La VLAN vocale viene utilizzata quando il traffico dell'apparecchiatura o dei telefoni VoIP viene assegnato a una VLAN specifica. Lo switch pu rilevare e aggiungere automaticamente membri porta alla VLAN vocale e assegnare la QoS (Quality of Service) configurata ai pacchetti della VLAN vocale. Attributi QoS possibile assegnare gli attributi QoS ai pacchetti VoIP (vocali e di segnalazione) per definire la priorit del traffico attraverso lo switch. possibile assegnare gli attributi QoS in base alla porta ai pacchetti vocali in due modalit: Tutto: valori di QoS (Quality of Service) configurati per la VLAN vocale applicati a tutti i frame in ingresso ricevuti nell'interfaccia e classificati per la VLAN vocale. ORIGINE: i valori QoS configurati per la VLAN vocale applicati ai frame in ingresso ricevuti nell'interfaccia, classificati per la VLAN vocale e con un indirizzo MAC origine configurato con OUI telefonia (OUI telefonia vengono configurati utilizzando la procedura della sezione Configurazione OUI telefonia).
VLAN vocale
Negli indirizzi MAC, i primi tre byte contengono un ID produttore, noto come un OUI (Organizationally Unique Identifier) e gli ultimi tre byte contengono un ID stazione univoco. La classificazione di un pacchetto dall'apparecchiatura o dai telefoni VoIP basata sull'OUI dell'indirizzo MAC di origine del pacchetto. possibile assegnare porte alla VLAN vocale come indicato di seguito: Statico: assegnato manualmente alla VLAN vocale (descritto nella sezione Configurazione delle impostazioni interfaccia VLAN). Dinamico: la porta viene identificata come candidato a includere la VLAN vocale. Quando un pacchetto con un indirizzo MAC OUI di origine che identifica l'apparecchiatura remota come apparecchiatura vocale viene visualizzato nella porta, la porta include la VLAN vocale come porta con tag (viene configurato utilizzando il processo descritto nella sezione Configurazione delle impostazioni interfaccia VLAN). Se l'ora a partire da cui l'ultimo indirizzo MAC telefonia stato escluso dalla tabella Indirizzo MAC supera la validit temporale di VLAN vocale, la porta viene rimossa dalla VLAN vocale. La validit temporale pu essere modificata utilizzando la procedura descritta nella sezione Configurazione delle propriet della VLAN vocale.
127
Gestione VLAN
VLAN vocale
11
Per l'assegnazione dinamica sono supportati i seguenti scenari di rete: Un telefono viene configurato con l'ID VLAN vocale e invia sempre pacchetti con tag. Un telefono invia pacchetti senza tag per ottenere il suo indirizzo IP iniziale. Una risposta dal server DHCP locale ordina al telefono di utilizzare l'ID VLAN vocale. Il telefono riavvia poi una sessione DHCP nella VLAN vocale (con tag). Se l'attrezzatura vocale supporta il protocollo LLDP-MED, lo switch invia un criterio di rete LLDP-MED che comunica al telefono come inviare i frame allo switch (per esempio: con tag e senza tag con quale VLAN).
Opzioni VLAN vocale

Opzioni VLAN vocale Con questa funzione possibile eseguire le seguenti operazioni: Attivare o disattivare VLAN vocale come descritto nella sezione Configurazione delle propriet della VLAN vocale. Creare una nuova VLAN che funga da VLAN vocale utilizzando la Create VLAN Page oppure configurare una VLAN esistente come descritto nella sezione Configurazione delle propriet della VLAN vocale. Assegnare porte come candidati alla VLAN vocale (viene configurato utilizzando il processo descritto nella sezione Configurazione delle impostazioni interfaccia VLAN). Assegnare la modalit QoS in base alla porta a una delle seguenti: Per una porta con gi la VLAN vocale inclusa, tutti i pacchetti vengono assegnati alla VLAN vocale come descritto nella sezione Configurazione delle impostazioni interfaccia VLAN. Solo i pacchetti dei telefoni IP (basati sul prefisso dell'indirizzo MAC OUI di origine) utilizzando la procedura descritta nella sezione Configurazione delle impostazioni interfaccia VLAN.
Immettere Classe di servizio VLAN vocale (con o senza contrassegnazione del pacchetto VPT) utilizzando la Voice VLAN Properties Page. Quando la contrassegnazione selezionata, lo switch cambia la priorit 802.1p del pacchetto all'uscita. Impostare l'opzione di contrassegnazione come descritto nella sezione Configurazione delle propriet della VLAN vocale.
128
Gestione VLAN
VLAN vocale
11
Configurare e aggiornare la tabella OUI telefonia con al massimo 128 voci (ogni voce un numero a tre ottetti) come descritto nella sezione Configurazione OUI telefonia. Lo switch utilizza la tabella per determinare se una porta ha Appartenenza a VLAN vocale automatica attivato e includer la VLAN vocale. Immettere la validit temporale di VLAN vocale come descritto nella sezione Configurazione delle propriet della VLAN vocale.
Vincoli di VLAN vocale

Vincoli di VLAN vocale Esistono i seguenti vincoli: supportata una sola VLAN vocale. La VLAN vocale non supportata da Assegnazione VLAN dinamica (DVA). La VLAN vocale deve essere una VLAN statica creata manualmente. Non possibile rimuovere una VLAN definita come una VLAN vocale. possibile configurare un nuovo ID VLAN per la VLAN vocale solo se quella corrente non ha porte candidate. La VLAN vocale non pu essere la VLAN ospite. La VLAN interfaccia di una porta candidata deve essere in modalit Generale o Connessione. La decisione della QoS della VLAN vocale ha priorit su qualsiasi altra decisione QoS tranne che per la decisione della QoS del criterio/di ACL. La QoS della VLAN vocale viene applicata alle porte candidate con la VLAN vocale inclusa e alle porte statiche. Il flusso vocale viene accettato se possibile rilevare l'indirizzo MAC da FDB (se non c' spazio libero in FDB, non si verifica nessuna azione).
129
Gestione VLAN
11

Utilizzare la Voice VLAN Properties Page per configurare a livello globale la funzione VLAN vocale configurando quanto segue: ID VLAN della VLAN vocale Classe di traffico ricevuta dal traffico Intervallo di tempo in cui la porta rimane nella VLAN vocale dopo che l'ultimo frame VoIP stato identificato come avente un OUI nella tabella
Per attivare la funzione in una porta, necessario attivarla a livello globale nella Interface Settings Page. Per configurare le propriet della VLAN vocale, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione VLAN > VLAN vocale > Propriet. Si apre la Voice VLAN
Properties Page .
Stato VLAN vocale: selezionare questo campo per attivare la funzione VLAN vocale. ID VLAN vocale: selezionare la VLAN che deve essere la VLAN vocale. Classe di servizio: selezionare per aggiungere un livello CoS ai pacchetti senza tag ricevuti nella VLAN vocale. I valori possibili sono compresi tra 0 e 7, dove 7 rappresenta la priorit pi alta. 0 viene utilizzato come best-effort e viene invocato automaticamente quando non stato impostato nessun altro valore (predefinito). Contrassegna CoS: selezionare per riassegnare il livello CoS ai pacchetti ricevuti nella VLAN vocale. Se questa opzione selezionata, la priorit dell'utente esterno sar la nuova CoS. Altrimenti, la priorit dell'utente esterno sar la CoS originale, dato che viene utilizzata la modalit Connessione. Validit temporale appartenenza automatica: immettere l'intervallo di tempo dopo cui la porta esiste nella VLAN vocale se non stato ricevuto nessun pacchetto vocale. L'intervallo compreso tra 1 minuto e 30 giorni.
PASSAGGIO 3 Fare clic su Applica. Le propriet della VLAN vengono salvate e lo switch viene
aggiornato.
130
Gestione VLAN
11
Configurazione OUI telefonia

Gli OUI vengono assegnati dall'autorit di registrazione IEEE (Institute of Electrical and Electronics Engineers, Incorporated). Dato che il numero di produttori di telefoni IP limitato e noto, i valori OUI noti provocano l'assegnazione automatica dei frame selezionati e della porta su cui vengono visualizzati a una VLAN vocale. La tabella OUI globali pu contenere un massimo di 128 OUI. Utilizzare la Telephony OUI Page per visualizzare gli OUI esistenti e aggiungerne di nuovi. Per aggiungere un nuovo OUI VLAN vocale, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Gestione VLAN > VLAN vocale > OUI telefonia. Si apre la Telephony
OUI Page .
Nella pagina OUI telefono vengono visualizzati i seguenti campi: OUI telefonia: le prime sei cifre dell'indirizzo MAC riservate per gli OUI. Descrizione: descrizione OUI assegnato dall'utente.
Fare clic su Ripristina impostazioni predefinite per eliminare tutti gli OUI creati dall'utente e lasciare solo gli OUI predefiniti nella tabella. Per eliminare tutti gli OUI, selezionare la casella di controllo in alto. Tutti gli OUI sono selezionati e possono essere eliminati facendo clic su Elimina. Se poi si fa clic su Ripristina, il sistema recupera gli OUI noti.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Telephony OUI Page. PASSAGGIO 3 Immettere i valori dei seguenti campi:
OUI telefonia: immettere un nuovo OUI. Descrizione: immettere il nome di un OUI.
PASSAGGIO 4 Fare clic su Applica. L'OUI stato aggiunto.
131
12
Configurazione del protocollo Spanning Tree Protocol
Per impostazione predefinita, il protocollo STP (Spanning Tree Protocol) (IEEE802.1D e IEEE802.1Q) attivo e impostato sulla modalit RSTP. Esso consente di proteggere un dominio di broadcast di Livello 2 dagli storm broadcast impostando in modo selettivo i collegamenti in modalit standby per impedire il verificarsi di loop. In questa modalit, i collegamenti temporaneamente non trasferiscono i dati degli utenti, e vengono riattivati automaticamente quando viene modificata la topologia rendendo possibile il trasferimento di dati. In questo capitolo sono presenti i seguenti argomenti: Aspetti del protocollo STP Configurazione dello Stato STP e delle Impostazioni generali Definizione delle impostazioni dell'interfaccia di Spanning Tree Configurazione delle impostazioni di Rapid Spanning Tree Multiple Spanning Tree Definizione delle propriet MSTP Associazione delle VLAN a un'istanza MST Definizione delle impostazioni dell'Istanza MST Definizione delle impostazioni interfaccia MSTP
132

Aspetti del protocollo STP
12
Aspetti del protocollo STP

I loop si verificano quando esistono percorsi alternativi tra gli host. In reti di grandi dimensioni la presenza di loop pu causare l'inoltro ciclico di traffico da parte degli switch di Livello 2, con un conseguente incremento del traffico di rete e una riduzione dell'efficienza della rete. Il protocollo STP fornisce una topologia ad albero per qualsiasi configurazione di switch di Livello 2 e un connessione tra i collegamenti, definendo un unico percorso tra le stazioni terminali di una rete ed evitando la creazione di loop. Lo switch supporta le seguenti versioni del protocollo STP: STP tradizionale fornisce un percorso unico tra le due stazioni terminali, prevenendo ed eliminando i loop. STP rapido (RSTP) individua le topologie di rete per garantire una convergenza pi rapida dell'albero. Quest'ultimo risulta chiaramente il pi conveniente quando la topologia di rete strutturata ad albero, pertanto possibile rendere una convergenza pi rapida. Per impostazione predefinita, RSTP attivo. Nonostante il protocollo STP tradizionale blocchi i loop di inoltro di livello 2 in una generica topologia di rete, si potrebbe verificare un ritardo ingiustificabile prima della convergenza. Ci significa che ciascun bridge o switch della rete deve stabilire se attivare o meno l'inoltro di traffico su ognuna della porte. STP multiplo (MSTP) individua i loop di livello 2 e tenta di diminuirli impedendo la trasmissione del traffico sulla porta interessata. Poich i loop si verificano in base a un dominio di livello 2, pu accadere che ci siano loop nella VLAN A e non nella VLAN B. Se entrambe le VLAN sono poste sulla Porta X e il protocollo STP desidera diminuire il loop, il traffico viene interrotto sull'intera porta, compreso il traffico nella VLAN B dove invece non necessario. Il protocollo Multiple Spanning Tree (MSTP) risolve il problema attivando diverse istanze STP in modo tale da poter rilevare e diminuire i loop separatamente in ciascuna istanza. Associando le istanze alle VLAN, ciascuna istanza viene associata al dominio di livello 2 su cui esegue le operazioni di rilevamento e riduzione dei loop. In questo modo, possibile bloccare una porta in un'istanza, come il traffico proveniente dalla VLAN A che causa un loop, mentre il traffico rimane attivo in un altro dominio in cui non sono stati rilevati loop, ad esempio sulla VLAN B. MSTP fornisce connettivit completa per i pacchetti assegnati a qualsiasi rete VLAN. MSTP basato sul protocollo RSTP. Inoltre, MSTP trasmette pacchetti assegnati a varie VLAN in diverse regioni MST (multiple spanning tree), che si comportano come un singolo bridge.

Configurazione dello Stato STP e delle Impostazioni generali
12

La STP Status and Global Settings Page include i parametri per attivare i protocolli STP, RSTP o MSTP. Per informazioni dettagliate sulla configurazione di ciascuna modalit STP, utilizzare rispettivamente la STP Interface Settings Page, la RSTP Interface Settings Page e la MSTP Properties Page. Per impostare lo stato STP e le impostazioni generali, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Spanning Tree > Stato STP e impostazioni generali. Viene
visualizzata la STP Status and Global Settings Page.

Impostazioni generali: Stato Spanning Tree: attivare o disattivare il protocollo STP sullo switch. Modalit operativa STP: selezionare una modalit STP. Gestione di BDPU (Bridge Protocol Data Unit) : selezionare la modalit di gestione dei pacchetti BDPU quando il protocollo STP disattivato sulla porta o sullo switch. I BPDU vengono utilizzati per trasmettere informazioni sull'albero. Filtro: i pacchetti BPDU vengono filtrati se lo Spanning Tree disattivato su un'interfaccia. Traffico: i pacchetti BPDU vengono distribuiti se lo Spanning Tree disattivato su un'interfaccia.
Valori predefiniti costo del percorso: indica il metodo utilizzato per assegnare i costi dei percorsi predefiniti alle porte STP. Il costo dei percorsi predefiniti assegnato a un'interfaccia varia a seconda del metodo selezionato. Breve: viene assegnato un valore compreso tra 1 e 65.535 per i costi dei percorsi delle porte. Lungo: viene assegnato un valore compreso tra 1 e 200.000.000 per i costi dei percorsi delle porte.
134

12
Impostazioni bridge: Priorit: impostare il valore di priorit del bridge. Dopo lo scambio dei BPDU, il dispositivo con la priorit pi bassa diventa il bridge root. Laddove tutti i bridge presentino la stessa priorit, vengono utilizzati gli indirizzi MAC per determinare quale rappresenta il bridge root. Il valore di priorit del bridge viene fornito in incrementi di 4096. Ad esempio, 4096, 8192, 12288 e cos via. Hello Time: impostare l'intervallo in secondi atteso dal bridge root tra l'invio dei messaggi di configurazione. possibile immettere un valore compreso tra 1 e 10 secondi. Tempo massimo: impostare l'intervallo in secondi durante il quale lo switch pu attendere senza ricevere un messaggio di configurazione, prima di provare a ridefinire la propria configurazione. Ritardo reindirizzamento: impostare l'intervallo in secondi durante il quale un bridge rimane in uno stato di rilevamento prima di inoltrare i pacchetti. Per ulteriori informazioni, fare riferimento alla Definizione delle impostazioni dell'interfaccia di Spanning Tree.
Root designato: ID bridge: indica la priorit del bridge concatenata con l'indirizzo MAC dello switch. ID bridge root: indica la priorit del bridge root concatenata con l'indirizzo MAC del bridge root. Porta root: indica la porta che offre il percorso di costo pi basso dal bridge al bridge root. (Questo valore importante se il bridge non il bridge root.) Costo del percorso root: indica il costo del percorso dal bridge al root. Numero di modifiche alla topologia: il numero totale delle modifiche alla topologia STP che si sono verificate. Ultima modifica alla topologia: indica l'intervallo di tempo trascorso dall'ultima modifica alla topologia verificatasi. Questo intervallo viene visualizzato nel formato giorni/ore/minuti/secondi.
PASSAGGIO 3 Fare clic su Applica. Lo switch viene aggiornato con le impostazioni generali.
135

Definizione delle impostazioni dell'interfaccia di Spanning Tree
12

Nella STP Interface Settings Page possibile configurare il protocollo STP per porta e visualizzare le informazioni rilevate dal protocollo, ad esempio sul bridge designato. La configurazione effettuata su questa pagina sar attiva per tutti gli aspetti del protocollo STP. Per configurare il protocollo STP su un'interfaccia, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Spanning Tree > Impostazioni interfaccia STP. Viene visualizzata la
STP Interface Settings Page.

PASSAGGIO 2 Selezionare un'interfaccia e fare clic su Modifica. Viene visualizzata la Edit
Interface Settings Page.

Interfaccia: selezionare il numero della porta o il LAG sul quale viene configurato lo Spanning Tree. STP: possibile attivare o disattivare il protocollo STP sulla porta. Porta Edge: possibile attivare Collegamento rapido (Fast Link) sulla porta. Se attivato, lo stato della porta viene automaticamente impostato in modalit di inoltro quando il collegamento della porta attivo. La modalit Fast Link ottimizza la convergenza del protocollo STP. Le opzioni sono: Attiva: possibile attivare subito il Collegamento rapido. Automatico: consente di attivare Collegamento rapido pochi secondi dopo che l'interfaccia diventa attiva. Questo consente al protocollo STP di evitare i loop prima di attivare Collegamento rapido. Disattiva: consente di disattivare il Collegamento rapido.
Costo del percorso: impostare il contributo della porta al costo del percorso root oppure utilizzare il costo predefinito generato dal sistema. Priorit: specificare il valore di priorit della porta. Questo valore influenza la scelta della porta quando un bridge dispone di due porte collegate in un loop. La priorit un valore compreso tra 0 e 240, impostato in incrementi di 16.
136

12
Stato della porta: viene indicato lo stato STP corrente della porta. Disattivato: indica che il protocollo STP correntemente disattivato sulla porta. La porta inoltra il traffico e rileva gli indirizzi MAC. Blocco: la porta al momento bloccata e non pu inoltrare traffico (eccetto dati BDPU) o rilevare indirizzi MAC. Ascolto: la porta in modalit di ascolto e non in grado di inoltrare traffico n di rilevare gli indirizzi MAC. Rilevamento: la porta in modalit di rilevamento e non in grado di inoltrare il traffico, ma solo di rilevare gli indirizzi MAC. Inoltro: indica che la porta in modalit di inoltro e che in grado di inoltrare traffico e di rilevare nuovi indirizzi MAC.
Ruolo della porta: viene visualizzato il comportamento della porta. ID bridge designato: indica la priorit del bridge e l'indirizzo MAC del bridge designato. ID porta designata: viene indicata la priorit e l'interfaccia della porta selezionata. Costo designato: viene indicato il costo della porta che partecipa alla topologia STP. Le porte con un costo inferiore presentano un minor rischio di blocco nel caso in cui STP rilevi dei loop. Reindirizza transizioni: viene indicato il numero di volte in cui la porta passata dallo stato di Blocco a quello di Inoltro. Velocit: viene visualizzata la velocit della porta. LAG: indica il LAG a cui appartiene la porta. Se una porta appartiene a un LAG, le impostazioni del LAG annulleranno quelle della porta.
PASSAGGIO 4 Fare clic su Applica. Le impostazioni dell'interfaccia vengono modificate e lo
137

Configurazione delle impostazioni di Rapid Spanning Tree
12

Il protocollo RSTP (Rapid Spanning Tree Protocol) individua e utilizza topologie di rete che garantiscono una convergenza STP pi rapida, senza creare loop di inoltro. Nella RSTP Interface Settings Page possibile configurare il protocollo RSTP su ciascuna porta. Qualsiasi configurazione effettuata su questa pagina sar attiva quando la modalit STP a livello globale verr impostata su RSTP o MSTP. Per immettere le impostazioni RSTP, attenersi alla seguente procedura:
visualizzata la STP Status and Global Settings Page. Attivare RSTP.

PASSAGGIO 2 Fare clic su Spanning Tree > Impostazioni interfaccia RSTP. Si apre la RSTP
Interface Settings Page:

PASSAGGIO 3 Selezionare una porta. (Attiva migrazione protocollo disponibile solo dopo aver
selezionato la porta collegata al bridge associato su cui viene eseguito il test.)

PASSAGGIO 4 Se tramite il protocollo STP si rileva un collegamento associato, fare clic su Attiva
migrazione protocollo per eseguire un test della migrazione del protocollo. Il test consente di rilevare se il collegamento associato che utilizza il protocollo STP ancora presente o se quindi passato a RSTP o MSTP. Se presente, il dispositivo continua a comunicare con il collegamento STP usando il protocollo STP. Altrimenti, se passato a RSTP o MSTP, comunicher utilizzando rispettivamente RSTP o MSTP.
PASSAGGIO 5 Selezionare un'interfaccia e fare clic su Modifica. Viene visualizzata la Edit Rapid
Spanning Tree Page.

Interfaccia: impostare l'interfaccia e specificare la porta o il LAG su cui configurare il protocollo RSTP. Stato amministrativo Point to Point : definisce lo stato del collegamento point to point. Le porte in modalit full duplex sono considerate collegamenti point to point della porta. Attiva: quando la funzione attiva, la porta diventa una porta edge RSTP e ritorna rapidamente alla modalit di inoltro (generalmente entro 2 secondi). Disattiva: la porta non considerata un point to point per motivi legati al protocollo RSTP, ovvero STP funziona solo ad una velocit regolare, non a velocit rapida.
138

12
Automatico: determina automaticamente lo stato dello switch tramite i BPDU RSTP.
Stato operativo Point to Point: indica lo stato operativo point to point se lo Stato amministrativo Point to Point impostato su automatico. Ruolo: viene indicato il ruolo della porta assegnato dal protocollo STP per fornire percorsi STP. I ruoli possibili sono: Root: percorso con il costo pi basso per inoltrare pacchetti al bridge root. Designato: l'interfaccia tramite cui il bridge connesso alla LAN, che fornisce il percorso dalla LAN al bridge root con il costo pi basso. Alternativo: fornisce un percorso alternativo dall'interfaccia root al bridge root. Backup: fornisce un percorso di backup per la porta designata verso le ramificazioni dell'albero. possibile impostare una porta di backup se due porte sono collegate ad anello tramite un collegamento point to point. Le porte di backup possono essere create anche quando la rete LAN dispone di due o pi connessioni collegate a un segmento condiviso. Disattivato: indica che la porta non fa parte dell'albero.
Modalit: viene indicata la modalit corrente dell'albero, STP tradizionale o RSTP. Stato operativo collegamento rapido: indica se il Collegamento rapido (porta edge) dell'interfaccia attivato, disattivato o automatico. I valori sono: Attivato: il Collegamento rapido attivato. Disattivato: il Collegamento rapido disattivato. Automatico: la modalit Collegamento rapido viene attivata pochi secondi dopo che l'interfaccia diventa attiva.
Stato della porta: indica lo stato RSTP sulla porta specificata. Disattivato: indica che il protocollo STP correntemente disattivato sulla porta. Blocco: la porta correntemente bloccata e non in grado di inoltrare il traffico o rilevare indirizzi MAC.
139

Multiple Spanning Tree
12
Ascolto: la porta in modalit di ascolto e non in grado di inoltrare traffico n di rilevare gli indirizzi MAC. Rilevamento: indica che la porta in modalit di rilevamento e che non in grado di inoltrare il traffico, ma solo di rilevare gli indirizzi MAC. Inoltro: indica che la porta in modalit di inoltro e che in grado di inoltrare traffico e di rilevare nuovi indirizzi MAC.
Multiple Spanning Tree

Il protocollo Multiple Spanning Tree Protocol (MSTP) fornisce soluzioni in varie circostanze legate al bilanciamento del carico. Ad esempio la porta A pu essere bloccata in un'istanza STP e in modalit di inoltro in un'altra istanza STP. Nella MSTP Properties Page sono disponibili informazioni relative alla definizione del protocollo MSTP a livello globale. Flusso di lavoro di MSTP Per configurare il protocollo MSTP, effettuare le seguenti operazioni: 1. Impostare la Modalit operativa STP su MSTP, come riportato nella sezione Configurazione dello Stato STP e delle Impostazioni generali. 2. Definire le istanze MTP. Ciascuna istanza MST calcola e crea una topologia libera da loop per consentire il passaggio dei pacchetti dalle VLAN associate all'istanza. Fare riferimento alla sezione Associazione delle VLAN a un'istanza MST. 3. Associare le istanze MTP alle VLAN, stabilendo l'istanza che sar attiva e la VLAN. 4. Configurare gli attributi MSTP da: Definizione delle propriet MSTP Definizione delle impostazioni dell'Istanza MST Associazione delle VLAN a un'istanza MST Definizione delle impostazioni interfaccia MSTP
140

Definizione delle propriet MSTP
12
Definizione delle propriet MSTP

Il protocollo Spanning Tree Protocol (MSTP) a livello globale consente di configurare un albero diverso in ciascun gruppo VLAN e di bloccare tutti i percorsi all'interno di ciascun albero lasciandone disponibile uno alternativo. MSTP consente la creazione di regioni MST in grado di eseguire pi istanze MST (MSTI). Le regioni e gli altri bridge STP sono connessi tra di loro tramite un albero comune (CST, Common spanning tree). MSTP del tutto compatibile con i bridge RSTP, in cui possibile interpretare un BDPU MSTP come un BDPU RSTP tramite un bridge RSTP. Inoltre, non solo compatibile con i bridge RSTP senza dover modificare la configurazione, ma consente anche di visualizzare tutti i bridge RSTP esterni a una regione MST come un singolo bridge RSTP, indipendentemente dal numero di bridge MSTP che si trovano nella regione. I due o pi switch che si trovano nella stessa regione MSTP devono presentare un'associazione delle stesse VLAN all'istanza MST, lo stesso numero di versione della configurazione e lo stesso nome della regione. Gli switch che si trovano nella stessa regione MST non vengono mai separati dagli switch posti in un'altra regione MST, altrimenti la regione si divide in due, creando due regioni separate. L'associazione pu essere eseguita nella VLAN to MST Instance Page. La configurazione effettuata su questa pagina viene applicata se la modalit STP del sistema MSTP. Per definire la modalit MSTP, attenersi alla seguente procedura:
visualizzata la STP Status and Global Settings Page. Attivare la modalit MSTP.
PASSAGGIO 2 Fare clic su Spanning Tree > MSTP Propriet. Viene visualizzata la MSTP
Properties Page.
Nome regione: definire un nome per la regione MSTP. Versione: viene indicato il numero senza segno a 16 bit che identifica la versione della configurazione MST corrente, specificando un valore compreso tra 0 e 65535.
141

Associazione delle VLAN a un'istanza MST
12
Passaggi max: impostare il numero totale di passaggi che si verificano in una regione specifica prima che il pacchetto BPDU venga eliminato. In tal caso le informazioni sulla porta diventano obsolete, specificando un valore compreso tra 1 e 40. Master IST: indica l'IST principale della regione.
PASSAGGIO 4 Fare clic su Applica. Le propriet di MSTP vengono definite e lo switch viene
aggiornato.
Associazione delle VLAN a un'istanza MST

Nella VLAN to MST Instance Page possibile associare ciascuna VLAN a un'istanza Multiple Spanning Tree (MSTI). I dispositivi che si trovano nella stessa regione devono avere la stessa associazione tra VLAN e MSTI.
NOTA possibile associare la stessa MSTI a pi VLAN, ma ciascuna di queste pu essere
associata a un'unica istanza MSTI. La configurazione effettuata su questa pagina (e in tutte le pagine MSTP) viene applicata se la modalit STP del sistema MSTP. Sugli switch serie 300 di Cisco Small Business possibile definire massimo sette istanze MST. Per le VLAN non esplicitamente associate a una delle istanze MST, lo switch le associa automaticamente all'istanza CIST (Core and Internal Spanning Tree). L'istanza CIST un'istanza MST 0. Per associare VLAN a istanze MST, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Spanning Tree > VLAN a istanza MST. Viene visualizzata la VLAN to
MST Instance Page.

La pagina VLAN a istanza MSNT include i campi seguenti: ID istanza MST: vengono visualizzate tutte le istanze MST. VLAN: vengono visualizzate tutte le VLAN appartenenti all'istanza MST.
PASSAGGIO 2 Per aggiungere una VLAN a un'istanza MST, selezionare l'istanza MST e fare clic su
Modifica. Viene visualizzata la Edit MST Instance to VLAN Page.
142

Definizione delle impostazioni dell'Istanza MST
12
ID istanza MST: selezionare l'istanza MST. VLAN: definire le VLAN associate a questa istanza MST. Azione: definire se Aggiungere (associare) o Rimuovere la VLAN a/ dall'istanza MST.
PASSAGGIO 4 Fare clic su Applica. Le associazioni tra VLAN e MSTP vengono definite e lo switch
viene aggiornato.
Definizione delle impostazioni dell'Istanza MST

Nella MST Instance Settings Page possibile configurare e visualizzare i parametri di ciascuna istanza MST. Questa configurazione equivale alle configurazioni effettuate in ciascuna istanza sulla Configurazione dello Stato STP e delle Impostazioni generali. Per immettere l'istanza MST, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Spanning Tree > MST Impostazioni istanza. Viene visualizzata la
MST Instance Settings Page.

ID istanza: selezionare un'istanza MST da visualizzare e specificare. VLAN incluse: vengono indicate le VLAN associate all'istanza selezionata. L'associazione predefinita quella tra tutte le VLAN all'istanza (istanza 0) dell'albero interno comune (CIST). Priorit del bridge: impostare la priorit del bridge per l'istanza MST selezionata. ID bridge root designato: indica la priorit e l'indirizzo MAC del bridge root per l'istanza MST. Porta root: viene indicata la porta root dell'istanza selezionata. Costo del percorso root: viene indicato il costo del percorso root dell'istanza selezionata.
143

Definizione delle impostazioni interfaccia MSTP
12
ID bridge: indica la priorit del bridge e l'indirizzo MAC dello switch per l'istanza selezionata. Passaggi restanti: viene indicato il numero di passaggi restanti necessari per raggiungere la destinazione successiva.
PASSAGGIO 3 Fare clic su Applica. La configurazione dell'istanza MST viene definita e lo switch
viene aggiornato.

Nella MSTP Interface Settings Page possibile configurare le impostazioni MST della porta per ciascuna istanza MSTP e di visualizzare le informazioni correntemente rilevate dal protocollo, come quelle relative al bridge designato per istanza MST. Per configurare le porte in un'istanza MST, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Spanning Tree > MSTP Impostazioni interfaccia. Viene visualizzata
la MSTP Interface Settings Page.

Istanza uguale a: selezionare l'istanza MSTP da configurare. Tipo di interfaccia uguale a: scegliere se visualizzare l'elenco delle porte o dei LAG.
Vengono visualizzati i parametri MSTP per le interfacce dell'istanza.

PASSAGGIO 3 Selezionare un'interfaccia e fare clic su Modifica. Viene visualizzata la Edit
Interface Settings Page.

ID istanza: selezionare un'istanza MST da configurare. Interfaccia: selezionare l'interfaccia per cui definire le impostazioni MSTI. Priorit dell'interfaccia: impostare la priorit della porta e l'istanza MST per l'interfaccia specificata.
144

12
Costo del percorso: impostare il contributo della porta al costo del percorso root oppure utilizzare il valore predefinito. Il costo del percorso root corrisponde al costo dello switch sul bridge root dell'istanza MST specificata. Stato della porta: indica lo stato MSTP della porta specificata su una determinata istanza MST. I parametri vengono definiti come: Disattivato: il protocollo STP correntemente disattivato. Blocco: la porta sull'istanza al momento bloccata e non pu inoltrare traffico (eccetto dati BDPU) o rilevare indirizzi MAC. Ascolto: la porta sull'istanza in modalit di ascolto e non in grado di inoltrare traffico n di rilevare gli indirizzi MAC. Rilevamento: la porta sull'istanza in modalit di rilevamento e non in grado di inoltrare il traffico, ma solo di rilevare gli indirizzi MAC. Inoltro: indica che la porta sull'istanza in modalit di inoltro e che in grado di inoltrare traffico e di rilevare nuovi indirizzi MAC.
Ruolo della porta: viene indicato il ruolo della porta o del LAG di ciascuna istanza, assegnato tramite l'algoritmo MSTP al fine di fornire i percorsi STP: Root: l'inoltro dei pacchetti tramite questa interfaccia fornisce il percorso con il costo pi basso per inoltrare pacchetti al dispositivo root. Designato: l'interfaccia tramite cui il bridge connesso alla LAN, che fornisce il percorso dalla LAN al bridge root dell'istanza MST con il costo pi basso. Alternativo: l'interfaccia fornisce un percorso alternativo per raggiungere il dispositivo root dall'interfaccia root. Backup: l'interfaccia fornisce un percorso di backup per la porta designata verso le ramificazioni dell'albero. possibile impostare una porta di backup se due porte sono collegate ad anello tramite un collegamento point to point. Le porte di backup possono essere create anche quando la rete LAN dispone di due o pi connessioni collegate a un segmento condiviso. Disattivato: indica che l'interfaccia non fa parte dell'albero.
Modalit: viene indicata la modalit corrente dell'albero. STP tradizionale: il protocollo STP tradizionale attivato sulla porta. STP rapido: il protocollo STP rapido attivato sulla porta.
145

12
MSTP: il protocollo MSTP attivato sulla porta.
Tipo: viene visualizzato il tipo MSTP della porta. Porta di confine: una porte di confine consente di collegare bridge MST a una LAN in una regione esterna. Se la porta di confine, indica anche se il dispositivo sull'altro lato del collegamento funziona in modalit RSTP o STP. Porta principale: una porta principale fornisce connettivit da una regione MSTP alla root CIST esterna. Interno: indica che la porta interna.
ID bridge designato: viene indicato l'ID del bridge che connette il collegamento o la rete LAN condivisa alla root. ID porta designata: viene indicato il numero ID della porta sul bridge designato che connette il collegamento o la rete LAN condivisa alla root. Costo designato: viene indicato il costo della porta che partecipa alla topologia STP. Le porte con un costo inferiore presentano un minor rischio di blocco nel caso in cui STP rilevi dei loop. Passaggi restanti: vengono indicati i passaggi restanti necessari per raggiungere la destinazione successiva. Reindirizza transizioni: viene indicato il numero di volte che la porta passata dallo stato di inoltro a quello di blocco.
146
13
Gestione tabelle Indirizzi MAC
Gli indirizzi MAC vengono memorizzati nella tabella Indirizzi statici o nella tabella Indirizzi dinamici insieme alle informazioni sulla VLAN e sulla porta. Gli indirizzi statici vengono configurati dall'utente nella tabella Indirizzi statici e non scadono. Gli indirizzi MAC visualizzati nei pacchetti che giungono nello switch vengono elencati nella tabella Indirizzi dinamici per un periodo di tempo. Se nello switch non viene visualizzato nessun altro frame con lo stesso indirizzo MAC di origine prima che il tempo scada, la voce viene eliminata dalla tabella. Quando un frame giunge nello switch, lo switch cerca un indirizzo MAC che corrisponda a una voce della tabella dinamica o statica. Se viene trovata una corrispondenza, il frame viene contrassegnato per l'uscita in una porta specifica in base alla ricerca delle tabelle. I frame rivolti a un indirizzo MAC di destinazione non trovato nelle tabelle vengono distribuiti a tutte le porte della VLAN selezionata. Questi frame sono chiamati Frame unicast sconosciuti. Lo switch supporta un massimo di 8.000 indirizzi MAC statici e dinamici. In questa sezione sono presenti le informazioni per la definizione delle tabelle degli indirizzi MAC statici e dinamici e sono inclusi i seguenti argomenti: Configurazione di indirizzi MAC statici Indirizzi MAC dinamici Definizione di Indirizzi MAC riservati
Configurazione di indirizzi MAC statici

possibile assegnare indirizzi statici a un'interfaccia e a una VLAN specifiche dello switch. Gli indirizzi sono associati all'interfaccia assegnata. Se un indirizzo statico viene rilevato su un'altra interfaccia, viene ignorato e non viene scritto nella tabella degli indirizzi. Nella Static Addresses Page viene consentita la visualizzazione di indirizzi MAC configurati staticamente e la creazione di nuovi indirizzi MAC statici.
147

Indirizzi MAC dinamici
13
Per definire un indirizzo statico, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Tabelle Indirizzo MAC > Indirizzi statici. Si apre la Static Addresses
Page.
Nella Static Addresses Page vengono visualizzati gli indirizzi statici definiti.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Static Address Page. PASSAGGIO 3 Immettere i parametri.
ID VLAN: selezionare l'ID VLAN della porta. Indirizzo MAC : immettere l'indirizzo MAC dell'interfaccia. Interfaccia: selezionare un'interfaccia (porta o LAG) per la voce. Stato: selezionare come viene trattata la voce. Le opzioni sono: Permanente: l'indirizzo MAC statico non viene mai escluso dalla tabella e se viene salvato nella Configurazione di avvio, dopo il riavvio viene conservato. Elimina durante il ripristino: l'indirizzo MAC statico non viene mai escluso dalla tabella Elimina durante il timeout: l'indirizzo MAC viene eliminato quando diventa obsoleto. Sicuro: l'indirizzo MAC sicuro quando l'interfaccia in modalit bloccata tradizionale.
PASSAGGIO 4 Fare clic su Applica. Viene creata una nuova voce nella tabella.

La tabella degli indirizzi dinamici contiene gli indirizzi MAC acquisiti durante il monitoraggio del traffico in ingresso sullo switch per gli indirizzi di origine. Se l'indirizzo di destinazione per il traffico in ingresso viene trovato nel database, i pacchetti destinati a tale indirizzo vengono inoltrati direttamente alla porta corrispondente, altrimenti il traffico viene distribuito su tutte le porte nella VLAN del frame.
148

13
Per impedire l'overflow della tabella del bridging e per fare spazio a nuovi indirizzi, dalla tabella del bridging viene eliminato un indirizzo se non si riceve traffico da un indirizzo MAC dinamico per un determinato periodo. Questo periodo di tempo l'intervallo temporale.
Configurazione dei parametri dell'indirizzo MAC dinamico

Nella Dynamic Addresses Setting Page viene consentita l'immissione dell'intervallo temporale della tabella degli indirizzi MAC. Per immettere l'intervallo temporale degli indirizzi dinamici, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Tabelle Indirizzo MAC > Impostazioni indirizzo dinamico. Si apre la
Dynamic Addresses Setting Page.

PASSAGGIO 2 Immettere Validit temporale. La validit temporale un valore compreso tra il
valore configurato dall'utente e il doppio di quel valore meno 1. Per esempio, se si immette 300 secondi, la validit temporale compresa tra 300 e 599 secondi.
PASSAGGIO 3 Fare clic su Applica. La tabella Indirizzi MAC dinamici viene aggiornata.
Ricerca di indirizzi dinamici

Nella Dynamic Addresses Page viene consentita la ricerca della tabella Indirizzi MAC dinamici in base ai seguenti criteri: Tipo di interfaccia Indirizzi MAC VLAN
In questa pagina vengono visualizzati gli indirizzi MAC rilevati dinamicamente. possibile cancellare gli indirizzi dinamici dalla tabella degli indirizzi MAC e specificare un criterio di ricerca per visualizzare una subnet della tabella come gli indirizzi MAC rilevati in un'interfaccia specifica. inoltre possibile specificare come vengono ordinati i risultati della ricerca. Se non viene immesso nessun criterio di filtro, viene visualizzata l'intera tabella.
149

13
Per eseguire ricerche degli indirizzi dinamici, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Tabelle Indirizzo MAC > Indirizzi dinamici. Si apre la Dynamic
Addresses Page.
PASSAGGIO 2 Nel blocco Filtro, immettere i seguenti criteri di ricerca:
ID VLAN: immettere l'ID VLAN ricercato nella tabella. Indirizzo MAC : immettere l'indirizzo MAC ricercato nella tabella. Interfaccia: selezionare l'interfaccia ricercata nella tabella. possibile cercare porte o LAG specifici. Chiave di ordinamento tabella Indirizzi dinamici: immettere il campo in base al quale ordinata la tabella. La tabella degli indirizzi pu essere ordinata per ID VLAN, indirizzo MAC o interfaccia.
PASSAGGIO 3 Selezionare l'opzione preferita per l'ordinamento della tabella degli indirizzi nella
Chiave di ordinamento Indirizzi dinamici.

PASSAGGIO 4 Fare clic su Vai. La ricerca viene eseguita nella tabella Indirizzi MAC dinamici e i
risultati vengono visualizzati. Fare clic su Cancella tabella per eliminare tutti gli indirizzi MAC dinamici.

Quando lo switch riceve un frame utilizzando un indirizzo MAC di destinazione appartenente a un intervallo riservato (in base allo standard IEEE), il frame pu essere eliminato o connesso. possibile impostare la configurazione per indirizzo MAC riservato o per indirizzo MAC riservato e tipo di frame, come indicato di seguito: Indirizzo MAC riservato, tipo di frame e Ethertype per tipo di frame EthertnetV2 Indirizzo MAC riservato, tipo di frame e DSAP-SSAP per tipo di frame LLC Indirizzo MAC riservato, tipo di frame e PID per tipo di frame LLC-SNAP
150

13
Per configurare una voce per un indirizzo MAC riservato, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Tabelle Indirizzi MAC > Indirizzi MAC riservati. Si apre la Reserved
MAC Addresses Page. In questa pagina vengono visualizzati gli indirizzi MAC riservati.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Reserved MAC Address Page. PASSAGGIO 3 Immettere i valori dei seguenti campi:
Indirizzo MAC : selezionare l'indirizzo MAC da riservare. Tipo di frame: selezionare un tipo di frame in base ai seguenti criteri: Ethernet V2: si applica ai pacchetti Ethernet V2 con l'indirizzo MAC specifico. LLC : si applica ai pacchetti LLC (Logical Link Control) con l'indirizzo MAC specifico. LLC-SNAP: si applica ai pacchetti LLC-SNAP (Logical Link Control/SubNetwork Access Protocol) con l'indirizzo MAC specifico. Tutto: si applica a tutti i pacchetti con l'indirizzo MAC specifico.
Azione: selezionare una delle seguenti azioni da intraprendere all'arrivo del pacchetto corrispondente ai criteri selezionati: Elimina: eliminare il pacchetto. Connetti: reindirizzare il pacchetto a tutti i membri VLAN.
PASSAGGIO 4 Fare clic su Applica. Viene riservato un nuovo indirizzo MAC.
151
14
Configurazione dell'Inoltro multicast
In questo capitolo viene descritta la funzione Inoltro multicast e vengono trattati i seguenti argomenti: Inoltro multicast Definizione delle propriet multicast Indirizzo gruppo MAC Indirizzo gruppo IP Multicast Snooping IGMP Snooping MLD Gruppo IP Multicast IGMP/MLD Porta router Multicast Definizione dell'inoltro di tutti i multicast Definizione delle Impostazioni multicast non registrato
Inoltro multicast
L'inoltro multicast consente una distribuzione di tipo "uno a molti" delle informazioni. Le applicazioni multicast sono utili per diffondere informazioni su pi client che non richiedono la ricezione dell'intero contenuto. Una tipica applicazione un servizio simile al cavo TV, in cui i client possono raggiungere un canale durante la trasmissione e abbandonarlo prima che questa giunga al termine. I dati vengono inviati solo a specifiche porte. L'inoltro di dati solo a specifiche porte consente di mantenere la larghezza di banda e le risorse dell'host sui collegamenti.
152

Inoltro multicast
14
Affinch l'inoltro multicast funzioni in tutte le sottoreti IP, i nodi e i router, questi devono essere abilitati al multicast. Un nodo abilitato al multicast deve essere in grado di eseguire le seguenti operazioni: Inviare e ricevere pacchetti multicast. Registrare gli indirizzi multicast in ascolto dal nodo con i router locali, in modo che i router locali e remoti siano in grado di instradare il pacchetto multicast verso i nodi.
Tipica configurazione multicast

Mentre i router multicast instradano pacchetti multicast tra le sottoreti IP, gli switch di livello 2 abilitati al multicast inoltrano pacchetti multicast ai nodi registrati all'interno di una LAN o una VLAN. Una tipica configurazione comporta l'inoltro da parte di un router di flussi multicast tra reti IP private e/o pubbliche, uno switch dotato di funzionalit di snooping Internet Group Membership Protocol (IGMP) o Multicast Listener Discovery (MLD) e un client multicast che vuole ricevere un flusso multicast. In questa configurazione, il router invia periodicamente query IGMP.
NOTA MLD per IPv6 deriva dalla versione 2 di IGMP per IPv4. Nonostante in questa
sezione gran parte delle istruzioni facciano riferimento all'IGMP, dove richiesto, vengono affrontati anche argomenti legati a MLD. Le query raggiungono lo switch che, a turno, le inoltra alla VLAN e acquisisce la porta in cui si trova un router multicast (Mrouter). Quando un host riceve una query IGMP, risponde con un messaggio IGMP Join che riporta che l'host vuole ricevere un flusso multicast specifico e, se possibile, da una specifica origine. Lo switch con lo snooping IGMP analizza i messaggi Join e rileva che il flusso multicast richiesto dall'host deve essere inoltrato su una porta specifica, quindi inoltrer il messaggio IGMP Join soltanto all'Mrouter. Analogamente, quando l'Mrouter riceve un messaggio IGMP Join, rileva che possibile far ricevere un flusso multicast specifico all'interfaccia in cui vengono ricevuti i messaggi. L'Mrouter inoltra all'interfaccia il flusso multicast richiesto.
153

Inoltro multicast
14
Operazione multicast
Operazione multicast In un servizio multicast di livello 2, uno switch di livello 2 riceve un singolo frame destinato a un determinato indirizzo multicast e crea copie del frame da trasmettere su ciascuna porta selezionata. Quando lo switch con lo snooping IGMP/MLD attivato riceve un frame per un flusso multicast, inoltra il frame multicast a tutte le porte selezionate per ricevere il flusso multicast tramite i messaggi IGMP Join. Lo switch pu inoltrare flussi multicast in base a una delle seguenti opzioni: Indirizzo gruppo MAC Multicast Indirizzo gruppo IP Multicast (G) Una combinazione dell'indirizzo IP di origine (S) e l'indirizzo gruppo IP multicast di destinazione (G) del pacchetto multicast.
possibile configurare una di queste in base alla VLAN. Il sistema conserva elenchi di gruppi multicast per ciascuna VLAN, e questo consente di gestire le informazioni multicast ricevute da ogni porta. I gruppi multicast e le porte di ricezione possono essere configurate staticamente o acquisite dinamicamente tramite lo snooping dei protocolli IGMP o Multicast Listener Discovery (MLD).
Registrazione multicast
Registrazione multicast La registrazione multicast il processo di ascolto e risposta ai protocolli di registrazione multicast. I protocolli disponibili sono IGMP per IPv4 e MLD per IPv6. Quando in uno switch che si trova su una VLAN viene attivato lo snooping IGMP/ MLD, vengono analizzati i pacchetti IGMP/MLD ricevuti dalla VLAN collegata allo switch e ai router multicast della rete. Quando uno switch rileva che un host utilizza messaggi IGMP/MLD per registrare e ricevere un flusso multicast, facoltativamente da un'origine specifica, lo switch aggiunge la registrazione nel suo database di inoltro multicast.
154

Inoltro multicast
14
Lo snooping IGMP/MLD consente effettivamente di ridurre il traffico multicast dal flusso delle applicazioni IP che utilizzano un'ampia larghezza di banda. Uno switch che usa lo snooping IGMP/MLD inoltra il traffico multicast solo agli host coinvolti. Tale riduzione limita il traffico multicast e riduce l'elaborazione dei pacchetti nello switch e il carico di lavoro sugli host finali, che non devono ricevere e filtrare tutto il traffico multicast generato nella rete. Le versioni supportate sono le seguenti: IGMP v1/v2/ v3 MLD v1/v2 Un Interrogante snooping IGMP semplice
Un interrogante IGMP consente di semplificare il protocollo IGMP su una determinata sottorete. Generalmente, anche un router multicast rappresenta un Interrogante IGMP. Quando in una sottorete ci sono pi Interroganti IGMP, le query ne selezionano uno come principale. possibile configurare l'Sx300 come Interrogante IGMP di backup o in mancanza di un regolare Interrogante IGMP. L'Sx300 non un Interrogante IGMP con funzionalit complete. Se lo switch viene attivato come Interrogante IGMP, viene avviato 60 secondi dopo il suo passaggio da un router multicast senza aver individuato traffico IGMP (query). Se sono presenti altri Interroganti IGMP, lo switch potrebbe o meno bloccare l'invio di query, a seconda dei risultati ottenuti dal processo di selezione dell'interrogante standard.
Propriet indirizzo multicast

Propriet indirizzo multicast Gli indirizzi multicast presentano le propriet seguenti: Ciascun indirizzo multicast IPv4 compreso nell'intervallo di indirizzi tra 224.0.0.0 e 239.255.255.255. L'indirizzo multicast IPv6 FF00:/8. Per associare un indirizzo gruppo IP multicast a un indirizzo multicast di livello 2, attenersi alla seguente procedura: Per quanto riguarda l'IPv4, l'associazione avviene ottenendo dall'indirizzo IPv4 23 bit di ordine basso e aggiungendoli al prefisso 01:00:5e. Per impostazione predefinita, i nove bit pi alti dell'indirizzo IP vengono
155

Definizione delle propriet multicast
14
ignorati e tutti gli indirizzi IP che defferiscono soltanto nel valore di questi bit pi alti vengono associati allo stesso indirizzo di livello 2, poich i 23 bit pi bassi utilizzati sono gli stessi. Ad esempio, 234.129.2.3 viene associato a un indirizzo gruppo MAC multicast 01:00:5e:01:02:03. Allo stesso indirizzo di livello 2, possibile associare un massimo di 32 indirizzi gruppo IP multicast. Per l'IPv6, l'associazione avviene ottenendo i 32 bit di ordine basso dell'indirizzo multicast e aggiungendoli con il prefisso 33:33. Ad esempio, l'indirizzo multicast IPv6, ovvero FF00:1122:3344, viene associato al multicast di livello 2, che 33:33:11:22:33:44.

Nella Properties Page possibile configurare lo stato del filtro Bridge Multicast. Per impostazione predefinita, tutti i frame multicast vengono distribuiti su tutte le porte della VLAN. Per eseguire l'inoltro in modo selettivo, quindi soltanto sulle porte selezionate, e per filtrare (eliminare) il multicast sulle porte rimanenti, attivare lo Stato filtro Bridge Multicast nella Properties Page. Se il filtro attivato, i frame multicast vengono inoltrati su un subset di porte all'interno della VLAN selezionata, come definito nel Multicast Forwarding Data Base (MFDB). Il filtro multicast viene applicato su tutto il traffico. Per impostazione predefinita, tale traffico viene distribuito su tutte le porte selezionate, ma possibile limitare l'inoltro a un subset pi piccolo. Un modo tradizionale per indicare l'appartenenza multicast la notazione (S,G) in cui "S" l'origine (singola) da cui viene inviato un flusso di dati multicast e "G" l'indirizzo gruppo IPv4 o IPv6. Un client multicast in grado di ricevere traffico multicast da qualsiasi origine di un gruppo multicast specifico viene indicato con (*,G). L'inoltro dei frame multicast pu avvenire nei modi seguenti: Indirizzo gruppo MAC : in base al MAC di destinazione all'interno del frame Ethernet.
NOTA Come specificato nella sezione Propriet indirizzo multicast,
possibile associare a un indirizzo gruppo MAC uno o pi indirizzi gruppo IP multicast. L'inoltro basato su indirizzi gruppo MAC pu comportare l'inoltro di un flusso multicast IP a porte che non dispongono di ricevitori per quel flusso.
156

14
Indirizzo gruppo IP: in base all'indirizzo IP di destinazione del pacchetto IP (*,G). Indirizzo gruppo IP specifico dell'origine: in base sia all'indirizzo IP di destinazione che all'indirizzo IP di origine del pacchetto IP (S,G).
Se si seleziona la modalit di reindirizzamento, possibile definire il metodo usato dall'hardware per identificare il flusso multicast in base a una delle seguenti opzioni : Indirizzo gruppo MAC, Indirizzo gruppo IP o Indirizzo gruppo IP specifico dell'origine. (S,G) supportato da IGMPv3 e MLDv2, mentre IGMPv1/2 e MLDv1 supportano solo (*.G) che corrisponde precisamente all'ID del gruppo. Lo switch supporta un massimo di 256 indirizzi gruppo multicast statici e dinamici. Per attivare il filtro multicast e selezionare il metodo di reindirizzamento, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Multicast> Propriet. Si apre la Properties Page . PASSAGGIO 2 Immettere i parametri.
Stato filtro Bridge Multicast : attivare o disattivare il filtro. ID VLAN: selezionare ID VLAN per impostare il metodo di reindirizzamento. Metodo di reindirizzamento per IPv6: impostare il metodo di reindirizzamento per gli indirizzi IPv6. L'hardware utilizza questo metodo per identificare il flusso multicast attraverso le opzioni seguenti: Indirizzo gruppo MAC, Indirizzo gruppo IP o Indirizzo gruppo IP specifico dell'origine. Metodo di reindirizzamento per IPv4: impostare il metodo di reindirizzamento per gli indirizzi IPv4. L'hardware utilizza questo metodo per identificare il flusso multicast attraverso le opzioni seguenti: Indirizzo gruppo MAC, Indirizzo gruppo IP o Indirizzo gruppo IP specifico dell'origine.
157

Indirizzo gruppo MAC
14

Lo switch supporta l'inoltro del traffico multicast in ingresso sulla base delle informazioni del gruppo multicast. Tali informazioni provengono dai pacchetti IGMP/MLD ricevuti o dalla configurazione manuale e vengono conservati nel Multicast Forwarding Database (MFDB). Quando si riceve un frame da una VLAN configurata per inoltrare flussi multicast sulla base degli indirizzi gruppo MAC e il cui indirizzo di destinazione un indirizzo multicast di livello 2, il frame viene inoltrato a tutte le porte appartenenti all'indirizzo gruppo MAC. Nella MAC Group Address Page sono disponibili le funzioni seguenti: Richiedere e visualizzare informazioni contenute nel Multicast Filtering Database relative a un ID VLAN o un gruppo di indirizzi MAC specifico. I dati vengono acquisiti o dinamicamente attraverso lo snooping IGMP/MLD oppure staticamente tramite un inserimento manuale. Aggiungere o eliminare voci statiche dal database che fornisce informazioni sul reindirizzamento statico sulla base degli indirizzi MAC di destinazione. Visualizzare un elenco di tutte le porte/LAG appartenenti a ciascun ID VLAN e gruppo di indirizzi MAC e indicare l'eventuale inoltro del traffico.
Per visualizzare le informazioni sul reindirizzamento con il metodo Gruppo indirizzi IP o Gruppo IP e di origine, utilizzare la IP Multicast Group Address Page. Per definire e visualizzare i gruppi MAC multicast, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Multicast> Indirizzo gruppo MAC. Si apre la MAC Group Address
Page .
ID VLAN uguale a: impostare l'ID VLAN del gruppo da visualizzare. Indirizzo gruppo MAC uguale a: impostare l'indirizzo MAC del gruppo multicast da visualizzare. Se non stato specificato un Indirizzo gruppo MAC, nella pagina verranno visualizzati tutti gli Indirizzi gruppo MAC della VLAN selezionata.
PASSAGGIO 3 Fare clic su Vai e gli indirizzi gruppo MAC multicast verranno visualizzati nell'area
in basso.
158

14
PASSAGGIO 4 Fare clic su Aggiungi per aggiungere un indirizzo gruppo MAC statico. Si apre la
Add MAC Group Address Page.

ID VLAN: indica l'ID VLAN del nuovo gruppo multicast. Indirizzo gruppo MAC : indica l'indirizzo MAC del nuovo gruppo multicast.
PASSAGGIO 6 Fare clic su Applica per aggiungere il gruppo MAC multicast e aggiornare lo
switch. Per configurare e visualizzare la registrazione delle interfacce all'interno del gruppo, selezionare un indirizzo e fare clic su Informazioni. Si apre la MAC Group Address Settings Page. La pagina visualizza: ID VLAN: l'ID VLAN del gruppo multicast. Indirizzo gruppo MAC : l'indirizzo MAC del gruppo.
PASSAGGIO 7 Selezionare la porta o il LAG da visualizzare dal menu Filtra: Tipo di interfaccia. PASSAGGIO 8 Fare clic su Vai per visualizzare l'appartenenza alla porta o al LAG. PASSAGGIO 9 Selezionare il modo in cui associare ciascuna interfaccia con il gruppo multicast:
Statico: collega l'interfaccia al gruppo multicast come membro statico. Dinamico: indica che, in seguito allo snooping IGMP/MLD, l'interfaccia stata aggiunta al gruppo multicast. Non consentito: specifica che la porta non pu essere associata al gruppo presente su questa VLAN. Nessuno: indica che la porta attualmente non appartiene a questo gruppo multicast della VLAN.
PASSAGGIO 10 Facendo clic su Applica lo switch viene aggiornato.
159

Indirizzo gruppo IP Multicast
14

Tranne per i gruppi multicast, i quali vengono identificati dagli indirizzi IP, la IP Multicast Group Address Page simile alla MAC Group Address Page. Nella IP Multicast Group Address Page possibile ricercare e aggiungere gruppi IP multicast. Per definire e visualizzare i gruppi IP multicast, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Multicast> Indirizzo gruppo IP Multicast . Si apre la IP Multicast
Group Address Page .

La pagina visualizza tutti gli indirizzi gruppo IP Multicast acquisiti dallo snooping.
PASSAGGIO 2 Immettere i parametri necessari per il filtro.
ID VLAN uguale a: indicare l'ID VLAN del gruppo da visualizzare. Versione IP uguale a: selezionare IPv6 o IPv4. Indirizzo gruppo IP Multicast uguale a: indicare l'indirizzo IP del gruppo multicast da visualizzare. fondamentale effettuare questa impostazione solo quando la modalit di reindirizzamento (S,G). Indirizzo IP di origine uguale a: indicare l'indirizzo IP di origine del dispositivo di invio. Se la modalit (S,G), immettere il mittente S che, insieme all'Indirizzo gruppo IP, costituisce l'ID del gruppo multicast (S,G) da visualizzare. Se la modalit (*.G), inserire un * per indicare che il gruppo multicast viene definito soltanto tramite la destinazione.
PASSAGGIO 3 Fare clic su Vai. I risultati verranno visualizzati nell'area sottostante. Quando su uno
switch di livello 2 sono attivati Bonjour e IGMP, viene visualizzato l'indirizzo multicast IP di Bonjour.
PASSAGGIO 4 Fare clic su Aggiungi per aggiungere un indirizzo gruppo IP Multicast. Si apre la IP
Multicast Interface Settings Page.

ID VLAN: indica l'ID VLAN del gruppo da aggiungere. Versione IP: selezionare il tipo di indirizzo IP. Indirizzo gruppo IP Multicast: indica l'indirizzo IP del nuovo gruppo multicast.
160

14
Specifico dell'origine: indica che la voce contiene un'origine specifica e aggiunge l'indirizzo nel campo Indirizzo IP di origine. In caso contrario, la voce viene aggiunta come voce di (*,G), un indirizzo gruppo IP acquisito da qualsiasi origine IP. Indirizzo IP di origine: definisce l'indirizzo di origine da includere. Filtra: Tipo di interfaccia uguale a: selezionare la porta per visualizzare le appartenenze alle porte o ai LAG. possibile fare clic sul pulsante di opzione Statico per aggiungere la porta o il LAG specifico al gruppo IP multicast.
PASSAGGIO 6 Fare clic su Applica. Il gruppo IP multicast viene aggiunto e il dispositivo viene
aggiornato.
PASSAGGIO 7 Per configurare e visualizzare la registrazione di un indirizzo gruppo IP, selezionare
un indirizzo e fare clic su Informazioni. Viene aperta la pagina Impostazioni interfaccia IP Multicast.
ID VLAN: immettere l'ID VLAN del gruppo da aggiungere. Versione IP: selezionare il tipo versione IP. Indirizzo gruppo IP Multicast : immettere l'indirizzo IP del nuovo gruppo multicast. Indirizzo IP di origine: immettere l'indirizzo del mittente. Se la modalit (S,G), viene visualizzato il mittente S che insieme all'Indirizzo gruppo IP costituisce l'ID del gruppo multicast (S,G). Se la modalit (*.G), il simbolo * indica che il gruppo multicast viene definito tramite la destinazione.
PASSAGGIO 9 Fare clic su Vai per visualizzare l'appartenenza alle porta o ai LAG. PASSAGGIO 10 Selezionare il tipo di associazione per ciascuna interfaccia. Le opzioni disponibili sono:
Statico: collega l'interfaccia al gruppo multicast come membro statico. Dinamico: indica che, in seguito allo snooping IGMP/MLD, l'interfaccia stata aggiunta al gruppo multicast. Non consentito: specifica che la porta non pu essere associata al gruppo presente su questa VLAN. Nessuno: indica che la porta attualmente non appartiene a questo gruppo multicast della VLAN.
161

Snooping IGMP
14
Snooping IGMP
Per supportare l'inoltro multicast selettivo (IPv4), necessario attivare il filtro Bridge Multicast e lo Snooping IGMP a livello globale e per ogni VLAN selezionata. Informazioni aggiuntive Per impostazione predefinita, uno switch di livello 2 inoltra frame multicast a tutte le porte della VLAN selezionata, in pratica trattando il frame come se fosse un Broadcast. Tramite lo Snooping IGMP, lo switch inoltra frame multicast alle porte che riportano client multicast registrati.
NOTA Lo switch supporta lo Snooping IGMP solo sulle VLAN statiche e non su quelle
dinamiche. Se la funzione Snooping IGMP attivata a livello globale o su una VLAN, tutti i pacchetti IGMP vengono inoltrati alla CPU, che li analizza e determina i seguenti elementi: Quali porte richiedono di partecipare ai gruppi multicast e su quale VLAN. Quali porte sono collegate ai router multicast (Mrouter) che generano query IGMP. Quali porte ricevono protocolli per le query PIM, DVMRP o IGMP.
Queste vengono visualizzate sulla IGMP Snooping Page. Le porte che chiedono di partecipare a un gruppo multicast specifico rilasciano un report IGMP in cui vengono specificati i gruppi a cui l'host si vuole connettere. Questo comporta la creazione di un'opzione di inoltro nel database di inoltro multicast. In mancanza di un router multicast, viene utilizzato l'Interrogante snooping IGMP per supportare il dominio multicast di livello 2 degli switch in cui lo snooping attivo. il caso, ad esempio, in cui il contenuto multicast viene fornito da un server locale ma il router (se presente) che si trova su quella rete non supporta il multicast. In un dominio multicast di livello 2, deve esserci soltanto un interrogante IGMP. Quando nel dominio sono presenti pi di un Interrogante IGMP, lo switch supporta la selezione di Interroganti IGMP standard.La velocit dell'attivit di un Interrogante IGMP deve essere allineata con gli switch abilitati allo snooping IGMP. Le query devono essere inviate in un intervallo di tempo corrispondente alla validit temporale della tabella Snooping. Se le query vengono inviate in un intervallo di tempo inferiore alla validit temporale, l'interrogante selezionato non pu ricevere pacchetti multicast.
162

Snooping IGMP
14
Per attivare lo Snooping IGMP e identificare su una VLAN lo switch Interrogante snooping IGMP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Multicast > Snooping IGMP. Si apre la IGMP Snooping Page.
Nella tabella Snooping IGMP vengono visualizzate le informazioni sullo snooping IGMP relative alle VLAN dello switch. Le colonne sono illustrate in PASSAGGIO 4.
PASSAGGIO 2 Selezionare Attiva (o disattiva) lo stato Snooping IGMP.
L'attivazione dello Stato snooping IGMP a livello globale consente al dispositivo di monitorare il traffico di rete e di determinare quali host hanno richiesto la ricezione del traffico multicast. Lo switch esegue lo Snooping IGMP se lo snooping IGMP e il filtro Bridge Multicast sono entrambi attivi.
PASSAGGIO 3 Selezionare una VLAN e fare clic su Modifica. Si apre la Edit IGMP Snooping Page
. In una rete ci deve essere soltanto un Interrogante IGMP. Lo switch supporta la selezione di Interroganti IGMP standard.- Alcuni valori dei parametri operativi di questa tabella vengono inviati dall'interrogante selezionato. Gli altri valori provengono dallo switch.
ID VLAN: selezionare l'ID VLAN in cui viene definito lo snooping IGMP. Stato snooping IGMP: attivare o disattivare il monitoraggio del traffico di rete per determinare quali host hanno richiesto l'invio di traffico multicast. Lo switch esegue lo Snooping IGMP se lo snooping IGMP e il filtro Bridge Multicast sono entrambi attivi. Stato snooping IGMP operativo: consente di visualizzare lo stato attuale dello Snooping IGMP per la VLAN selezionata. Rilevamento automatico porte MRouter : attivare o disattivare il rilevamento automatico delle porte a cui collegato l'Mrouter. Affidabilit query: immettere il valore della Variabile di affidabilit da utilizzare nel caso in cui questo switch sia l'interrogante selezionato. Affidabilit query operativa: visualizza la variabile di affidabilit inviata dall'interrogante selezionato. Intervallo query : immettere l'intervallo tra le Query generali da utilizzare nel caso in cui questo switch sia l'interrogante selezionato.
163

Snooping IGMP
14
Intervallo query operativa: l'intervallo di tempo in secondi tra le Query generali inviate dall'interrogante selezionato. Intervallo risposta max query : immettere il ritardo usato per calcolare il Numero massimo risposte inserito nelle Query generali periodiche. Intervallo risposta max query operativa: visualizza l'Intervallo risposta max query incluso nelle Query generali inviate dall'interrogante selezionato. Contatore query ultimo membro: immettere il numero di Query IGMP specifiche di un gruppo inviate prima che lo switch, se rappresenta l'interrogante selezionato, indichi l'eventuale mancanza di ulteriori membri del gruppo. Contatore query ultimo membro operativo: visualizza il valore operativo del Contatore query ultimo membro. Intervallo query ultimo membro: visualizza l'Intervallo query ultimo membro inviato dall'interrogante selezionato. Intervallo query ultimo membro operativo: visualizza l'Intervallo query ultimo membro inviato dall'interrogante selezionato. Uscita immediata: attivare Uscita immediata per ridurre il tempo necessario per bloccare un flusso multicast inviato su una porta membro durante la ricezione di un messaggio di Uscita gruppo IGMP. Stato interrogante IGMP: attivare o disattivare l'Interrogante IGMP. Indirizzo IP di origine interrogante amministrativo: selezionare l'indirizzo IP di origine dell'Interrogante IGMP, che pu essere l'indirizzo IP della VLAN o l'indirizzo IP di gestione. Indirizzo IP di origine interrogante operativo: indica l'indirizzo IP di origine dell'interrogante selezionato. Versione interrogante IGMP: selezionare la versione IGMP usata se lo switch diventa l'interrogante selezionato. Se nella VLAN sono presenti switch e/o router multicast che eseguono l'inoltro multicast di IP specifici dell'origine, selezionare IGMPv3.-
164

Snooping MLD
14
Snooping MLD
Per supportare l'inoltro multicast selettivo (IPv6), necessario attivare il filtro Bridge Multicast e lo Snooping MLD a livello globale e per ogni VLAN selezionata.
NOTA Lo switch supporta lo Snooping MLD solo sulle VLAN statiche e non su quelle
dinamiche. Lo switch usa questa funzione per creare elenchi di appartenenza multicast. Tali elenchi vengono poi utilizzati per inoltrare pacchetti multicast solo alle porte dello switch in cui ci sono nodi host appartenenti ai gruppi multicast. Lo switch non supporta l'Interrogante MLD. Gli host utilizzano il protocollo MLD per riportare la loro partecipazione a sessioni multicast. Informazioni aggiuntive Lo switch supporta due versioni di snooping MLD: Lo snooping MLDv1 rileva pacchetti di controllo MLDv1 e imposta il bridging del traffico sulla base degli indirizzi multicast IPv6 di destinazione. Lo snooping MLDv2 usa i pacchetti di controllo MLDv2 per inoltrare il traffico sulla base dell'indirizzo IPv6 di origine e l'indirizzo multicast IPv6 di destinazione.
La versione MLD che verr utilizzata viene selezionata dal router multicast della rete. Analogamente allo snooping IGMP, viene eseguito lo snooping sui frame MLD mentre lo switch li inoltra dalle stazioni a un router multicast upstream e viceversa. Questa funzione consente a uno switch di stabilire i seguenti elementi: su quali porte sono posizionate le stazioni interessate all'associazione a un gruppo multicast specifico su quali porte sono posizionati i router multicast che inviano frame multicast
Queste informazioni vengono utilizzate per escludere porte non selezionate (porte sulle quali non sono registrate stazioni per la ricezione di un gruppo multicast specifico) dall'inoltro di un frame multicast in ingresso impostato. Se oltre ai gruppi multicast configurati manualmente si attiva lo snooping MLD, il risultato sar un'unione dei gruppi multicast e delle appartenenze alle porte derivate dalla configurazione manuale e il rilevamento dinamico tramite lo snooping MLD. Tuttavia, al riavvio del sistema, vengono mantenute solo le definizioni statiche.
165

Snooping MLD
14
Per attivare lo Snooping MLD, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Multicast > Snooping MLD. Si apre la MLD Snooping Page. PASSAGGIO 2 Attivare o disattivare lo Stato snooping MLD. L'attivazione dello Stato snooping
MLD a livello globale consente al dispositivo di monitorare il traffico di rete e di determinare quali host hanno richiesto la ricezione del traffico multicast. Lo switch esegue lo Snooping MLD se lo snooping MLD e il filtro Bridge Multicast sono entrambi attivi. La tabella Snooping MLD riporta gli elenchi delle informazioni sullo snooping MLD relative alle VLAN dello switch. Per avere una descrizione delle colonne della tabella, vedere il PASSAGGIO 3
PASSAGGIO 3 Selezionare una VLAN e fare clic su Modifica. Si apre la Edit MLD Snooping Page . PASSAGGIO 4 Immettere i parametri.
ID VLAN: selezionare l'ID VLAN. Stato snooping MLD : attivare o disattivare lo snooping MLD sulla VLAN. Lo switch monitora il traffico di rete per determinare quali host hanno richiesto l'invio di traffico multicast. Lo snooping MLD pu essere attivato solo se sulla Properties Page attiva l'opzione Filtro bridge multicast. Stato snooping MLD operativo: consente di visualizzare lo stato attuale dello Snooping MLD per la VLAN selezionata. Rilevamento automatico porte Mrouter : attivare o disattivare il Rilevamento automatico del router multicast. Affidabilit query : immettere il valore della Variabile di affidabilit da utilizzare nel caso in cui lo switch non sia in grado di leggere tale valore dai messaggi inviati dall'interrogante selezionato. Affidabilit query operativa: visualizza la variabile di affidabilit inviata dall'interrogante selezionato. Intervallo query : immettere il valore dell'Intervallo query che verr utilizzato dallo switch nel caso in cui non riuscisse a ricavare il valore dai messaggi inviati dall'interrogante selezionato. Intervallo query operativa: l'intervallo di tempo in secondi tra le Query generali ricevute dall'interrogante selezionato. Intervallo risposta max query : immettere il ritardo della Risposta max query da utilizzare se lo switch non in grado di leggere il valore del Tempo max risposta delle Query generali inviate dall'interrogante selezionato.
166

Gruppo IP Multicast IGMP/MLD
14
Intervallo risposta max query operativa: indica il ritardo usato per calcolare il Numero massimo risposte inserito nelle Query generali. Contatore query ultimo membro: immettere il Contatore query ultimo membro da utilizzare se lo switch non in grado di ricavare il valore dai messaggi inviati dall'interrogante selezionato. Contatore query ultimo membro operativo: visualizza il valore operativo del Contatore query ultimo membro. Intervallo query ultimo membro: immettere il Ritardo risposta max da utilizzare se lo switch non in grado di leggere il valore del Tempo max risposta dalle Query specifiche del gruppo inviate dall'interrogante selezionato. Intervallo query ultimo membro operativo: l'Intervallo query ultimo membro inviato dall'interrogante selezionato. Uscita immediata: consente di ridurre il tempo necessario per bloccare il traffico MLD non necessario inviato da una porta dello switch.
Gruppo IP Multicast IGMP/MLD

Nella pagina Gruppo IP Multicast IGMP/MLD viene visualizzato l'indirizzo gruppo IPv4 e IPv4 acquisito dallo switch tramite i messaggi IGMP/MLD ricercati. Le informazioni riportate in questa pagina potrebbero risultare diverse rispetto a quelle visualizzate nella MAC Group Address Page. Immaginando che il sistema si trovi in gruppi basati su MAC e una porta che ha richiesto l'associazione ai seguenti gruppi multicast, 224.1.1.1 e 225.1.1.1, entrambi vengono associati all'indirizzo multicast MAC 01:00:5e:01:01:01. In questo caso, la pagina MAC Multicast riporta una voce, mentre in quella relativa a IP Multicast ne vengono visualizzate due. Per ricercare un gruppo IP Multicast, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Multicast > Gruppo IP Multicast IGMP/MLD. Si apre la IGMP/MLD IP
Multicast Group Page.

PASSAGGIO 2 Impostare il tipo di gruppo di snooping da ricercare: IGMP o MLD.
167

Porta router Multicast
14
PASSAGGIO 3 Immettere alcuni o tutti i seguenti criteri sul filtro della query:
Indirizzo gruppo uguale a: indica l'indirizzo MAC del gruppo Multicast o l'indirizzo IP su cui eseguire la ricerca. Indirizzo di origine uguale a: indica l'indirizzo del mittente su cui eseguire la ricerca. ID VLAN uguale a: indica l'ID VLAN su cui eseguire la ricerca.
PASSAGGIO 4 Fare clic su Vai. Per ogni gruppo multicast vengono visualizzati i campi seguenti:
VLAN: l'ID VLAN. Indirizzo gruppo: l'indirizzo MAC del gruppo multicast o l'indirizzo IP. Indirizzo di origine: l'indirizzo del mittente per tutte le porte del gruppo specificato. Porte incluse: l'elenco delle porte su cui viene inoltrato il flusso multicast corrispondente. Porte escluse: l'elenco delle porte non incluse nel gruppo. Modalit di compatibilit: la versione IGMP/MLD di registrazione meno recente degli host ricevuti dallo switch sull'indirizzo gruppo IP.

Una porta router Multicast (Mrouter) una porta che si connette a un router multicast. Lo switch include le porte del router multicast dove inoltra i flussi multicast e i messaggi di registrazione IGMP/MLD, necessario affinch tutti i router multicast possano inoltrare a turno flussi multicast e distribuire i messaggi di registrazione alle altre sottoreti. Su questa pagina possibile configurare staticamente o rilevare dinamicamente le porte che sono connesse agli Mrouter.
168

14
Per definire porte router Multicast, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Multicast > Porta router Multicast . Si apre la Multicast Router Port
Page .
PASSAGGIO 2 Immettere alcuni o tutti i seguenti criteri sul filtro della query:
query.
ID VLAN uguale a: selezionare l'ID VLAN per le porte router indicate. IPv4 o IPv6 uguale a: selezionare la versione IP supportata dal router multicast. Tipo di interfaccia uguale a: scegliere se visualizzare porte o LAG.
PASSAGGIO 3 Fare clic su Vai. Vengono visualizzate le interfacce corrispondenti ai criteri della
PASSAGGIO 4 Selezionare il tipo di associazione per ciascuna interfaccia. Le opzioni disponibili
sono: Statico: la porta viene configurata staticamente come una porta router multicast. Dinamico: la porta viene configurata dinamicamente attraverso una query MLD/IGMP come una porta router multicast. Per attivare il rilevamento automatico delle porte router multicast, andare su Multicast > Pagina snooping IGMP e Multicast > Pagina snooping MLD. Non consentito: la porta selezionata non stata configurata come porta router multicast, nonostante qui vengano ricevute le query IGMP o MLD. Se sulla porta attivo il Rilevamento automatico porte Mrouter, la configurazione non viene effettuata correttamente. Nessuno: la porta non al momento una porta router multicast.
PASSAGGIO 5 Fare clic su Applica per aggiornare lo switch.
169

Definizione dell'inoltro di tutti i multicast
14
Definizione dell'inoltro di tutti i multicast

Nella Forward All Page possibile eseguire e visualizzare la configurazione delle porte e/o dei LAG che devono ricevere tutto il flusso multicast da una VLAN specifica. Per utilizzare questa funzione necessario attivare il filtro Bridge Multicast nella Properties Page, altrimenti tutto il traffico multicast viene distribuito su tutte le porte dello switch. Se i dispositivi collegati alla porta non supportano IGMP e/o MLD, possibile configurare staticamente una porta su Inoltra tutto. I messaggi IGMP o MLD non vengono inoltrati alle porte su cui viene impostato inoltra tutto.
NOTA La configurazione incide solo sulle porte appartenenti alla VLAN selezionata.
Per definire l'inoltro di tutti i multicast, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Multicast > Inoltra tutto. Si apre la Forward All Page . PASSAGGIO 2 Definire le seguenti opzioni:
ID VLAN uguale a: l'ID VLAN delle porte/LAG da visualizzare. Tipo di interfaccia uguale a: indicare se visualizzare porte o LAG.
PASSAGGIO 3 Fare clic su Vai. Viene visualizzato lo stato di tutte le porte/LAG. PASSAGGIO 4 Selezionare l'interfaccia da definire come Inoltra tutto usando i metodi seguenti:
Statico: la porta riceve tutti i flussi multicast. Dinamico: (non applicabile). Non consentito: le porte non possono ricevere flussi multicast, anche se dallo snooping IGMP/MLP risultano associate a un gruppo multicast. Nessuno: la porta non al momento una porta Inoltra tutto.
170

Definizione delle Impostazioni multicast non registrato
14

Generalmente, i frame multicast vengono inoltrati a tutte le porte presenti nella VLAN. Se lo Snooping IGMP/MLD attivo, lo switch rileva la presenza di gruppi multicast e monitora le porte indicando a quale gruppo multicast sono state associate. I gruppi multicast possono essere configurati anche staticamente. Quelli acquisiti dinamicamente o configurati staticamente, vengono considerati come registrati. Ci consente allo switch di inoltrare i frame multicast (da un gruppo multicast registrato) solo alle porte associate a quel gruppo. Lo switch inoltra i frame multicast (da un gruppo multicast registrato) solo alle porte registrate a quel gruppo multicast. Nella Pagina multicast non registrato possibile gestire i frame multicast appartenenti a gruppi non riconosciuti dallo switch (gruppi multicast non registrati). Generalmente, i frame multicast vengono inoltrati a tutte le porte presenti nella VLAN. possibile selezionare una porta su cui ricevere o filtrare i flussi multicast non registrati. La configurazione valida per qualsiasi VLAN cui appartiene (o apparterr). La funzione garantisce al cliente di ricevere solo i gruppi multicast richiesti e non gli altri eventualmente trasmessi nella rete. Per definire le impostazioni dei multicast non registrati, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Multicast > Multicast non registrato. Si apre la Unregistered
Multicast Page.
PASSAGGIO 2 Definire le seguenti opzioni:
Tipo di interfaccia uguale a: il modo in cui vengono visualizzate tutte le porte/LAG. N. voce: il numero della voce presente nella tabella Multicast non registrato. Interfaccia: indica l'ID dell'interfaccia. Multicast non registrato: indica lo stato di inoltro dell'interfaccia selezionata, scegliendo tra le seguenti opzioni: Inoltro: consente di inoltrare i frame multicast non registrati all'interfaccia selezionata. Filtro: consente di filtrare (eliminare) i frame multicast non registrati sull'interfaccia selezionata.
171

14
PASSAGGIO 3 Fare clic su Modifica. Si apre la Edit Unregistered Multicast Page. PASSAGGIO 4 Definire il campo multicast non registrato.
Interfaccia: selezionare l'interfaccia da modificare. Multicast non registrato: definire lo stato di inoltro dell'interfaccia. Le opzioni disponibili sono: Inoltro: consente di inoltrare i frame multicast non registrati all'interfaccia selezionata. Filtro: consente di filtrare i frame multicast non registrati sull'interfaccia selezionata.
PASSAGGIO 5 Fare clic su Applica. Le impostazioni vengono salvate e lo switch viene aggiornato.
172
15
Configurazione delle informazioni sull'IP
L'interfaccia degli indirizzi IP viene configurata manualmente dall'utente oppure automaticamente da un server DHCP. In questo capitolo vengono fornite le informazioni per definire gli indirizzi IP dello switch e trattati i seguenti argomenti: Interfacce di gestione e IP Definizione del routing statico IPv4 Attivazione del proxy ARP Definizione dell'Inoltro UDP Inoltro DHCP Configurazione dell'ARP Domain Name Systems
L'impostazione predefinita per la configurazione dell'indirizzo IP DHCP. Ci significa che lo switch si comporta come un client DHCP e durante la procedura di avvio invia una richiesta DHCP. Se lo switch riceve dal server DHCP una risposta fornendo un indirizzo IP, invier pacchetti Address Resolution Protocol (ARP) per confermare l'univocit dell'indirizzo IP. Se la risposta ARP riporta che l'indirizzo IP in uso, lo switch invia un messaggio DHCPDECLINE al server DHCP e invier un altro pacchetto DHCPDISCOVER per riavviare il processo. Se lo switch non riceve una risposta DCHP entro 60 secondi, continuer a inviare query DHCPDISCOVER e intanto adotter il seguente indirizzo IP predefinito: 192.168.1.254/24.
173

15
Le collisioni dell'indirizzo IP si verificano quando pi di un dispositivo utilizza lo stesso indirizzo IP nella medesima sottorete. Per risolvere tali collisioni, necessario un intervento amministrativo sul server DHCP e/o i dispositivi che sono in conflitto con lo switch. Quando si configura una VLAN per usare indirizzi IP dinamici, lo switch rilascia richieste DHCP fino a quando un server DHCP non assegna un indirizzo IP. In modalit Livello 2, possibile configurare un indirizzo IP statico o dinamico soltanto per la gestione VLAN. In modalit Livello 3, possibile configurare con un indirizzo IP statico o dinamico su massimo 32 interfacce (porte, LAG, e/o VLAN) sullo switch. Le sottoreti IP a cui appartengono gli indirizzi IP sono note come sottoreti IP direttamente connesse/collegate. Le regole sull'assegnazione dell'indirizzo IP per lo switch sono le seguenti: Se si in modalit Livello 2, a meno che lo switch non sia stato configurato con un indirizzo IP statico, rilascia query DHCP finch non riceve una risposta dal server DHCP. Se sullo switch l'indirizzo IP viene modificato, lo switch rilascer alla VLAN corrispondente pacchetti ARP gratuiti per verificare la presenza di collisioni tra gli indirizzi IP. Questa regola viene applicata solo quando sullo switch viene ripristinato l'indirizzo IP predefinito. Quando il server DHCP fornisce un nuovo indirizzo IP univoco, il LED dello stato del sistema diventa di colore verde fisso. Allo stesso modo, anche quando si imposta un indirizzo IP statico, il LED diventa di colore verde fisso. Quando lo switch acquisisce un indirizzo IP e intanto utilizza l'indirizzo IP predefinito 192.168.1.254, il LED lampeggia. Le stesse regole si applicano quando un client deve rinnovare il periodo di validit prima di ricevere notifica sulla scadenza tramite un messaggio DHCPREQUEST. Quando non disponibile un indirizzo IP definito staticamente o acquisito dal DCHP, viene utilizzato quello predefinito. Quando gli altri indirizzi IP diventano disponibili, verranno utilizzati automaticamente. L'indirizzo IP predefinito si trova sempre nella Gestione VLAN.
174

15
Gestione di IPv6
L'Internet Protocol versione 6 (IPv6) un protocollo a livello di rete per le interreti su cui vengono veicolati i pacchetti. IPv6 stato ideato per sostituire l'IPv4, il protocollo Internet prevalentemente distribuito. Esso presenta una maggiore flessibilit nelle assegnazioni degli indirizzi IP poich la dimensione degli indirizzi aumenta da 32 bit a 128 bit. Gli indirizzi IPv6 sono otto gruppi composti da quattro cifre esadecimali, ad esempio FE80:0000:0000:0000:0000:9C00:876A:130B. Viene inoltre accettata la forma abbreviata, in cui possibile tralasciare un gruppo di zero e sostituirlo con '::', ad esempio ::-FE80::9C00:876A:130B. Affinch i nodi IPv6 comunichino con altri nodi IPv6 su una rete basata solo su IPv4, necessario un meccanismo di associazione intermedio. Tale meccanismo, denominato tunnel, consente agli host solo di tipo IPv6 di accedere ai servizi IPv4 e permette agli host IPv6 isolati e alle reti di utilizzare sull'infrastruttura IPv4 un nodo IPv6. Il meccanismo di creazione del tunnel utilizza il meccanismo ISATAP. Questo protocollo tratta la rete IPv4 come se fosse un collegamento locale a un IPv6 virtuale tramite un'associazione di ciascun indirizzo IPv4 a un collegamento dell'indirizzo IPv4 locale. Lo switch rileva i frame IPv6 tramite il tipo di connessione Ethernet per IPv6.
Indirizzamento IP
Lo switch pu operare in modalit Livello 2 o Livello 3. In modalit Livello 2, lo switch opera come uno switch in grado di rilevare una VLAN di livello-2 e non include funzioni di routing. In modalit Livello 3, lo switch dispone di funzioni di routing IP e funzioni sulla modalit Livello 2. In modalit Livello 3, lo switch non supporta VLAN basate su MAC, Assegnazione VLAN dinamica, Limite di velocit VLAN; Protezione DoS velocit SYN e Monitoraggio QoS avanzato. La configurazione dello switch per lavorare in entrambe le modalit viene eseguita dall'interfaccia da console, come descritto nel capitolo Interfaccia menu Console della guida all'amministrazione.
175

15
Nelle seguenti sezioni vengono descritte le differenze tra l'indirizzamento IP quando lo switch si trova in modalit Livello 2 o Livello 3.
Indirizzamento IP di livello 2
Indirizzamento IP di livello 2 In modalit Livello 2, lo switch presenta nella gestione VLAN un singolo indirizzo IP. possibile configurare questo indirizzo IP e il gateway predefinito con un indirizzo IP statico o tramite DHCP. L'indirizzo IP statico e il gateway predefinito per la modalit Livello 2 vengono configurate sulla IPv4 Interface Page. In modalit Livello 2, per comunicare con i dispositivi che non si trovano nella stessa sottorete IP, lo switch utilizza il gateway predefinito, se stato configurato. Per impostazione predefinita, VLAN1 corrisponde alla gestione VLAN, ma pu essere modificata. Lavorando in modalit Livello 2, possibile conoscere l'indirizzo IP configurato sullo switch tramite la sua gestione VLAN.
Indirizzamento IP di livello 3
Indirizzamento IP di livello 3 In modalit Livello 3, lo switch pu avere pi indirizzi IP. possibile assegnare ciascun indirizzo IP su porte, LAG o VLAN specificati. Tali indirizzi vengono configurati nella IPv4 Interface Page in modalit Livello 3. Rispetto alla modalit Livello 2, in cui possibile configurare un singolo indirizzo IP, questa fornisce una maggiore flessibilit della rete. Lavorando in modalit Livello 3, possibile conoscere tutti gli indirizzi IP dello switch dalle rispettive interfacce. In modalit Livello 3 non viene fornito un percorso predefinito. Per gestire lo switch in remoto, necessario indicare un percorso predefinito. Tutti i gateway predefiniti assegnati dal-DHCP vengono memorizzati come percorsi predefiniti. Inoltre possibile definire percorsi predefiniti manualmente. Questi vengono indicati nella IP Static Routing Page.
NOTA possibile passare dalla modalit Livello 2 a quella Livello 3 soltanto
dall'interfaccia da console. Al termine, tutte le impostazioni di configurazione torneranno ai valori predefiniti. Per ulteriori informazioni sull'interfaccia da console, vedere il capitolo Interfaccia menu Console della guida all'amministrazione. Tutti gli indirizzi IP configurati o assegnati allo switch fanno riferimento anche alla Gestione indirizzi IP della presente guida. Nelle sezioni seguenti sono incluse informazioni sulla configurazione, importanti sia per la modalit Livello 2 che per la modalit Livello 3.
176

15
Definizione dell'interfaccia IPv4 quando lo switch in modalit Livello 2

Per gestire lo switch tramite la utilit di configurazione dello switch basata sul Web, necessario che l'indirizzo IP di gestione dello switch IPv4 venga definito e riconosciuto. L'indirizzo IP dello switch pu essere configurato manualmente o acquisito automaticamente da un server DHCP. Per configurare l'indirizzo IP dello switch IPv4, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Interfaccia di gestione > Interfaccia IPv4. Si
apre la IPv4 Interface Page.

Gestione VLAN: selezionare la Gestione VLAN utilizzata per accedere allo switch tramite il telnet o l'Interfaccia utente Web. VLAN1 rappresenta la Gestione VLAN predefinita. Tipo di indirizzo IP: selezionare una delle seguenti opzioni: Dinamico: rilevare l'indirizzo IP dal DHCP della gestione VLAN. Statico: definire manualmente un indirizzo IP statico.
Se si utilizza un indirizzo IP statico, configurare i campi seguenti. Indirizzo IP: immettere l'indirizzo IP e configurare uno dei campi seguenti: Maschera di rete: selezionare e immettere la maschera dell'indirizzo IP. Lunghezza prefisso: selezionare e immettere la lunghezza del prefisso dell'indirizzo IPv4. Gateway predefinito: selezionare Definito dall'utente e immettere l'indirizzo IP del gateway predefinito oppure selezionare Nessuno per rimuovere dall'interfaccia quello selezionato. Gateway predefinito operativo: indica lo stato corrente del gateway predefinito.
NOTA Se lo switch non stato configurato con un gateway predefinito, non
potr comunicare con altri dispositivi che non si trovano nella stessa sottorete IP.
177

15
Se il server DHCP recupera un indirizzo IP dinamico, selezionare i campi seguenti attivi: Rinnova indirizzo DHCP: una volta che stato assegnato l'indirizzo IP dinamico dello switch da un server DHCP, possibile rinnovarlo in qualsiasi momento. A seconda della configurazione del server DHCP, dopo il rinnovo possibile che lo switch riceva un nuovo indirizzo IP perdendo la connessione alla utilit di configurazione dello switch basata sul Web. Configurazione automatica tramite DHCP: visualizza lo stato della funzione di configurazione automatica. La Configurazione automatica DHCP pu essere configurata da Amministrazione > Gestione di file > Configurazione automatica DHCP.
PASSAGGIO 3 Fare clic su Applica. Le impostazioni dell'interfaccia IPv4 vengono definite e lo
Definizione dell'interfaccia IPv4 quando lo switch in modalit Livello 3

La IPv4 Interface Page viene usata quando lo switch in modalit Livello 3. Questa permette di configurare pi indirizzi IP per la gestione dello switch e fornisce servizi di routing. possibile configurare l'indirizzo IP su una porta, un LAG o un'interfaccia VLAN. Utilizzando la modalit Livello 3, lo switch indirizza il traffico tra le sottoreti IP configurate connesse direttamente e continua a indirizzare il traffico tra i dispositivi che si trovano nella stessa VLAN. Dalla IP Static Routing Page possibile configurare ulteriori percorsi del routing su sottoreti non collegate direttamente.
NOTA Il software dello switch utilizza un ID VLAN (VID) per ciascun indirizzo IP configurato
su una porta o un LAG e, a partire da 4094, prende il primo VID disponibile. Per configurare gli indirizzi IPv4, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Configurazione IP > Interfaccia di gestione e IP > Interfaccia IPv4.
Si apre la IPv4 Interface Page. In questa pagina vengono visualizzati i seguenti campi: Interfaccia: interfaccia per cui definito l'indirizzo IP.
178

15
Tipo di indirizzo IP: indirizzo IP definito come statico o DHCP. Statico: viene inserito manualmente. DHCP: viene ricevuto dal server DHCP.
Indirizzo IP: l'indirizzo IP configurato per l'interfaccia. Maschera: maschera dell'indirizzo IP configurato. Stato: risultati della verifica sulla duplicazione dell'indirizzo IP. Nessuna voce: l'indirizzo IP sconosciuto. Provvisorio: la verifica di indirizzi IP duplicati non ha prodotto risultati finali. Valido: la verifica delle collisioni tra gli indirizzi IP stata completata e non sono state rilevate collisioni. Duplicato valido: la verifica della duplicazione degli indirizzi IP stata completata e non sono stati rilevati indirizzi IP duplicati. Duplicato non valido: stato rilevato un indirizzo IP duplicato per l'indirizzo IP predefinito.
PASSAGGIO 2 Fare clic su Aggiungi.Si apre la Add IPv4 Interface Page. PASSAGGIO 3 Selezionare uno dei seguenti campi:
Interfaccia: selezionare Porta, LAG o VLAN come interfaccia associata alla configurazione dell'IP e scegliere un valore dall'elenco. Tipo di indirizzo IP: selezionare una delle seguenti opzioni: Indirizzo IP dinamico: ottenere l'indirizzo IP da un server DHCP. Indirizzo IP statico: immettere l'indirizzo IP.
PASSAGGIO 4 Se stato selezionato Indirizzo statico, immettere l'Indirizzo IP da assegnare a
questa interfaccia.
PASSAGGIO 5 Immettere la Maschera di rete o Lunghezza prefisso di questo indirizzo IP.
Maschera di rete: maschera IP dell'indirizzo. Lunghezza prefisso: lunghezza del prefisso IPv4.
PASSAGGIO 6 Fare clic su Applica. Le impostazioni dell'interfaccia IPv4 vengono definite e lo
179

15
Definizione della configurazione globale IPv6

Nella IPv6 Global Configuration Page viene indicata la frequenza dei messaggi ICMP di errore per IPv6 generati dallo switch. Per definire i parametri globali IPv6, attenersi alla seguente procedura:
PASSAGGIO 1 In modalit Livello 2, fare clic su Amministrazione > Interfaccia di gestione >
Configurazione globale IPv6. In modalit Livello 3, fare clic su Configurazione IP > Interfaccia di gestione e IP > Configurazione globale IPv6. Si apre la IPv6 Global Configuration Page.
Intervallo limite di velocit ICMPv6: immettere il limite di tempo. Dimensioni bucket limite di velocit ICMPv6: immettere il numero massimo di messaggi ICMP di errore inviati dallo switch per intervallo.
PASSAGGIO 3 Fare clic su Applica. Le impostazioni dell'indirizzo IPv6 vengono definite e lo
Definizione di un'interfaccia IPv6

Nella IPv6 Interfaces Page vengono visualizzati i parametri dell'interfaccia IPv6 dello switch ed possibile configurare l'interfaccia. possibile configurare un'interfaccia IPv6 su una porta, un LAG, una VLAN o un'interfaccia tunnel ISATAP. Lo switch supporta un'unica interfaccia IPv6 come dispositivo finale IPv6. Un'interfaccia tunnel viene configurata con un indirizzo IPv6 in base alle impostazioni definite nella IPv6 Tunnel Page. Per configurare le interfacce IPv6, attenersi alla seguente procedura:
Interfacce IPv6. In modalit Livello 3, fare clic su Configurazione IP > Interfaccia di gestione e IP > Interfacce IPv6. Si apre la IPv6 Interfaces Page. La pagina consente di visualizzare le interfacce IPv6 gi configurate.
180

15
PASSAGGIO 2 Fare clic su Aggiungi per aggiungere una nuova interfaccia IPv6, ossia per definire
su quale interfaccia stato attivato l'IPv6. Si apre la Add IPv6 Interface Page .
Interfaccia IPv6: selezionare una porta, un LAG, una VLAN o un tunnel ISATAP specifico. adiaNumero di tentativi DAD : immettere il numero di messaggi di richiesta adiacenti consecutivi inviati durante l'esecuzione del Duplicate Address Detection (DAD) sugli indirizzi IPv6 unicast dell'interfaccia. DAD verifica l'univocit dei nuovi indirizzi IPv6 unicast prima che vengano assegnati. Durante la verifica DAD, i nuovi indirizzi rimangono in uno stato provvisorio. Se si immette 0 in questo campo, la procedura di rilevamento degli indirizzi duplicati sull'interfaccia indicata viene disabilitata. Se si immette 1 in questo campo, viene indicata una singola trasmissione senza riportare quelle successive. Configurazione automatica indirizzo IPv6: attiva la configurazione automatica dell'indirizzo dal server DHCP. La configurazione automatica dell'indirizzo stateful (DHCP). Se questa funzione attivata, lo switch supporter una configurazione automatica dell'indirizzo IPv6 di tipo stateless riferito a indirizzi IP locali o globali del sito dall'annuncio router ricevuto sull'interfaccia. Lo switch non supporta la configurazione automatica stateful dell'indirizzo. Invia messaggi ICMPv6: attiva la generazione di messaggi con destinazione non raggiungibile.
PASSAGGIO 4 Fare clic su Applica per attivare l'elaborazione IPv6 sull'interfaccia selezionata. Le
interfacce IPv6 standard presentano i seguenti indirizzi configurati automaticamente: Indirizzo locale collegamento tramite un ID interfaccia di formato EUI-64 basato su un indirizzo MAC del dispositivo. Tutti gli indirizzi multicast locali del collegamento del nodo (FF02::1) Indirizzo multicast del nodo richiesto (formato FF02::1:FFXX:XXXX)
PASSAGGIO 5 Fare clic su Tabella Indirizzo IPv6 per assegnare, se richiesto, indirizzi IPv6
all'interfaccia. Questa pagina viene descritta nella sezione Definizione indirizzi IPv6.
181

15
Definizione indirizzi IPv6

Per assegnare un indirizzo IPv6 su un'interfaccia IPv6, attenersi alla seguente procedura:
Indirizzi IPv6. In modalit Livello 3, fare clic su Configurazione IP > Interfaccia di gestione e IP > Indirizzi IPv6. Si apre la IPv6 Address Page.
PASSAGGIO 2 Selezionare un'interfaccia e fare clic su Vai. L'interfaccia viene visualizzata nella
Tabella Indirizzo IPv6.

PASSAGGIO 3 Fare clic su Aggiungi. Si apre la Add IPv6 Address Page. PASSAGGIO 4 Immettere i valori dei campi.
Interfaccia IPv6: indica l'interfaccia in cui, in base al filtro, l'indirizzo viene acquisito automaticamente. Tipo di indirizzo IPv6: selezionare Collegamento locale o globale per il tipo di indirizzo IPv6 da aggiungere. Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione. Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti.
Indirizzo IPv6: lo switch supporta un'unica interfaccia IPv6. Oltre agli indirizzi locali collegamento predefiniti e multicast, il dispositivo aggiunge automaticamente all'interfaccia anche indirizzi globali, sulla base degli annunci router ricevuti. Il dispositivo supporta un massimo di 128 indirizzi nell'interfaccia. Ciascun indirizzo deve essere un indirizzo IPv6 valido, indicato in formato esadecimale da valori a 16 bit separati da due punti.
NOTA Non possibile configurare indirizzi IPv6 direttamente nell'interfaccia
tunnel ISATAP.
182

15
Lunghezza prefisso: la lunghezza del prefisso dell'IPv6 globale, espressa da un valore decimale da 0-128 che indica il numero di bit contigui pi significativi che formano il prefisso dell'indirizzo (la parte dell'indirizzo che indica la rete). EUI-64: utilizzare il parametro EUI-64 per identificare la parte dell'ID dell'interfaccia dell'indirizzo IPv6 globale attraverso il formato EUI-64, sulla base dell'indirizzo MAC di un dispositivo.
Definizione di un Elenco router predefiniti IPv6

Nella IPv6 Default Router List Page possibile configurare e visualizzare gli indirizzi dei router IPv6 predefiniti. L'elenco contiene 0 o pi router che potrebbero rappresentare il router predefinito dello switch per il traffico non-locale. Lo switch seleziona casualmente un router dall'elenco. Inoltre, supporta un unico router IPv6 statico predefinito. I router dinamici predefiniti sono dei router che inviano annunci router all'interfaccia IPv6 dello switch. Quando si aggiungono o si eliminano indirizzi IP, si verificano gli eventi seguenti: Quando si rimuove un'interfaccia IP, vengono rimossi tutti gli indirizzi IP del router predefinito. Non possibile rimuovere gli indirizzi IP dinamici. Dopo aver tentato di inserire pi di un singolo indirizzo definito dall'utente, viene visualizzato un messaggio di avviso. Quando si tenta di inserire un indirizzo diverso dal tipo di indirizzo locale collegamento, ovvero 'fe80:', viene visualizzato un messaggio di avviso.
Per definire un router predefinito, attenersi alla seguente procedura:

Elenco router predefiniti IPv6. In modalit Livello 3, fare clic su Configurazione IP > Interfaccia di gestione e IP > Elenco router predefiniti IPv6. Si apre la IPv6 Default Router List Page. In questa pagina vengono visualizzati i seguenti campi per ogni router predefinito: Indirizzo IPv6 router predefinito: indirizzo IP locale collegamento del router predefinito.
183

15
Interfaccia: interfaccia IPv6 esterna in cui si trova il router predefinito. Tipo: configurazione del router predefinito che include le opzioni seguenti: Statico: il router predefinito stato aggiunto manualmente nella tabella con il pulsante Aggiungi. Dinamico: il router predefinito stato configurato dinamicamente.
Stato: le opzioni relative allo stato del router predefinito sono le seguenti: Incompleto: risoluzione dell'indirizzo in corso. Il router predefinito non ha ancora fornito risposta. Raggiungibile: conferma positiva ricevuta nell'arco del Periodo di raggiungibilit. Non aggiornato: la rete adiacente precedentemente riconosciuta non raggiungibile e non vengono intraprese azioni di verifica relative alla sua raggiungibilit fino a quando non si riveler necessario inviare traffico. Ritardo: la rete adiacente precedentemente riconosciuta non raggiungibile. Lo switch presenta lo stato Ritardo in base a un Tempo di ritardo predefinito. Se non si riceve conferma, lo stato diventer Sonda. Sonda: la rete adiacente non disponibile e vengono inviate sonde di tipo Unicast Neighbor Solicitation per verificare lo stato.
PASSAGGIO 2 Fare clic su Aggiungi per aggiungere un router predefinito statico. Si apre la Add
Default Router Page . La finestra visualizza l'Interfaccia locale collegamento che pu essere una porta, un LAG, una VLAN o un tunnel.
PASSAGGIO 3 Immettere l'indirizzo IP del router predefinito statico nel campo Indirizzo IPv6
router predefinito.
PASSAGGIO 4 Fare clic su Applica. Il router predefinito viene definito e lo switch viene
aggiornato.
184

15
Configurazione di tunnel IPv6

L'ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) consente di incapsulare pacchetti IPv6 dentro pacchetti IPv4 per trasmetterli sulla rete IPv4. necessario prima attivare manualmente un tunnel ISATAP e configurarlo. Successivamente, definire manualmente un'interfaccia IPv6 nel tunnel ISATAP. Quindi, lo switch configura automaticamente l'indirizzo IPv6 locale collegamento sull'interfaccia IPv6. Quando si definiscono tunnel ISATAP, tenere presente quanto segue: Nell'interfaccia ISATAP viene assegnato un indirizzo locale collegamento IPv6. Nell'interfaccia viene assegnato l'indirizzo IP iniziale e quindi attivato. Se risulta attiva un'interfaccia ISATAP, l'indirizzo IPv4 del router ISATAP viene determinato tramite DNS attraverso l'associazione di ISATAP a IPv4. Se non si ottiene il registro DNS di ISATAP, l'associazione del nome host di ISATAP all'indirizzo viene ricercata nella tabella di associazione degli host. Quando non viene determinato l'indirizzo IPv4 del router ISATAP tramite il processo DNS, l'interfaccia IP dell'ISATAP rimane attiva. Il sistema non presenter un router predefinito per il traffico ISATAP fino al completamento del processo DNS.
Per configurare un tunnel IPv6, attenersi alla seguente procedura:

Tunnel IPv6. In modalit Livello 3, fare clic su Configurazione IP > Interfaccia di gestione e IP > Tunnel IPv6. Si apre la IPv6 Tunnel Page.
Numero tunnel: indica il numero del dominio del router nel tunnel automatico. Tipo di tunnel: viene sempre visualizzato come ISATAP. Indirizzo IPv4 di origine: disattivare o attivare il tunnel ISATAP su un'interfaccia IPv4. L'indirizzo IPv4 dell'interfaccia IPv4 selezionata viene utilizzato per creare una parte dell'indirizzo IPv6 sull'interfaccia tunnel ISATAP. L'indirizzo IPv6 presenta un prefisso di rete a 64 bit di fe80:: e il resto dei 64 bit risultati dalla concatenazione di 0000:5EFE e l'indirizzo IPv4. -
Automatico: seleziona automaticamente l'indirizzo IPv4 pi basso tra

tutte le interfacce IPv4 configurate.
185

15
Nessuno: disattivare il tunnel ISATAP. Manuale: configurare manualmente un indirizzo IPv4. L'indirizzo IPv4
configurato deve corrispondere a uno degli indirizzi IPv4 nelle interfacce IPv4 dello switch.
Nome dominio del router del tunnel: una stringa globale che rappresenta un nome dominio del router di un tunnel automatico specifico. Il nome pu essere o quello predefinito (ISATAP) oppure un nome definito dall'utente. Intervallo query : il numero di secondi da 10-3600 che intercorre tra le query DNS (prima che venga riconosciuto l'indirizzo IP del router ISATAP) nel tunnel. L'intervallo pu essere un valore predefinito (10 secondi) oppure un intervallo definito dall'utente. Intervallo richiesta ISATAP: il numero di secondi da 10 a 3600 che intercorre tra i messaggi di richiesta del router ISATAP, in assenza di router ISATAP attivi. L'intervallo pu essere un valore predefinito (10 secondi) oppure un intervallo definito dall'utente. Affidabilit ISATAP: serve a calcolare l'intervallo delle query DNS o di quelle di richiesta del router. Pi il numero grande, pi frequenti saranno le query. Il valore predefinito 3. possibile immettere un valore compreso tra 1 e 20.
NOTA Il tunnel ISATAP non risulta attivo se l'interfaccia IPv4 basilare non
operativa.
PASSAGGIO 3 Fare clic su Applica. Il tunnel viene definito e lo switch viene aggiornato.
Definizione delle informazioni sui router adiacenti IPv6

Nella IPv6 Neighbors Page possibile configurare e visualizzare l'elenco di router adiacenti IPv6 sull'interfaccia IPv6. La tabella Router adiacenti IPv6 (nota anche come cache di IPv6 Neighbor Discovery) consente di visualizzare gli indirizzi MAC dei router adiacenti IPv6 che si trovano nella stessa sottorete dello switch e di verificare la raggiungibilit del router adiacente. l'equivalente IPv6 della tabella ARP IPv4. Quando lo switch deve comunicare con i router adiacenti, tramite la Tabella router adiacenti IPv6 determina gli indirizzi MAC, sulla base dei loro indirizzi IPv6. In questa pagina vengono riportati i router adiacenti rilevati automaticamente o le voci configurate manualmente. Ciascuna voce consente di visualizzare l'interfaccia a cui collegato il router adiacente, i relativi indirizzi IPv6 e MAC, il tipo di voce (statico o dinamico) e lo stato del router.
186

15
Per definire i router adiacenti IPv6, attenersi alla seguente procedura:

Router adiacenti IPv6. In modalit Livello 3, fare clic su Configurazione IP > Interfaccia di gestione e IP > Router adiacenti IPv6. Si apre la IPv6 Neighbors Page.
PASSAGGIO 2 Selezionare un'opzione Cancella tabella per cancellare alcuni o tutti gli indirizzi
IPv6 della Tabella router adiacenti IPv6.
Solo statico: elimina le voci relative all'indirizzo IPv6 statico. Solo dinamico: elimina le voci relative all'indirizzo IPv6 dinamico. Tutti dinamici e statici: elimina le voci relative all'indirizzo IPv6 statico e
dinamico.
Per le interfacce adiacenti vengono visualizzati i campi seguenti: Interfaccia: tipo di interfaccia IPv6 adiacente. Indirizzi IPv6: indirizzo IPv6 di un router adiacente. Indirizzo MAC : indirizzo MAC associato all'indirizzo IPv6 specificato. Tipo: tipo di voce (statico o dinamico) relativo alle informazioni contenute nella cache di rilevamento dei router adiacenti. Stato: indica lo stato del router adiacente IPv6. I valori sono: -
Incompleto: risoluzione dell'indirizzo in corso. Il router adiacente non ha

ancora fornito risposta.
Raggiungibile: il router adiacente stato riconosciuto, quindi raggiungibile. Non aggiornato: il router adiacente precedentemente riconosciuto non
raggiungibile. Non vengono intraprese azioni per verificare la sua raggiungibilit fino a quando non risulta necessario inviare traffico.
Ritardo: il router adiacente precedentemente riconosciuto non raggiungibile. L'interfaccia presenta lo stato Ritardo in base a un Tempo di ritardo predefinito. Se non si riceve conferma sulla raggiungibilit, lo stato diventer Sonda. Sonda: il router adiacente non pi raggiungibile e vengono inviate sonde
di tipo Unicast Neighbor Solicitation per verificarne la raggiungibilit.
187

15
PASSAGGIO 3 Fare clic su Aggiungi. Si apre la Add IPv6 Neighbors Page.
Nella Add IPv6 Neighbors Page vengono fornite informazioni relative all'aggiunta di un router adiacente da monitorare.
Interfaccia: l'interfaccia IPv6 adiacente da aggiungere. Indirizzo IPv6: immettere l'indirizzo di rete IPv6 assegnato all'interfaccia. L'indirizzo deve essere un indirizzo IPv6 valido. Indirizzo MAC: immettere l'indirizzo MAC associato all'indirizzo IPv6 specificato.
Modifica di un router adiacente IPv6

Per modificare un router adiacente IPv6, attenersi alla seguente procedura:
Router adiacenti IPv6. In modalit Livello 3, fare clic su Configurazione IP > Interfaccia di gestione e IP > Router adiacenti IPv6. Si apre la IPv6 Neighbors Page.
PASSAGGIO 2 Selezionare un'interfaccia e fare clic su Modifica. Si apre la Edit IPv6 Neighbors
Page.
Indirizzo IPv6: selezionare un indirizzo IPv6 valido. Indirizzo MAC : selezionare l'indirizzo MAC associato all'indirizzo IPv6 specificato. Tipo: selezionare il tipo di voce relativa alle informazioni contenute nella cache di rilevamento dei router adiacenti. -
Statico: le voci statiche relative alla cache di rilevamento dei router adiacenti. Dinamico: le voci dinamiche relative alla cache di rilevamento dei router
adiacenti.
188

15
Visualizzazione delle tabelle Percorso IPv6

Nella IPv6 Routes Table Page viene visualizzata la tabella Percorso IPv6. Essa contiene un singolo percorso predefinito (indirizzo IPv6 ::0) che usa il percorso predefinito selezionato dall'Elenco router predefiniti IPv6 per inviare pacchetti ai dispositivi di destinazione che non si trovano nella stessa sottorete IPv6 dello switch. Oltre al percorso predefinito, la tabella include anche i percorsi dinamici che consistono in reindirizzamenti ICMP ricevuti dai router IPv6 tramite i messaggi di reindirizzamento ICMP. Questo si verifica quando il router predefinito utilizzato dallo switch non corrisponde al router al quale intende comunicare il traffico delle sottoreti IPv6. Per visualizzare le voci di routing IPv6 in modalit Livello 2, fare clic su Amministrazione > Interfaccia di gestione > Percorsi IPv6. In modalit Livello 3, fare clic su Configurazione IP > Interfaccia di gestione e IP > Percorsi IPv6. Si apre la IPv6 Routes Table Page. In questa pagina vengono visualizzati i seguenti campi: Indirizzo IPv6: l'indirizzo della sottorete IPv6. Lunghezza prefisso: lunghezza del prefisso del percorso IP relativo all'indirizzo di destinazione della sottorete IPv6. Esso preceduto da una barra in avanti. Interfaccia: interfaccia utilizzata per l'inoltro dei pacchetti. Passaggio successivo: indirizzo a cui viene inoltrato il pacchetto. Generalmente, corrisponde all'indirizzo di un router adiacente e deve essere un indirizzo locale collegamento. Metrico: valore utilizzato per confrontare questo percorso con altri che presentano nella tabella dei router IPv6 la stessa destinazione. Tutti i percorsi predefiniti presentano lo stesso valore. Periodo di validit: periodo entro il quale possibile inviare il pacchetto e reinviarlo prima che venga eliminato. Tipo di routing: indica il modo in cui la destinazione collegata e il metodo usato per ottenere la query. I valori sono i seguenti: -
Locale: l'indirizzo IPv6 dello switch configurato manualmente. Dinamico: la destinazione indirettamente collegata all'indirizzo della
sottorete IPv6. La voce stata determinata dinamicamente tramite il protocollo ICMP.
189

Definizione del routing statico IPv4
15
Definizione del routing statico IPv4

Quando lo switch in modalit Livello 3, in questa pagina possibile configurare e visualizzare i percorsi statici IPv4 sullo switch. Quando si indirizza il traffico, il passaggio successivo viene stabilito in base al prefisso pi lungo (algoritmo LPM). Un indirizzo IPv4 di destinazione pu riportare pi percorsi nella tabella Percorso statico IPv4. Lo switch utilizza il percorso che presenta la maschera di sottorete pi alta, ovvero il prefisso pi lungo. Per definire un percorso IP statico, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Configurazione IP > Percorsi IP statici.
Si apre la IP Static Routing Page.

PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add IP Static Route Page. PASSAGGIO 3 Immettere i valori dei seguenti campi:
Prefisso IP di destinazione: immettere il prefisso dell'indirizzo IP di destinazione. Maschera: selezionare e immettere le informazioni in uno dei seguenti elementi: Maschera di rete: il prefisso del percorso IP per l'IP di destinazione. Lunghezza prefisso: il prefisso del percorso IP per l'IP di destinazione.
Indirizzo IP router del passaggio successivo: immettere sul percorso un indirizzo IP del passaggio successivo o un alias IP.
NOTA Non possibile configurare un percorso statico tramite una sottorete
IP connessa-direttamente quando lo switch acquisisce l'indirizzo IP da un server DHCP. Tipo di routing: selezionare il tipo di routing. -
Rifiuta: rifiuta il percorso e blocca il routing in tutti i gateway verso la rete

di destinazione. Questo garantisce l'eliminazione di un frame contenente l'IP di destinazione di questo percorso.
Remoto: indica che il percorso remoto.
Metrico: immettere la distanza amministrativa relativa al passaggio successivo specificando un valore compreso tra 1 e 255.
PASSAGGIO 4 Fare clic su Applica. Il percorso IP statico viene aggiunto e lo switch viene aggiornato.
190

Attivazione del proxy ARP
15
Attivazione del proxy ARP

La tecnica del Proxy ARP viene utilizzata da un dispositivo su una determinata sottorete IP per rispondere alle query ARP relative a un indirizzo di rete non presente sulla rete. Il proxy ARP in grado di rilevare la destinazione del traffico, e, come risposta, fornisce un altro indirizzo MAC. L'utilizzo di un proxy ARP per un host diverso consente effettivamente di indirizzare sull'host una destinazione del traffico LAN. Il percorso del traffico ottenuto viene quindi in genere indirizzato dal proxy alla destinazione stabilita tramite un'altra interfaccia o un tunnel. Il processo in cui, per motivi legati al proxy, una query ARP relativa alla richiesta di un indirizzo IP diverso risulta nel nodo corrispondente all'indirizzo MAC viene inviata come pubblicazione. In questa pagina possibile configurare lo stato della funzione Proxy ARP. Al termine, la funzione viene attivata su tutte le interfacce IP. Per attivare il Proxy ARP sullo switch, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Configurazione IP > Proxy ARP.
Si apre la ARP Proxy Page.

PASSAGGIO 2 Selezionare Proxy ARP per consentire allo switch di rispondere alle richieste ARP
di nodi posizionati in remoto tramite l'indirizzo MAC dello switch.

PASSAGGIO 3 Fare clic su Applica. Il proxy ARP viene attivato e lo switch viene aggiornato.
Definizione dell'Inoltro UDP

Inoltro UDP l'unica funzione disponibile quando lo switch in modalit Livello 3. Generalmente gli switch non instradano pacchetti broadcast IP tramite le sottoreti IP. Tuttavia, se configurato, lo switch pu inoltrare a determinati indirizzi IP di destinazione specifici pacchetti broadcast UDP ricevuti dalle interfacce IPv4. Per configurare l'inoltro di pacchetti UDP ricevuti da un'interfaccia IPv4 specifica con una specifica porta UDP di destinazione, aggiungere un Inoltro UDP:
PASSAGGIO 1 Fare clic su Configurazione IP > Inoltro UDP. Si apre la UDP Relay Page.
191

Inoltro DHCP
15
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add UDP Relay Page. PASSAGGIO 3 Selezionare l'Interfaccia IP di origine in cui lo switch inoltrer pacchetti broadcast
UDP sulla base di una Porta di destinazione UDP configurata. L'interfaccia deve essere una delle interfacce IPv4 configurate sullo switch.
PASSAGGIO 4 Immettere il numero della Porta di destinazione UDP per i pacchetti che verranno
inoltrati dallo switch, specificando un valore compreso tra 1 e 65535.

PASSAGGIO 5 Immettere l'Indirizzo IP di destinazione a cui verranno inoltrati i pacchetti UDP. Se
il campo 0.0.0.0, i pacchetti UDP verranno eliminati. Se il campo 255.255.255.255, i pacchetti UDP verranno distribuiti su tutte le interfacce IP.
PASSAGGIO 6 Fare clic su Applica. Le impostazioni relative all'inoltro UDP vengono definite e lo
Inoltro DHCP
Lo switch pu essere impostato come un agente per l'Inoltro DHCP che ascolta i messaggi DHCP e li inoltra ai vari server e client DHCP che si trovano in diverse VLAN e sottoreti IP. Descrizione dell'Inoltro DHCP necessario attivare l'Inoltro DHCP globalmente e per VLAN. In modalit Livello 2, lo switch pu inoltrare a uno o pi server DHCP configurati i messaggi DHCP ricevuti da una VLAN. Quando l'Inoltro DHCP riceve un messaggio DHCP da una stazione, aggiunge l'opzione 82 al frame per mantenere la porta e la VLAN di ingresso. Quando si riceve una risposta da un server DHCP, la funzione rimuove l'opzione 82 dal frame e la usa per stabilire dove la stazione connessa. In questa modalit, l'Inoltro DHCP elimina tutti i frame DHCP ricevuti dalle stazioni che contengono gi l'opzione 82. In modalit Livello 3, lo switch pu inoltrare a uno o pi server DHCP configurati i messaggi DHCP ricevuti dalle sue interfacce IPv4. Lo switch inserisce l'indirizzo IPv4 nei campi giaddr del messaggio prima di inoltrarlo ai server usando l'indirizzo IPv4 dello switch dell'interfaccia in cui stato ricevuto il messaggio. Lo switch usa il campo giaddr delle risposte per stabilire come reinoltrare la risposta al client DHCP.
192

Inoltro DHCP
15
Limitazioni dell'Inoltro DHCP In modalit Livello 2, lo switch inserisce l'opzione 82 del DHCP con le informazioni della VLAN e della porta di ingresso contenute nel messaggio ricevuto dai client DHCP. Per questo motivo necessario che i server DHCP supportino l'opzione 82 del DHCP. Lo switch elimina i messaggi DHCP contenenti l'opzione 82 ricevuti dai client DHCP. In modalit Livello 3, la funzione pu essere attivata solo sulle interfacce IPv4.
Definizione delle propriet dell'Inoltro DHCP

Nella Properties Page possibile configurare lo stato dell'Inoltro DHCP sullo switch e gli indirizzi IP del server DHCP in cui vengono inoltrati i messaggi DHCP. Per usare questa funzione, necessario attivare l'Inoltro DHCP sull'interfaccia di ingresso in cui verranno inoltrati i messaggi DHCP. Questa operazione pu essere eseguita nella DHCP Relay Interfaces Page. L'opzione 82 consente di inserire informazioni aggiuntive sui pacchetti inviati dall'host. Il server DHCP trasferisce le informazioni relative alla configurazione agli host che si trovano su una rete TCP/IP. Questo permette al server DHCP di limitare la quantit di indirizzi allocati sugli host autorizzati. possibile attivare l'Opzione 82 solo se l'Inoltro DHCP attivo. Per configurare l'opzione Inoltro DHCP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Configurazione IP > Inoltro DHCP > Propriet. Si apre la Properties
Page.
Inoltro DHCP: selezionare Inoltro DHCP per attivarlo o disattivarlo. Opzione 82: selezionare Opzione 82 per inserire l'indirizzo MAC del dispositivo e i parametri di input nei pacchetti per l'identificazione del dispositivo. Questa opzione configurabile sono nella modalit Livello 3. Tabella server DHCP: consente di visualizzare l'elenco dei server DHCP.
PASSAGGIO 3 Fare clic su Aggiungi per immettere l'indirizzo IP del server DHCP. Si apre la Add
DHCP Properties Page.

PASSAGGIO 4 Immettere il valore del seguente campo:
Versione IP: indica che viene supportato solo l'IPv4. Indirizzo IP del server DHCP: immettere l'indirizzo IP del server DHCP.
193

Inoltro DHCP
15
PASSAGGIO 5 Fare clic su Applica. Il server DHCP viene definito e lo switch viene aggiornato.
Usare la DHCP Relay Interfaces Page per configurare le interfacce che supportano l'Inoltro DHCP.
Definizione delle Interfacce inoltro DHCP

In questa pagina possibile configurare le interfacce della porta, del LAG o della VLAN che supportano le funzioni di Inoltro DHCP. Affinch l'Inoltro DHCP funzioni, necessario attivarlo anche globalmente nella Properties Page. Per definire le interfacce di Inoltro DHCP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Configurazione IP > Interfacce inoltro DHCP. Si apre la DHCP Relay
Interfaces Page. Nella pagina vengono visualizzati l'indirizzo IP e l'interfaccia in cui viene definito l'Inoltro DHCP. Nel Livello 3, sono disponibili la porta, il LAG o le VLAN mentre nel Livello 2 soltanto le VLAN.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add DHCP Interface Page (Layer 2). PASSAGGIO 3 Immettere il valore in Interfaccia.
Se lo switch in modalit Livello 2, selezionare la VLAN in cui attivare l'Inoltro DHCP. Se in modalit Livello 3, selezionare se l'interfaccia riferita ad una porta, una VLAN o un LAG.
PASSAGGIO 4 Fare clic su Applica. Un'interfaccia di Inoltro DHCP viene definita e lo switch viene
aggiornato.
194

Configurazione dell'ARP
15
Lo switch mantiene una Tabella ARP (Address Resolution Protocol) per tutti i dispositivi riconosciuti che si trovano nelle sottoreti IP collegate direttamente. Una sottorete IP connessa direttamente la sottorete a cui connessa l'interfaccia IPv4 dello switch. Quando lo switch deve inviare/instradare pacchetti su un dispositivo locale, esso ricerca la Tabella ARP per ottenere l'indirizzo MAC del dispositivo. La Tabella ARP contiene sia indirizzi statici che dinamici. Gli indirizzi statici vengono configurati manualmente e mantenuti. Lo switch crea indirizzi dinamici dai pacchetti ARP ricevuti che, dopo un periodo di tempo configurato, non sono pi validi. Nella ARP Table Page possibile visualizzare le voci ARP dinamiche acquisite dallo switch modificando la validit temporale della voce ARP, annullando le voci ARP e aggiungendo o eliminando le voci ARP statiche.
NOTA In modalit Livello 2, lo switch utilizza le informazioni relative all'associazione
dell'indirizzo MAC presenti nella Tabella ARP per inoltrare il traffico proveniente dallo switch stesso. In modalit Livello 3, tali informazioni vengono utilizzate per il routing di livello 3 e per inoltrare il traffico generato. Per definire le tabelle ARP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Configurazione IP > ARP. Si apre la ARP Table Page. PASSAGGIO 2 Immettere i parametri.
Tempo voce ARP non valido: immettere il numero di secondi durante i quali possibile mantenere gli indirizzi dinamici nella tabella ARP. Un indirizzo dinamico non pi considerato valido quando la sua presenza nella tabella supera il Tempo voce ARP non valido. Quando un indirizzo dinamico non pi valido, verr eliminato dalla tabella e, per poterlo reinserire, sar necessario acquisirlo nuovamente. Cancella voci tabella ARP: selezionare il tipo di voci ARP da cancellare dal sistema. -
Tutti: elimina subito tutti gli indirizzi statici e dinamici. Dinamico: elimina subito tutti gli indirizzi dinamici. Statico: elimina subito tutti gli indirizzi statici. Tempo normale non valido: elimina gli indirizzi dinamici in base al Tempo
voce ARP non valido configurato.
195

15
Nella Tabella ARP vengono visualizzati i seguenti campi: Interfaccia: corrisponde all'Interfaccia IPv4 della sottorete IP connessa direttamente in cui si trova il dispositivo IP. Indirizzo IP: l'indirizzo IP del dispositivo IP. Indirizzo MAC : l'indirizzo MAC del dispositivo IP. Stato: indica se la voce stata inserita manualmente o acquisita dinamicamente.
PASSAGGIO 3 Fare clic su Applica. Le impostazioni generali di ARP vengono modificate e lo

PASSAGGIO 4 Fare clic su Aggiungi. Si apre la Add ARP Entry Page (Layer 3). PASSAGGIO 5 Immettere i parametri.
Versione IP: il formato dell'indirizzo IP supportato dall'host. supportato solo l'IPv4. Interfaccia: interfaccia IPv4 dello switch. Per i dispositivi che si trovano in modalit Livello 2 mode, disponibile solo una sottorete IP connessa direttamente e che si trova sempre nella gestione VLAN. Tutti gli indirizzi statici e dinamici riportati nella Tabella ARP si trovano nella gestione VLAN. Per i dispositivi in modalit Livello 3, possibile configurare un'interfaccia IPv4 su una porta, un LAG o una VLAN. Selezionare l'interfaccia desiderata dall'elenco delle interfacce IPv4 configurate sullo switch.
Indirizzo IP: immettere l'indirizzo IP del dispositivo locale. Indirizzo MAC : immettere l'indirizzo MAC del dispositivo locale.
PASSAGGIO 6 Fare clic su Applica. La voce ARP viene definita e lo switch viene aggiornato.
196

Domain Name Systems
15
Domain Name Systems

Il Domain Name System (DNS) consente di convertire i nomi di dominio definiti dall'utente in indirizzi IP per poterli posizionare e indirizzare. In quanto client DNS, lo switch converte i nomi di dominio in indirizzi IP tramite uno o pi server DNS configurati.
Definizione dei server DNS

Nella DNS Servers Page possibile configurare i server DNS e il dominio predefinito utilizzato dallo switch. Per configurare i server DNS, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Configurazione IP > Domain Name System > Server DNS. Si apre la
DNS Servers Page.

DNS: selezionare DNS per attivare lo switch come client DNS in grado di convertire i nomi DNS in indirizzi IP tramite uno o pi server DNS configurati. Nome dominio predefinito: immettere il nome di dominio DNS predefinito (compreso tra 1 e 158 caratteri). Lo switch aggiunge tutti i nomi di dominio non-completamente qualificati (FQDN) trasformandoli in FQDN. Tipo: visualizza le seguenti opzioni per il tipo di dominio predefinito: -
DHCP: il nome di dominio predefinito viene assegnato dinamicamente dal

server DHCP.
Statico: il nome di dominio predefinito definito dall'utente-.

N/D: nessun nome di dominio predefinito.
Tabella Server DNS: Server DNS: gli indirizzi IP dei server DNS. possibile definire un massimo di otto server DNS. Stato server: il server DNS attivo. Pu essere attivo un solo server. Ciascun server statico ha una priorit: un valore inferiore indica una priorit pi alta. Quando viene inviata la richiesta per la prima volta, viene scelto il server statico con priorit pi bassa. Se dopo due tentativi non si riceve risposta dal server,
197

Domain Name Systems
15
verr selezionato il server successivo con la priorit pi bassa successiva. Se i server statici non rispondono, viene selezionato il primo server dinamico presente sulla tabella, seguendo un ordine per indirizzo IP (dal pi basso al pi alto).
PASSAGGIO 3 Fare clic su Aggiungi. Si apre la Add DNS Server Page. PASSAGGIO 4 Immettere i parametri.
Versione IP: selezionare Versione 6 per IPv6 o Versione 4 per IPv4. Tipo di indirizzo IPv6: selezionare il tipo di indirizzo IPv6 (se IPv6 viene utilizzato). Le opzioni sono: Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione. Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti.
Interfaccia locale collegamento: se il tipo di indirizzo IPv6 Collegamento locale, selezionare se riceverlo tramite VLAN2 o ISATAP. Indirizzo IP del server DNS: immettere l'indirizzo IP del server DNS. Imposta server DNS attivo: consente di attivare il nuovo server DNS.
PASSAGGIO 5 Fare clic su Applica. Il server DNS viene aggiunto e lo switch viene aggiornato.
Associazione host DNS

Lo switch salva nella cache DNS locale i nomi di dominio richiesti di frequente acquisiti dai server DNS. La cache pu conservare fino a 63 voci statiche, 64 dinamiche ed una voce per ciascun indirizzo IP configurato sullo switch tramite DHCP. La risoluzione dei nomi inizia sempre con la verifica delle voci statiche, prosegue con il controllo della cache DNS locale e termina inviando richieste al server DNS esterno. Nella Host Mapping Page possibile configurare le associazioni statiche tra un nome host DNS e un indirizzo IP.
198

Domain Name Systems
15
Sono supportati diversi indirizzi IP per nome host DNS. Per aggiungere un nome di dominio e il relativo indirizzo IP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Configurazione IP > Domain Name System > Associazione host . Si
apre la Host Mapping Page. In questa pagina vengono visualizzati i seguenti campi: Nome host: nome di dominio definito dall'utente contenente un massimo di 158 caratteri. Indirizzo IP: l'indirizzo IP del nome host.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Host Mapping Page. PASSAGGIO 3 Immettere i parametri.
Versione IP: selezionare Versione 6 per IPv6 o Versione 4 per IPv4. Tipo di indirizzo IPv6: selezionare il tipo di indirizzo IPv6 (se IPv6 viene utilizzato). Le opzioni sono: Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione. Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti.
Interfaccia locale collegamento: se il tipo di indirizzo IPv6 Collegamento locale, selezionare se riceverlo tramite VLAN2 o ISATAP. Nome host: immettere un nome di dominio contenente un massimo di 158 caratteri. Indirizzo IP: immettere un indirizzo IPv4 oppure un massimo di quattro indirizzi IP dell'host IPv6. Gli indirizzi compresi tra 2 e 4 sono indirizzi di backup.
PASSAGGIO 4 Fare clic su Applica. L'host DNS viene aggiunto e lo switch viene aggiornato.
199
16
Configurazione della protezione
In questo capitolo vengono descritti diversi aspetti della sicurezza e del controllo di accesso. Il sistema gestisce diversi tipi di sicurezza. Alcune funzioni vengono utilizzate per pi di un tipo di sicurezza o controllo e quindi compaiono due volte nell'elenco degli argomenti di seguito. Nel seguente elenco di argomenti vengono descritti i diversi tipi di funzioni di sicurezza presenti in questo capitolo: L'autorizzazione alla gestione dello switch viene presentata in dettaglio nelle seguenti sezioni: Definizione degli utenti Configurazione TACACS+ Configurazione dei parametri RADIUS Autenticazione di accesso a gestione Profili di accesso Configurazione dei servizi TCP/UDP
La protezione da attacchi rivolti alla CPU dello switch viene presentata in dettaglio nelle seguenti sezioni: Configurazione dei servizi TCP/UDP Definizione del controllo storm
Il controllo di accesso degli utenti finali alla rete attraverso lo switch viene presentata in dettaglio nelle seguenti sezioni: Autenticazione di accesso a gestione Profili di accesso Definizione degli utenti Configurazione TACACS+ Configurazione dei parametri RADIUS
200

16
Configurazione della sicurezza della porta 802.1X
La protezione da altri utenti di rete viene presentata in dettaglio nelle seguenti sezioni. Si tratta di attacchi che passano ma che non sono rivolti allo switch. Blocco degli attacchi DoS Configurazione dei servizi TCP/UDP Definizione del controllo storm Configurazione della sicurezza della porta

Un utente, in questo contesto, un amministratore di sistema o un utente principale che gestisce lo switch. Il nome utente predefinito cisco e la password predefinita cisco. La prima volta che si accede con il nome utente e la password predefiniti, necessario immettere una nuova password.
Impostazione degli account utente

La pagina Account utente consente di inserire altri utenti che hanno l'autorizzazione a gestire lo switch o a cambiare le password degli utenti esistenti.
NOTA Non consentito eliminare tutti gli utenti. Se tutti gli utenti sono selezionati, il
pulsante Elimina disattivato. Per aggiungere un nuovo utente, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Amministrazione > Account utente. Viene visualizzata la User
Accounts Page. In questa pagina vengono visualizzati gli utenti definiti nel sistema.
PASSAGGIO 2 Fare clic su Aggiungi per aggiungere un nuovo utente o su Modifica per
modificare un utente. Viene visualizzata la Add (or Edit) a User Account Page.
Nome utente: immettere un nuovo nome utente.
201

16
Password: immettere una password. Viene definita la complessit della password, la password dell'utente deve rispettare i criteri. Questi vengono configurati nella sezione Impostazione delle regole di complessit password. Conferma password: immettere di nuovo la password. Indicatore di complessit password: visualizza la complessit della password. I criteri per la complessit della password vengono configurati nella pagina Complessit password.
PASSAGGIO 4 Fare clic su Applica. L'utente viene aggiunto e lo switch viene aggiornato.
Impostazione delle regole di complessit password

Le password vengono utilizzate per autenticare gli utenti che accedono allo switch. La gestione delle password consiste nell'impostazione delle regole di complessit password generali e delle password degli utenti specifici. I diversi aspetti della complessit della password comprendono la lunghezza minima della password, il numero di classi di caratteri e il requisito che una nuova password sia diversa da quella precedente. La Password Strength Page consente l'impostazione della complessit della password e la validit temporale (il periodo di tempo durante il quale la password valida). Per definire le regole di complessit password, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Complessit password. Viene visualizzata la Password
Strength Page.
PASSAGGIO 2 Selezionare Attiva Impostazioni complessit password per applicare le regole
di complessit minima per le password.

Lunghezza minima password: immettere il numero minimo di caratteri richiesti per le password. Numero minimo classi di caratteri: immettere le classi di caratteri che devono formare una password: lettere minuscole (1), lettere maiuscole (2), cifre (3) o caratteri speciali (4).
202

16
La nuova password deve essere diversa da quella attuale: se selezionato, la nuova password non pu essere uguale a quella attuale. Validit temporale password: se selezionato, all'utente viene richiesto di cambiare la password quando la Validit temporale password scade. Validit temporale password: immettere il numero di giorni che possono trascorrere prima che l'utente debba cambiare la password. L'impostazione predefinita 180 giorni.
PASSAGGIO 4 Fare clic su Applica. Le impostazioni della password vengono configurate e lo
Lo switch un client Terminal Access Controller Access Control System (TACACS+) che utilizza un server TACACS+ per fornire sicurezza centralizzata, autorizzazione e autenticazione agli utenti che cercano di accedere e amministrare lo switch. TACACS+ fornisce i seguenti servizi: Autenticazione: fornisce l'autenticazione degli amministratori che accedono allo switch utilizzando nomi utente e password definite dagli utenti. Autorizzazione: eseguita al momento dell'accesso. Terminata la sessione di autenticazione, viene avviata una sessione di autorizzazione utilizzando il nome utente autenticato. Il server TACACS+ verifica quindi i privilegi utente.
Il protocollo TACACS+ garantisce l'integrit della rete mediante lo scambio di comunicazioni crittografate tra il dispositivo e il server TACACS+. TACACS+ supportato solo con IPv4. I server TACACS+ non possono essere utilizzati come server di autenticazione 802.1X per verificare le credenziali degli utenti di rete che cercano di connettersi alla rete attraverso lo switch. Alcuni server TACACS+ supportano una sola connessione che consente al dispositivo di ricevere tutte le informazioni in una sola connessione. Se il server TACACS+ non la supporta, il dispositivo torna a pi connessioni.
203

16
Configurazione dei parametri TACACS+ predefiniti

La TACACS+ Page consente l'aggiunta, la rimozione e la modifica dei server TACACS+. possibile definire i parametri predefiniti come la stringa di chiavi utilizzata per crittografare le comunicazioni con il server TACACS+. Un utente deve essere configurato nel TACACS+ per disporre del livello di privilegio 15 che concede l'autorizzazione ad amministrare lo switch. Per definire un server TACACS+ e i parametri di autenticazione del server TACACS+ predefiniti, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > TACACS+. Viene visualizzata la TACACS+ Page.
La tabella Server TACACS+ visualizza i parametri predefiniti e i server TACACS+ definiti in precedenza.
PASSAGGIO 2 Immettere la stringa di chiavi predefinita. la chiave di crittografia e
autenticazione utilizzata per comunicare con i server TACACS+. Lo switch pu essere configurato per utilizzare questa chiave o una chiave per un solo server (descritto nella sezione Aggiunta di un server TACACS+). Se non si immette una stringa di chiavi in questo campo, la chiave del server singolo deve corrispondere alla chiave di crittografia utilizzata dal server TACACS+. Se si immette una stringa di chiavi qui e una per un singolo server TACACS+, la stringa di chiavi configurata per il singolo server TACACS+ ha la precedenza.
PASSAGGIO 3 Nel campo Timeout per risposta, immettere quanto tempo deve trascorrere
prima che si verifichi il timeout della connessione tra lo switch e il server TACACS+. Se non viene immesso un valore nella Add TACACS+ Server Page di un server specifico, il valore viene preso da questo campo.
PASSAGGIO 4 Fare clic su Applica. Le impostazioni di TACACS+ e lo switch vengono aggiornati.
Aggiunta di un server TACACS+

PASSAGGIO 1 Fare clic su Sicurezza > TACACS+. Viene visualizzata la TACACS+ Page. PASSAGGIO 2 Fare clic su Aggiungi. Viene visualizzata la Add TACACS+ Server Page. PASSAGGIO 3 Immettere i parametri.
204

16
Indirizzo IP del server : immettere l'indirizzo IP del server TACACS+. Priorit: immettere l'ordine con cui viene utilizzato questo server TACACS+. Zero la priorit pi alta del server TACACS+, il primo server utilizzato. Se non possibile stabilire una sessione con il server ad alta priorit, lo switch cercher il server con la priorit pi alta successiva. Stringa di chiavi: immettere la chiave di crittografia e autenticazione del server TACACS+. Questa chiave deve corrispondere alla chiave di crittografia configurata nel server TACACS+. Selezionare Usa predefinito per utilizzare la stringa di chiavi definita nei Parametri predefiniti TACACS+. Timeout per risposta: immettere quanto tempo deve trascorrere prima che si verifichi il timeout della connessione tra lo switch e il server TACACS+. Selezionare Usa predefinito per utilizzare il valore predefinito visualizzato nella pagina. Porta IP di autenticazione: immettere il numero della porta utilizzata per la sessione TACACS+. L'impostazione predefinita 49. Connessione singola: selezionare questa casella di controllo affinch venga attivata una sola connessione aperta tra lo switch e il server TACACS+.
PASSAGGIO 4 Fare clic su Applica. Il server TACACS+ viene aggiunto e lo switch viene
aggiornato.

I server RADIUS (Remote Authorization Dial-In User Service) offrono un controllo di accesso di rete centralizzato 802.1X o basato su MAC. Lo switch un client RADIUS che utilizza un server RADIUS per fornire sicurezza, autorizzazione e autenticazione centralizzate agli utenti che cercano di accedere e amministrare lo switch. Per garantire l'accesso all'utilit di configurazione dello switch basata sul Web al server RADIUS, quest'ultimo deve restituire cisco-avpair = shell:priv-lvl=15. Utilizzare questa pagina per attivare la configurazione dei parametri del server RADIUS che utilizza lo switch per comunicare con i server.
205

16
Per impostare i parametri RADIUS predefiniti, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Sicurezza > RADIUS. Viene visualizzata la RADIUS Page.
Nella tabella RADIUS vengono visualizzati i parametri specifici per ogni server RADIUS definito.
PASSAGGIO 2 Immettere i parametri RADIUS predefiniti. I valori vengono immessi nei Parametri
predefiniti e applicati a tutti i server. Se non viene immesso un valore di un server specifico, lo switch utilizza i valori di questi campi. Versione IP: visualizza la versione IP supportata: subnet IPv6 e/o IPv4. Tentativi: immettere il numero di richieste che devono essere trasmesse al server RADIUS prima che si verifichi un errore. Timeout per risposta: immettere il tempo in secondi per il quale lo switch deve attendere una risposta del server RADIUS prima di provare a inviare nuovamente la query o passare al server successivo. Tempo morto: immettere il numero di minuti che possono trascorrere prima che un server RADIUS bloccato venga ignorato per le richieste di servizio. Se il valore 0, il server non viene ignorato. Stringa di chiavi: immettere la stringa di chiavi predefinita utilizzata per l'autenticazione e la crittografia degli attributi RADIUS comunicati tra lo switch e il server RADIUS. Questa chiave deve corrispondere alla chiave configurata nel server Radius. Una stringa di chiavi viene utilizzata per crittografare le comunicazioni utilizzando MD5. Una chiave configurata per un singolo server RADIUS ha la precedenza sulla chiave predefinita utilizzata se non viene fornita nessuna chiave per un singolo server.
PASSAGGIO 3 Fare clic su Applica. Le impostazioni di RADIUS per lo switch vengono aggiornate.
Aggiunta di un server RADIUS

PASSAGGIO 1 Fare clic su Sicurezza > RADIUS. Viene visualizzata la RADIUS Page. PASSAGGIO 2 Fare clic su Aggiungi. Viene visualizzata la Add RADIUS Server Page.
In questa pagina vengono forniti i campi che devono essere immessi singolarmente per un server.
206

16
PASSAGGIO 3 Immettere i valori nei campi di ogni server. Per utilizzare i valori predefiniti immessi
nella RADIUS Page, selezionare Usa predefinito. Versione IP: selezionare la versione IP dell'indirizzo IP del server RADIUS. Indirizzo IP del server : immettere l'indirizzo del server RADIUS. Priorit: immettere la priorit del server. La priorit determina l'ordine in cui lo switch cerca di contattare i server per autenticare un utente. Lo switch inizier subito con il server RADIUS con la priorit pi alta. Zero la priorit pi alta. Stringa di chiavi: immettere la stringa di chiavi utilizzata per l'autenticazione e la crittografia degli attributi RADIUS comunicati tra lo switch e il server RADIUS. Questa chiave deve corrispondere alla chiave configurata nel singolo server Radius. Se questo campo viene lasciato vuoto, lo switch cercher di autenticarsi al server RADIUS utilizzando la stringa di chiavi predefinita. Timeout per risposta: immettere il tempo in secondi per cui lo switch deve attendere una risposta del server RADIUS prima di provare a inviare nuovamente la query o passare al server successivo. Se non stato immesso nessun valore in questo campo, lo switch utilizza il valore di timeout predefinito. Porta di autenticazione: immettere il numero della porta UDP del server RADIUS per le richieste di autenticazione. Porta di accounting: immettere il numero della porta UDP del server RADIUS per le richieste di accounting. Numero di tentativi: immettere il numero di richieste che devono essere trasmesse al server RADIUS prima che si verifichi un errore. Selezionare Usa predefinito per utilizzare il valore predefinito del numero di tentativi. Tempo morto: immettere il numero di minuti che devono trascorrere prima che un server RADIUS bloccato venga ignorato per le richieste di servizio. Selezionare Usa predefinito per utilizzare il valore predefinito del tempo morto. Se si immette 0 minuti, non c' tempo morto. Tipo di utilizzo: immettere il tipo di autenticazione del server RADIUS. Le opzioni sono: Accesso: il server RADIUS viene utilizzato per autenticare gli utenti che desiderano amministrare lo switch.
207

Autenticazione di accesso a gestione
16
802.1X: il server RADIUS viene utilizzato per l'autenticazione in Controllo di accesso 802.1x. Tutti: il server RADIUS viene utilizzato per autenticare gli utenti che desiderano amministrare lo switch e per l'autenticazione in Controllo di accesso 802.1X.
PASSAGGIO 4 Fare clic su Applica. Il server RADIUS viene aggiunto e lo switch viene aggiornato.
Autenticazione di accesso a gestione

possibile assegnare metodi di autenticazione ai metodi di accesso a gestione, come SSH, console, Telnet, HTTP e HTTPS. Questa autenticazione pu essere eseguita localmente o su un server esterno, come un server TACACS+ o RADIUS. L'autenticazione degli utenti avviene nell'ordine di selezione dei metodi di autenticazione. Se il primo metodo di autenticazione non disponibile, viene utilizzato quello selezionato successivamente. Per esempio, se i metodi di autenticazione selezionati sono RADIUS e Locale e tutti i server RADIUS configurati vengono cercati in ordine di priorit e non rispondono, l'utente viene autenticato localmente. Se un metodo di autenticazione non riesce o l'utente ha un livello di privilegio insufficiente, all'utente viene negato l'accesso allo switch. In altre parole, se un'autenticazione non riesce con un metodo di autenticazione, lo switch si arresta; non continua e non cerca di utilizzare il metodo di autenticazione successivo. Per definire i metodi di autenticazione per un metodo di accesso, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Autenticazione di accesso a gestione. Viene visualizzata
la Management Access Authentication Page.

PASSAGGIO 2 Selezionare un metodo di accesso dall'elenco Applicazione. PASSAGGIO 3 Utilizzare le frecce per spostare il metodo di autenticazione tra la colonna Metodi
facoltativi e la colonna Metodi selezionati. Il primo metodo selezionato il primo metodo utilizzato.
208

Profili di accesso
16
RADIUS: l'utente viene autenticato in un server RADIUS. necessario aver configurato uno o pi server RADIUS. TACACS+: l'utente autenticato nel server TACACS+. necessario aver configurato uno o pi server TACACS+. Nessuno: l'utente pu accedere allo switch senza autenticazione. Locale: il nome utente e la password vengono confrontati con i dati memorizzati nello switch locale. Le coppie nome utente e password vengono definite nella User Accounts Page.
NOTA Il metodo di autenticazione Locale o Nessuno deve essere
sempre selezionato per ultimo. Tutti i metodi di autenticazione selezionati dopo Locale o Nessuno vengono ignorati.
PASSAGGIO 4 Fare clic su Applica. I metodi di autenticazione selezionati vengono associati al
metodo di accesso.
Profili di accesso
Autenticazione di accesso a gestione configura i metodi di autenticazione da utilizzare per autenticare e autorizzare gli utenti di diversi metodi di accesso a gestione. Profili di accesso a gestione limitano l'accesso a gestione da interfacce e/o origini specifiche. Solo agli utenti che superano l'autenticazione del profilo di accesso attivo e l'autenticazione di accesso a gestione viene conferito l'accesso di gestione allo switch. Regole profilo di accesso, filtri ed elementi I profili di accesso consistono in regole per consentire l'accesso allo switch. Ogni profilo di accesso pu consistere in una o pi regole. Le regole vengono eseguite in ordine di priorit nel profilo di accesso (dall'alto al basso). Le regole sono composte da filtri che includono i seguenti elementi: Metodi di accesso: metodi per accedere e gestire lo switch: Telnet Telnet protetto (SSH)
209

Profili di accesso
16
Protocollo di trasferimento Hypertext (HTTP) HTTP protetto (HTTPS) Simple Network Management Protocol (SNMP) Tutti quelli indicati sopra
Azione: consente o nega l'accesso a un'interfaccia o a un indirizzo di origine. Interfaccia: quali porte, LAG o VLAN hanno il permesso di accedere o hanno l'accesso negato all'utilit di configurazione dello switch basata sul Web. Indirizzo IP di origine : indirizzi IP o subnet. I metodi di accesso alla gestione possono essere diversi tra i gruppi utenti. Per esempio, un gruppo utenti potrebbe essere in grado di accedere al modulo switch solo utilizzando una sessione HTTPS mentre un altro gruppo utenti potrebbe farlo utilizzando le sessioni HTTPS e Telnet.
Attiva profilo di accesso Nella Access Profiles Page vengono visualizzati i profili di accesso e tutti i profili di accesso creati dagli utenti. Sullo switch pu essere attivo solo un profilo di accesso e qualsiasi tentativo di accedere allo switch deve essere conforme alle regole del profilo di accesso attivo. La ricerca nel profilo di accesso attivo viene effettuata utilizzando un metodo di prima corrispondenza. Lo switch vede se il profilo di accesso attivo consente esplicitamente l'accesso di gestione allo switch. Se non viene trovata nessuna corrispondenza, l'accesso viene negato. Quando un tentativo di accedere allo switch viola il profilo di accesso attivo, lo switch genera un messaggio SYSLOG per avvisare l'amministratore di sistema del tentativo. Se stato attivato un profilo di accesso solo console, l'unico modo per disattivarlo attraverso una connessione diretta dalla stazione di gestione alla porta console fisica sullo switch. Dopo aver definito un profilo di accesso, possibile aggiungere o modificare altre regole utilizzando la Profiles Rules Page.
210

Profili di accesso
16
Visualizzazione, aggiunta o attivazione di un profilo di accesso

Per visualizzare, aggiungere o selezionare un profilo di accesso attivo diverso, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Metodo di accesso Gestione > Profili di accesso. Viene
visualizzata la Access Profiles Page. In questa pagina vengono visualizzati tutti i profili di accesso, attivi e inattivi.
PASSAGGIO 2 Per modificare il profilo di accesso attivo, selezionare un profilo dalla casella a
discesa Profilo di accesso attivo e fare clic su Applica. In questo modo il profilo scelto diventa il profilo di accesso attivo. Se si selezionato Solo console viene visualizzato un messaggio di avviso. Se si continua, si viene subito disconnessi dall'utilit di configurazione dello switch basata sul Web ed possibile accedere allo switch solo attraverso la porta Console. Se si seleziona qualsiasi altro profilo di accesso, viene visualizzato un messaggio di avviso che informa che, in base al profilo di accesso selezionato, possibile venire disconnessi dall'utilit di configurazione dello switch basata sul Web.
PASSAGGIO 3 Fare clic su OK per selezionare il profilo di accesso attivo oppure su Annulla per
interrompere l'azione.
PASSAGGIO 4 Fare clic su Aggiungi per aprire la Add Access Profile Page. La pagina ti consente
di configurare un nuovo profilo e una regola. Visitare la sezione Definizione delle regole di profilo per informazioni su come creare una regola.
Nome profilo di accesso: immettere il nome di un profilo di accesso. Il nome profilo di accesso pu contenere un massimo di 32 caratteri. Priorit regole: immettere la priorit regole. Quando il pacchetto corrisponde a una regola, ai gruppi utenti viene autorizzato o negato l'accesso allo switch. La priorit regole fondamentale per il confronto dei pacchetti con le regole, dato che i pacchetti vengono confrontati su una base di prima corrispondenza. Uno la priorit pi alta. Metodo di gestione: selezionare il metodo di gestione secondo il quale viene definita la regola. Gli utenti con questo profilo di accesso possono solo accedere allo switch utilizzando il metodo di gestione selezionato. Le opzioni sono:
211

Profili di accesso
16
Tutti: assegna tutti i metodi di gestione alla regola. Telnet: agli utenti che richiedono l'accesso allo switch e che soddisfano i criteri del profilo di accesso Telnet viene consentito o negato l'accesso. Telnet protetto (SSH) : agli utenti che richiedono l'accesso allo switch e che soddisfano i criteri del profilo di accesso SSH viene consentito o negato l'accesso. HTTP: assegna l'accesso HTTP alla regola. Agli utenti che richiedono l'accesso allo switch e che soddisfano i criteri del profilo di accesso HTTP viene consentito o negato l'accesso. HTTP protetto (HTTPS) : gli utenti che richiedono l'accesso allo switch e che soddisfano i criteri del profilo di accesso HTTPS vengono accettati o rifiutati. SNMP: gli utenti che richiedono l'accesso allo switch e che soddisfano i criteri del profilo di accesso SNMP vengono accettati o rifiutati.
Azione: selezionare l'azione associata alla regola. Le opzioni sono: Consenti: consente l'accesso allo switch se l'utente corrisponde alle impostazioni del profilo. Nega: nega l'accesso allo switch se l'utente corrisponde alle impostazioni del profilo.
Applica a interfaccia: selezionare l'interfaccia associata alla regola. Le opzioni sono: Tutto: si applica a tutte le porte, VLAN e LAG. Definiti dall'utente: si applica solo alla porta, alla VLAN o al gruppo LAG selezionati.
Si applica all'indirizzo IP di origine: selezionare il tipo di indirizzo IP di origine al quale viene applicato il profilo di accesso. Il campo Indirizzo IP di origine valido per una subnet. Selezionare uno dei seguenti valori: Tutti: si applica a tutti i tipi di indirizzi IP. Definiti dall'utente : si applica solo ai tipi di indirizzi IP definiti nei campi.
Versione IP: selezionare la versione IP supportata dell'indirizzo di origine, IPv6 o IPv4. Indirizzo IP: immettere l'indirizzo IP di origine.
212

Profili di accesso
16
Maschera di rete: selezionare la sottorete a cui appartiene l'indirizzo IP di origine e immettere la maschera di sottorete nel formato decimale separato da punti. Lunghezza prefisso: selezionare la Lunghezza prefisso e immettere il numero di bit che formano il prefisso dell'indirizzo IP di origine.
Maschera: selezionare il formato per la maschera di sottorete dell'indirizzo IP di origine e immettere un valore in uno dei campi: -
PASSAGGIO 6 Fare clic su Applica. Il profilo di accesso viene creato e lo switch viene aggiornato.
Ora possibile selezionare questo profilo di accesso come profilo di accesso attivo.
Definizione delle regole di profilo

I profili di accesso possono contenere fino a 128 regole per stabilire chi ha il permesso di gestire e accedere allo switch e i metodi di accesso utilizzabili. Ogni regola in un profilo di accesso contiene un'azione e un criterio (uno o pi parametri) a cui corrispondere. Ogni regola ha una priorit; le regole con la priorit pi bassa vengono verificate per prime. Se il pacchetto in ingresso corrisponde a una regola, viene eseguita l'azione associata alla regola. Se non viene trovata nessuna regola corrispondente nel profilo di accesso attivo, il pacchetto viene eliminato. Per esempio, possibile limitare l'accesso allo switch dagli indirizzi IP tranne dagli indirizzi IP allocati nel centro di gestione IT. In questo modo, lo switch pu ancora essere gestito e ottenere un altro livello di protezione. Per definire le regole di profilo, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Metodo di accesso Gestione > Regole di profilo. Viene
visualizzata la Profiles Rules Page.

PASSAGGIO 2 Selezionare il campo Filtro e un profilo di accesso. Fare clic su Vai.
Il profilo di accesso selezionato viene visualizzato nella tabella Regola profilo.

PASSAGGIO 3 Fare clic su Aggiungi per aggiungergli una regola. Viene visualizzata la Add Profile
Rule Page.
213

Profili di accesso
16
Nome profilo di accesso: selezionare un profilo di accesso. Priorit regole: immettere la priorit regole. Quando il pacchetto corrisponde a una regola, ai gruppi utenti viene autorizzato o negato l'accesso allo switch. La priorit regole fondamentale per il confronto dei pacchetti con le regole, dato che i pacchetti vengono confrontati su una base di first-fit. Metodo di gestione: selezionare il metodo di gestione secondo il quale viene definita la regola. Le opzioni sono: Tutti: assegna tutti i metodi di gestione alla regola. Telnet: agli utenti che richiedono l'accesso allo switch e che soddisfano i criteri del profilo di accesso Telnet viene consentito o negato l'accesso. Telnet protetto (SSH) : agli utenti che richiedono l'accesso allo switch e che soddisfano i criteri del profilo di accesso Telnet viene consentito o negato l'accesso. HTTP: assegna l'accesso HTTP alla regola. Agli utenti che richiedono l'accesso allo switch e che soddisfano i criteri del profilo di accesso HTTP viene consentito o negato l'accesso. HTTP protetto (HTTPS) : gli utenti che richiedono l'accesso allo switch e che soddisfano i criteri del profilo di accesso HTTPS vengono accettati o rifiutati. SNMP: gli utenti che richiedono l'accesso allo switch e che soddisfano i criteri del profilo di accesso SNMP vengono accettati o rifiutati.
Azione: selezionare Consenti per accettare gli utenti che cercano di accedere allo switch utilizzando il metodo di accesso configurato dall'interfaccia e dall'origine IP definite in questa regola. Oppure selezionare Nega per negare l'accesso. Applica a interfaccia: selezionare l'interfaccia associata alla regola. Le opzioni sono: Tutti: si applica a tutte le porte, le reti VLAN e i gruppi LAG. Definiti dall'utente: si applica solo alla porta, alla VLAN o al gruppo LAG selezionati.
214

Configurazione dei servizi TCP/UDP
16
Si applica all'indirizzo IP di origine: selezionare il tipo di indirizzo IP di origine al quale viene applicato il profilo di accesso. Il campo Indirizzo IP di origine valido per una subnet. Selezionare uno dei seguenti valori: Tutti: si applica a tutti i tipi di indirizzi IP. Definiti dall'utente : si applica solo ai tipi di indirizzi IP definiti nei campi.
Versione IP: selezionare la versione IP supportata dell'indirizzo di origine: IPv6 o IPv4. Indirizzo IP: immettere l'indirizzo IP di origine. Maschera: selezionare il formato per la maschera di sottorete dell'indirizzo IP di origine e immettere un valore in uno dei campi: Maschera di rete: selezionare la sottorete a cui appartiene l'indirizzo IP di origine e immettere la maschera di sottorete nel formato decimale separato da punti. Lunghezza prefisso: selezionare la Lunghezza prefisso e immettere il numero di bit che formano il prefisso dell'indirizzo IP di origine.
PASSAGGIO 5 Facendo clic su Applica la regola viene aggiunta al profilo di accesso.

La pagina Servizi TCP/UDP attiva i servizi basati su TCP o UDP nello switch, di solito per motivi di sicurezza. Lo switch offre i seguenti servizi TCP/UDP: Telnet: disattivato per impostazioni predefinite di fabbrica SSH: disattivato per impostazioni predefinite di fabbrica HTTP: attivato per impostazioni predefinite di fabbrica HTTPS: disattivato per impostazioni predefinite di fabbrica SNMP: disattivato per impostazioni predefinite di fabbrica
Le connessioni TCP attive vengono visualizzate anche in questa finestra.
215

16
Per configurare i servizi TCP/UDP, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Sicurezza > Servizi TCP/UDP. Viene visualizzata la TCP/UDP
Services Page.
PASSAGGIO 2 Attivare o disattivare i servizi TCP/UDP nei servizi visualizzati.
Nella tabella Servizi TCP vengono visualizzate le seguenti informazioni: Nome servizio: metodo di accesso a gestione attraverso cui lo switch offre il servizio. Tipo: protocollo IP utilizzato dal servizio. Indirizzo IP locale: indirizzo IP locale attraverso cui lo switch offre il servizio. Porta locale: porta TCP locale attraverso cui lo switch offre il servizio. Indirizzo IP remoto: indirizzo IP del dispositivo remoto che richiede il servizio. Porta remota: porta TCP del dispositivo remoto che richiede il servizio. Stato: stato del servizio.
Nella tabella Servizi UDP vengono visualizzate le seguenti informazioni: Nome servizio: metodo di accesso a gestione attraverso cui lo switch offre il servizio. Tipo: protocollo IP utilizzato dal servizio. Indirizzo IP locale: indirizzo IP locale attraverso cui lo switch offre il servizio. Porta locale: porta UDP locale attraverso cui lo switch offre il servizio. Istanza applicazione: l'istanza dell'applicazione del servizio UDP. (Per esempio, quando due mittenti inviano alla stessa destinazione).
PASSAGGIO 3 Fare clic su Applica. I servizi vengono aggiunti e lo switch viene aggiornato.
216

Definizione del controllo storm
16
Definizione del controllo storm

Quando i frame broadcast, multicast o unicast sconosciuti vengono ricevuti, vengono duplicati e viene inviata una copia a tutte le possibili porte in uscita. Ci significa che vengono in pratica inviati a tutte le porte appartenenti alla VLAN pertinente. In questo modo, un unico frame in ingresso viene trasformato in molti frame, creando il potenziale per uno storm. La protezione storm consente di limitare il numero di frame in ingresso sullo switch e di definire i tipi di frame inclusi entro tale limite. Quando nel sistema viene immessa una soglia (limite), una volta raggiunta quella soglia la porta respinge il traffico. La porta rimane bloccata fino a quando la frequenza del traffico non scende sotto la soglia. Quindi riprende il normale reindirizzamento. Per definire il controllo storm, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Controllo storm. Viene visualizzata la Storm Control
Page. In questa pagina vengono visualizzati i parametri del controllo storm di tutte le porte. Tutti i campi di questa pagina sono descritti nella Edit Storm Control Page tranne la Soglia di velocit controllo storm (%). Viene visualizzata la percentuale della banda di larghezza totale disponibile per i pacchetti unicast, multicast e broadcast sconosciuti prima che il controllo storm venga applicato alla porta. Il valore predefinito 10% della velocit massima della porta e viene impostato nella Edit Storm Control Page.
PASSAGGIO 2 Selezionare una porta e fare clic su Modifica. Viene visualizzata la Edit Storm
Control Page.
Porta: selezionare la porta per cui attivare la funzione di controllo storm. Controllo storm: selezionare per attivare il controllo storm. Soglia di velocit controllo storm: immettere la velocit massima alla quale possono essere inoltrati i pacchetti sconosciuti. Modalit Controllo storm: selezionare una delle modalit seguenti. Unicast, multicast e broadcast sconosciuto: include il traffico unicast, broadcast e multicast sconosciuto nella soglia della larghezza di banda.
217

Configurazione della sicurezza della porta
16
Multicast e broadcast: include il traffico broadcast e multicast nella soglia della larghezza di banda. Solo broadcast: include solo il traffico broadcast nella soglia della larghezza di banda.
PASSAGGIO 4 Fare clic su Applica. Il controllo storm viene modificato e lo switch viene
aggiornato.

La sicurezza della rete pu essere migliorata limitando l'accesso a una porta agli utenti con determinati indirizzi MAC. Gli indirizzi MAC possono essere rilevati dinamicamente o configurati staticamente. La funzione di sicurezza della porta monitora i pacchetti ricevuti e rilevati. L'accesso alle porte bloccate consentito solo agli utenti con indirizzi MAC specifici. La funzione di sicurezza della porta presenta due modalit: Blocco tradizionale: tutti gli indirizzi MAC rilevati nella porta sono bloccati e la porta non rileva nessun nuovo indirizzo MAC. Gli indirizzi rilevati non sono soggetti a validit temporale o a ulteriore rilevamento. Blocco dinamico limitato: lo switch rileva indirizzi MAC fino al limite configurato degli indirizzi consentiti. Raggiunto il limite lo switch non rileva altri indirizzi. In questa modalit, gli indirizzi sono soggetti a validit temporale e a ulteriore rilevamento.
Quando viene rilevato un frame di un nuovo indirizzo MAC in una porta in cui non ha l'autorizzazione (la porta bloccata in modo tradizionale e c' un nuovo indirizzo MAC oppure la porta bloccata dinamicamente e il numero massimo di indirizzi consentiti stato superato), viene invocato il meccanismo di protezione e pu verificarsi una delle azioni seguenti: Il frame viene eliminato Il frame viene reindirizzato La porta viene arrestata
218

16
Quando l'indirizzo MAC sicuro viene visualizzato in un'altra porta, il frame viene reindirizzato ma l'indirizzo MAC non viene rilevato in quella porta. Oltre a una di queste azioni inoltre possibile generare trap e limitare la loro frequenza e numero per evitare il sovraccarico dei dispositivi.
NOTA Se si desidera utilizzare 802.1X su una porta, deve essere in modalit host multipli
(vedere la pagina 802.1x, Autenticazione host e sessione). Nella Port Security Page vengono visualizzati i parametri di sicurezza di tutte le porte e i LAG ed consentita la loro modifica. Per configurare la sicurezza della porta, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Sicurezza porta. Viene visualizzata la Port Security
Page. In questa pagina vengono visualizzate le informazioni per tutte le porte o tutti i LAG, in base al tipo di interfaccia selezionato.
PASSAGGIO 2 Selezionare un'interfaccia da modificare e fare clic su Modifica. Viene visualizzata
la Edit Port Security Interface Settings Page.

Interfaccia: selezionare il nome dell'interfaccia. Stato interfaccia: selezionare per bloccare la porta. Modalit di rilevamento: selezionare il tipo di blocco della porta. Per configurare questo campo, lo Stato interfaccia deve essere sbloccato. Il campo Modalit di rilevamento attivato solo se il campo Blocca interfaccia bloccato. Per modificare la Modalit di rilevamento, necessario cancellare Blocca interfaccia. Dopo avere modificato la modalit, possibile selezionare nuovamente Blocca interfaccia. Le opzioni sono: Blocco tradizionale: la porta viene bloccata immediatamente, indipendentemente dal numero di indirizzi gi rilevati. Blocco dinamico limitato: la porta viene bloccata eliminando gli indirizzi MAC dinamici correnti associati alla porta. La porta rileva quindi gli indirizzi fino a raggiungere il numero massimo configurato per la porta. Sono attivati sia l'ulteriore rilevamento che la validit temporale degli indirizzi MAC.
219

802.1X
16
N. max di indirizzi consentito: inserire il numero massimo di indirizzi MAC che possibile rilevare nella porta se la modalit di rilevamento Blocco dinamico limitato selezionata. Il valore compreso tra 0 e 256. Il valore predefinito 0 indica che nell'interfaccia sono supportati solo gli indirizzi statici. Intervento per violazione: selezionare un'azione da applicare ai pacchetti che arrivano sulla porta bloccata Le opzioni sono: Elimina: i pacchetti provenienti da origini non rilevate vengono eliminati. Inoltra: i pacchetti provenienti da un'origine sconosciuta vengono inoltrati senza rilevare l'indirizzo MAC. Arresta: i pacchetti provenienti da origini non rilevate vengono eliminati e la porta viene arrestata. La porta rimane in questo stato finch non viene riattivata o finch lo switch non viene riavviato.
Trap: selezionare per attivare trap quando si riceve un pacchetto su una porta bloccata. importante per le violazioni dei blocchi. Per il blocco tradizionale, si tratta di qualsiasi indirizzo nuovo ricevuto. Per il blocco dinamico limitato, si tratta di un nuovo indirizzo che supera il numero di indirizzi consentiti. Frequenza trap: immettere il tempo minimo (in secondi) che deve trascorrere tra le trap.
PASSAGGIO 4 Fare clic su Applica. La funzione di sicurezza della porta viene modificata e lo
802.1X
Il controllo di accesso basato sulla porta influisce sulla creazione di due tipi di accesso nelle porte dello switch. Un punto di accesso attiva la comunicazione non controllata, indipendentemente dallo stato di autorizzazione (porta non controllata). L'altro punto di accesso autorizza la comunicazione tra l'host e lo switch. 802.1x uno standard IEEE per il controllo di accesso alla rete basato sulla porta. Il framework 802.1x consente a un dispositivo (il richiedente) di richiedere accesso alla porta da un dispositivo remoto (autenticatore) al quale connesso. Solo quando l'accesso alla porta richiesto dal richiedente viene autenticato e autorizzato il richiedente ottiene l'autorizzazione a inviare i dati alla porta. Altrimenti, l'autenticatore elimina i dati del richiedente, a meno che gli stessi non vengano inviati a una VLAN ospite e/o a VLAN non autenticate.

802.1X
16
L'autenticazione del richiedente viene eseguita da un server RADIUS esterno attraverso l'autenticatore. L'autenticatore monitora il risultato dell'autenticazione. Nello standard 802.1x, un dispositivo pu essere richiedente e contemporaneamente autenticatore su una porta, richiedendo e concedendo l'accesso alla porta. Tuttavia, questo dispositivo solo l'autenticatore e non assume il ruolo di richiedente. Esistono le seguenti variet di 802.1X: Sessione singola 802.1x: A1: sessione singola/host singolo. In questa modalit, lo switch, in quanto autenticatore, supporta una sessione 802.1x e concede al richiedente autorizzato l'autorizzazione ad utilizzare la porta su una determinata una porta. Tutti gli accessi presso altri dispositivi ricevuti dalla stessa porta vengono negati fino a quando il richiedente autorizzato non utilizza pi la porta oppure l'accesso alla VLAN non autenticata o alla VLAN ospite. Sessione singola/host multipli: conforme allo standard 802.1x. In questa modalit, lo switch, in quanto autenticatore, consente a qualsiasi dispositivo di utilizzare una porta per tutto il tempo concesso a un richiedente sulla porta.
Multisessione 802.1X: ogni dispositivo (richiedente) connesso a una porta deve essere autenticato e autorizzato dallo switch (autenticatore) separatamente in una sessione 802.1x diversa. Si tratta dell'unica modalit che supporta Assegnazione VLAN dinamica (DVA).
Assegnazione VLAN dinamica (DVA) In questa guida l'Assegnazione VLAN dinamica (DVA) anche denominata Assegnazione VLAN RADIUS. Quando una porta in modalit Sessione multipla ed attivata per DVA, lo switch aggiunge automaticamente la porta come membro non assegnato della VLAN assegnata dal server RADIUS durante il processo di autenticazione. Lo switch classifica i pacchetti senza tag per la VLAN assegnata se i pacchetti hanno origine dai dispositivi o dalle porte autenticati e autorizzati. Affinch un dispositivo venga autenticato e autorizzato in una porta con DVA attivato: Il server RADIUS deve autenticare il dispositivo e assegnare in modo dinamico una VLAN al dispositivo. La VLAN assegnata non deve essere quella predefinita e deve essere stata creata nello switch.
221

802.1X
16
Lo switch non deve essere configurato per utilizzare DVA e il gruppo VLAN basato su MAC insieme. Un server RADIUS deve supportare DVA con il tipo di tunnel degli attributi RADIUS (64) = VLAN (13), tipo di supporto tunnel (65) = 802 (6) e id gruppo privato tunnel = un ID VLAN.
Metodi di autenticazione I metodi di autenticazione possono essere: 802.1x: lo switch supporta il meccanismo di autenticazione come descritto nello standard per autenticare e autorizzare i richiedenti 802.1x. Basato su MAC: lo switch pu essere configurato per utilizzare questa modalit per autenticare e autorizzare i dispositivi che non supportano 802.1x. Lo switch imita il ruolo del richiedente a nome dei dispositivi che non supportano 802.1x e utilizza l'indirizzo MAC dei dispositivi come il nome utente e la password durante la comunicazione con i server RADIUS. Gli indirizzi MAC del nome utente e password devono essere inseriti in minuscolo e senza caratteri di delimitazione (per esempio: aaccbb55ccff). Per utilizzare l'autenticazione basata su MAC su una porta: necessario definire una VLAN ospite La porta deve essere una VLAN ospite attivata. I pacchetti del primo richiedente alla porta prima che sia autorizzato devono essere pacchetti senza tag.
possibile configurare una porta per utilizzare l'autenticazione 802.1x, basata su MAC o 802.1x e basata su MAC. Se una porta viene configurata per utilizzare l'autenticazione 802.1x e basata su MAC, il richiedente di 802.1x ha la precedenza sul dispositivo non 802.1x. Il richiedente di 802.1x annulla la prenotazione di un dispositivo autorizzato ma non 802.1x su una porta configurata con una sessione singola. VLAN non autenticate e VLAN ospite Le VLAN non autenticate e la VLAN ospite forniscono accesso ai servizi che non richiedono che i dispositivi o le porte di sottoscrizione, siano 802.1x o autenticate e autorizzate basate su MAC. Una VLAN non autenticata una VLAN che consente l'accesso dai dispositivi o dalle porte autorizzati e non autorizzati. possibile configurare una o pi VLAN affinch vengano autenticate nella sezione Creazione di VLAN del capitolo Configurazione della protezione. Una VLAN non autenticata presenta le seguenti caratteristiche:
222

802.1X
16
Deve essere una VLAN statica e non pu essere la VLAN ospite o la VLAN predefinita. Le porte membro devono essere configurate manualmente come membri assegnati. Le porte membro devono essere porte della connessione e/o porte generali. Una porta di accesso non pu essere membro di una VLAN non autenticata.
La VLAN ospite, se configurata, una VLAN statica con le seguenti caratteristiche. Deve essere definita manualmente da una VLAN statica esistente. automaticamente a disposizione solo dei dispositivi non autorizzati o delle porte o dispositivi connessi e con la VLAN ospite attivata. Se una porta ha la VLAN ospite attivata, lo switch aggiunge automaticamente la porta come membro non assegnato della VLAN ospite quando la porta non autorizzata e rimuove la porta dalla VLAN ospite quando il primo richiedente della porta viene autorizzato. La VLAN ospite non pu essere utilizzata come VLAN vocale e VLAN non autenticata.
Lo switch utilizza inoltre la VLAN vocale per il processo di autenticazione nelle porte configurate con la modalit Sessione multipla e l'autenticazione basata su MAC. Perci, necessario configurare una VLAN vocale prima di poter utilizzare la modalit di autenticazione MAC.
Flusso di lavoro dei parametri 802.1X

Flusso di lavoro dei parametri 802.1X Definire i parametri 802.1X nel modo seguente: 1. Impostare un periodo di tempo utilizzando la Time Range Page utilizzata nella Edit Port Authentication Page. Si tratta di un'operazione facoltativa. 2. Definire una o pi VLAN statiche come VLAN non autenticate come descritto nella sezione Definizione delle propriet 802.1X. I dispositivi o le porte autorizzati e non autorizzati 802.1x possono sempre inviare o ricevere pacchetti a o da VLAN non autenticate. Si tratta di un'operazione facoltativa.
223

802.1X
16
3. Definire le impostazioni 802.1X di ogni porta utilizzando la Edit Port Authentication Page. Tenere presente quanto segue: a. In questa pagina, possibile attivare DVA in una porta selezionando il campo Assegnazione VLAN RADIUS. b. possibile selezionare il campo VLAN ospite per fare in modo che i frame in ingresso senza tag raggiungano la VLAN ospite. 4. Definire i parametri di autenticazione dell'host di ogni porta utilizzando la Port Authentication Page. 5. Visualizzare la cronologia di autenticazione 802.1X utilizzando la Authenticated Hosts Page.
Definizione delle propriet 802.1X

La 802.1X Properties Page viene utilizzata per attivare 802.1X a livello globale. Affinch 802.1X funzioni, deve essere attivato sia a livello globale che singolarmente in ogni porta. Per definire l'autenticazione basata sulla porta, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > 802.1X > Propriet. Viene visualizzata la 802.1X
Properties Page.
Autenticazione basata sulla porta: attivare o disattivare l'autenticazione 802.1X basata sulla porta. Metodo di autenticazione: selezionare i metodi di autenticazione degli utenti. Le opzioni sono: RADIUS, Nessuno: eseguire l'autenticazione della porta utilizzando per primo il server RADIUS. Se non viene ricevuta nessuna risposta da RADIUS (per esempio, se il server inattivo), non viene eseguita nessuna autenticazione e la sessione viene consentita. RADIUS: autenticare l'utente nel server RADIUS. Se non viene eseguita nessuna autenticazione, la sessione non consentita Nessuno: non autenticare l'utente. Consentire la sessione.
224

802.1X
16
VLAN ospite: selezionare per attivare l'utilizzo di una VLAN ospite per le porte non autorizzate. Se viene attivata una VLAN ospite, tutte le porte non autorizzate si connettono automaticamente alla VLAN selezionata nel campo ID VLAN ospite. Se una porta viene autorizzata in seguito, viene rimossa dalla VLAN ospite. ID VLAN ospite: selezionare la VLAN ospite dall'elenco di VLAN. Timeout VLAN ospite: definire un periodo di tempo: Dopo il collegamento, se il software non rileva il richiedente 802.1X o l'autenticazione non riuscita, la porta viene aggiunta alla VLAN ospite solo dopo che l'intervallo Timeout VLAN ospite scaduto. Se lo stato della porta cambia da Autorizzato a Non autorizzato, la porta viene aggiunta alla VLAN ospite solo dopo che il timeout della VLAN ospite scaduto.
Nella tabella Autenticazione VLAN vengono visualizzate tutte le VLAN e viene indicato se in esse stata attivata l'autenticazione.
PASSAGGIO 3 Fare clic su Applica. Le propriet 802.1X vengono modificate e lo switch viene
aggiornato.
Configurazione delle VLAN non autenticate

Configurazione delle VLAN non autenticate
Quando una porta attivata per 802.1x , le porte o i dispositivi non autorizzati non possono accedere a una VLAN a meno che la VLAN non sia una VLAN ospite o non autenticata. possibile rendere una VLAN statica una VLAN autenticata utilizzando la procedura della sezione Definizione delle propriet 802.1X che consente ai dispositivi o alle porte 802.1x autorizzati e non autorizzati di inviare o ricevere pacchetti a o da VLAN non autenticate. necessario aggiungere manualmente l'appartenenza della porta alla VLAN utilizzando la pagina Assegnare porta a VLAN.
PASSAGGIO 1 Fare clic su Sicurezza > 802.1X > Propriet. Viene visualizzata la 802.1X
Properties Page.
PASSAGGIO 2 Selezionare una VLAN e fare clic su Modifica. Viene visualizzata la Edit VLAN
Authentication Page.
225

802.1X
16
PASSAGGIO 3 Selezionare una VLAN. PASSAGGIO 4 Se si desidera, deselezionare Autenticazione per rendere la VLAN una VLAN non
autenticata.
PASSAGGIO 5 Facendo clic su Applica lo switch viene aggiornato.
Definizione dell'autenticazione delle porte 802.1X

Nella Port Authentication Page viene attivata la configurazione di molti parametri 802.1X per ogni porta. Dato che alcune delle modifiche alla configurazione sono possibili solo mentre la porta nello stato Force Authorized, come per il metodo di autenticazione, si consiglia di modificare il controllo della porta in Force Authorized prima di apportare le modifiche. Completata la configurazione, ripristinare il controllo della porta nello stato precedente.
NOTA Una porta con 802.1x definito in essa non pu diventare un membro di un LAG.
Per definire l'autenticazione 802.1X, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Sicurezza > 802.1X > Autenticazione porta. Viene visualizzata la Port
Authentication Page. In questa pagina vengono visualizzate le impostazioni di autenticazione di tutte le porte.
Modifica delle impostazioni di autenticazione delle porte 802.1X Modifica delle impostazioni di autenticazione delle porte 802.1X
PASSAGGIO 1 Fare clic su Sicurezza > 802.1X > Autenticazione porta. Viene visualizzata la Port
PASSAGGIO 2 Selezionare una porta e fare clic su Modifica. Viene visualizzata la Edit Port
Porta: selezionare una porta. Nome utente: viene visualizzato il nome utente della porta.
226

802.1X
16
Controllo della porta corrente: viene visualizzato lo stato di autorizzazione della porta corrente. Se lo stato Autorizzato, la porta autenticata o il Controllo porta amministrativa Force Authorized. Viceversa, se lo stato Non autorizzato, la porta non autenticata o il Controllo porta amministrativa Force Unauthorized. Controllo porta amministrativa: selezionare lo stato di autorizzazione della porta amministrativa. Le opzioni sono: Force Unauthorized: nega l'accesso all'interfaccia modificando l'interfaccia nello stato non autorizzato. Lo switch non fornisce i servizi di autenticazione al client attraverso l'interfaccia. Automatico: attiva l'autenticazione basata sulla porta e l'autorizzazione sullo switch. L'interfaccia passa da uno stato autorizzato a uno non autorizzato (e viceversa) in base allo scambio di autenticazione tra lo switch e il client. Force Authorized: autorizza l'interfaccia senza autenticazione.
Assegnazione VLAN RADIUS: selezionare per attivare Assegnazione VLAN dinamica nella porta selezionata. L'assegnazione VLAN dinamica possibile solo se la modalit 802.1X impostata su sessione multipla (dopo l'autenticazione, la porta si connette alla VLAN richiedente come porta senza tag in quella VLAN).
SUGGERIMENTO Affinch la funzione Assegnazione VLAN dinamica funzioni, lo switch richiede che il server RADIUS invii i seguenti attributi della VLAN (come definito in RFC 3580): [64] Tipo di tunnel = VLAN (tipo 13) [65] Tipo di supporto tunnel = 802 (tipo 6) [81] Id gruppo privato di tunnel = ID VLAN VLAN ospite: selezionare per indicare che l'utilizzo di una VLAN ospite definita in precedenza viene attivato per lo switch. Le opzioni sono: Selezionato: consente l'utilizzo di una VLAN ospite per le porte non autorizzate. Se viene attivata una VLAN ospite, la porta non autorizzata si connette automaticamente alla VLAN selezionata nel campo ID VLAN ospite nella pagina Autenticazione porta 802.1X. Dopo un errore di autenticazione e se la VLAN ospite viene attivata a livello globale nella porta specificata, la VLAN ospite viene automaticamente assegnata alle porte non autorizzate in qualit di VLAN senza tag.
227

802.1X
16
Cancellato: disattiva la VLAN ospite nella porta.
Metodo di autenticazione: selezionare il metodo di autenticazione per la porta. Le opzioni sono: Solo 802.1X: l'autenticazione 802.1X l'unico metodo di autenticazione eseguito nella porta. Solo MAC : la porta viene autenticata in base all'indirizzo MAC del richiedente. Nella porta possibile utilizzare le autenticazioni basate solo su MAC 8. 802.1X e MAC : le autenticazioni 802.1X e basate su MAC vengono eseguite sullo switch. L'autenticazione 802.1x ha la precedenza.
NOTA Affinch l'autenticazione MAC riesca, il nome utente e la password del
richiedente del server Radius devono essere l'indirizzo MAC del richiedente. L'indirizzo MAC deve essere in lettere minuscole e deve essere inserito senza ":" o separatori "-"; per esempio: 0020aa00bbcc. Riautenticazione periodica: selezionare per attivare i tentativi di riautenticazione della porta dopo il Periodo di riautenticazione specificato. Riautenticazione periodica: immettere dopo quanti secondi la porta viene riautenticata. Riautentica ora: selezionare per attivare la riautenticazione immediata della porta. Stato dell'autenticatore: viene visualizzato lo stato di autorizzazione della porta definita. Le opzioni sono: Force-Authorized: lo stato della porta controllata impostato su ForceUnauthorized (il traffico viene inoltrato). Force-Unauthorized: lo stato della porta controllata impostato su Force-Unauthorized (il traffico viene respinto).
NOTA Se la porta non Force-Authorized o Force-Unauthorized, in
modalit Automatica e l'autenticatore visualizza lo stato di autenticazione in corso. Autenticata la porta, lo stato viene mostrato come Autenticato. Intervallo di tempo: attivare un limite di tempo per il quale la porta specifica autorizzata all'utilizzo se stato attivato 802.1x (Autenticazione basata sulla porta selezionata). Nome intervallo di tempo: selezionare il profilo che specifica l'intervallo di tempo.
228

802.1X
16
Periodo di inattivit: immettere per quanti secondi lo switch rimane in uno stato di inattivit dopo uno scambio di autenticazione non riuscito. Reinvio di EAP: immettere per quanti secondi lo switch deve attendere una risposta a un frame di richiesta/identit EAP (Extensible Authentication Protocol) dal richiedente (client) prima di inviare nuovamente la richiesta. Richieste EAP max: immettere il numero massimo di richieste EAP che possibile inviare. Se non si riceve una risposta entro l'intervallo di tempo definito (timeout richiedente), il processo di autenticazione verr riavviato. Timeout richiedente: immettere quanti secondi devono trascorrere prima che le richieste EAP vengano nuovamente inviate al richiedente. Timeout server : immettere quanti secondi devono trascorrere prima che lo switch invii nuovamente la richiesta al server di autenticazione. Causa risoluzione: visualizza il motivo per cui l'autenticazione della porta stata terminata, se applicabile.
PASSAGGIO 4 Fare clic su Applica. Le impostazioni della porta vengono definite e lo switch viene
aggiornato.
Definizione autenticazione host e sessione

La Host and Session Authentication Page consente di definire la modalit in cui 802.1X funziona nella porta e l'azione da eseguire se viene rilevata una violazione. Le modalit 802.1X sono: Singolo: solo un singolo host autorizzato pu accedere alla porta (impossibile attivare Sicurezza porta su una porta in modalit host singolo). Host multiplo (802.1X) : possibile associare host multipli a una singola porta abilitata per 802.1X. necessario che solo il primo host abbia l'autorizzazione e che la porta sia aperta per chi desidera accedere alla rete. Se l'autenticazione host non riesce o viene ricevuto un messaggio di disconnessione da EAPOL, a tutti i client associati viene negato l'accesso alla rete. Sessioni multiple: consente a un numero specifico di host autorizzati di accedere alla porta. Ogni host viene trattato come se fosse il primo e solo utente e deve essere autenticato. Filtro basato sull'indirizzo MAC di origine.
229

802.1X
16
Per definire le impostazioni avanzate 802.1X delle porte, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > 802.1X > Autenticazione host e sessione. Viene
visualizzata la Host and Session Authentication Page . I parametri di autenticazione 802.1X vengono descritti per tutte le porte. Nella pagina Modifica autenticazione host e sessione vengono descritti tutti i campi tranne i seguenti: Stato: viene visualizzato lo stato dell'host. Un asterisco indica che la porta non collegata o inattiva. Le opzioni sono: Non autorizzato: il controllo della porta Force Unauthorized e il collegamento della porta inattivo oppure il controllo della porta Automatico ma un client non stato autenticato tramite la porta. Force Authorized: il client ha accesso completo alla porta. Blocco in modalit host singolo: il controllo della porta Automatico e solo un singolo client stato autenticato utilizzando la porta. Host multipli: il controllo della porta Automatico e la modalit Host multipli attivata. stato autenticato almeno un client. Sessioni multiple: il controllo della porta Automatico e la modalit Sessioni multiple attivata. stata autenticata almeno una sessione. Non in modalit Automatica: il controllo della porta non attivato.
Numero di violazioni: visualizza il numero di pacchetti che arrivano nell'interfaccia in modalit host singolo da un host il cui indirizzo MAC diverso da quello del richiedente.
PASSAGGIO 2 Selezionare una porta e fare clic su Modifica. Viene visualizzata la Edit Host and
Session Authentication Page.

Porta: immettere un numero di porta per cui attivare l'autenticazione host. Autenticazione host: selezionare una delle modalit descritte sopra in Definizione autenticazione host e sessione. Intervento per violazione: selezionare l'azione da applicare ai pacchetti che arrivano in modalit Sessione singola/Host singolo da un host il cui indirizzo MAC diverso da quello del richiedente. Le opzioni sono: Elimina: i pacchetti vengono eliminati.
230

802.1X
16
Inoltra: i pacchetti vengono inoltrati. Arresta: i pacchetti vengono eliminati e la porta viene arrestata. Le porte rimangono in questo stato finch non vengono riattivate o finch lo switch non viene riavviato.
Trap: selezionare per attivare le trap. Frequenza trap: specifica la frequenza di invio delle trap all'host. Questo campo disponibile solo se sono stati attivati pi host.
PASSAGGIO 4 Fare clic su Applica. Le impostazioni vengono definite e lo switch viene
aggiornato.
Visualizzazione di host autenticati

Nella Authenticated Hosts Page vengono visualizzati i dettagli sugli utenti che sono stati autenticati. Questi dettagli includono dettagli come il nome utente utilizzato per autenticare l'utente, l'indirizzo MAC della stazione e la durata della connessione dell'utente. Per visualizzare i dettagli sugli utenti autenticati, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > 802.1X > Host autenticati. Viene visualizzata la
Authenticated Hosts Page. In questa pagina vengono visualizzati i seguenti campi: Nome utente: i nomi dei richiedenti che sono stati autenticati su ogni porta. Porta: numero della porta. Ora della sessione: per quanto tempo (in secondi) il richiedente stato connesso alla porta. Metodo di autenticazione: metodo di autenticazione dell'ultima sessione. Le opzioni sono: Nessuno: non stata applicata nessuna autenticazione; stata autorizzata automaticamente. RADIUS: il richiedente stato autenticato da un server RADIUS.
Indirizzo MAC : visualizza l'indirizzo MAC del richiedente.
231

802.1X
16
Definizione degli intervalli di tempo

Nella Time Range Page viene consentita la definizione del periodo di tempo in cui 802.1X attivo nelle porte attivate per 802.1x. Un intervallo di tempo deve essere configurato con un'ora di inizio e di fine assoluta. Se un intervallo di tempo ha un intervallo di tempo assoluto ma non un intervallo ricorrente e viene configurato su una porta attivata per 802.1x, la porta attiva per 802.1x dall'ora di inizio a quella di fine assolute. Se un intervallo di tempo include intervalli assoluti e ricorrenti, la porta viene attivata solo se sono stati raggiunti sia l'ora di inizio assoluta sia l'intervallo di tempo ricorrente. La porta viene disattivata se entrambi gli intervalli di tempo sono stati raggiunti. L'intervallo di tempo ricorrente viene aggiunto all'intervallo di tempo assoluto utilizzando la Recurring Range Page. Se un intervallo di tempo ha uno o pi intervalli ricorrenti ed configurato su una porta attivata per 802.1x, la porta attiva per 802.1x nei periodi di tempo definiti negli intervalli ricorrenti, che si trovano inoltre entro l'ora di inizio assoluta e l'ora di fine assoluta dell'intervallo di tempo. Quando una porta attivata per 802.1x fuori dall'intervallo di tempo e/o dall'intervallo di tempo ricorrente assegnati, inattiva per 802.1x ed equivalente allo stato di Force Unauthorized. Lo switch supporta un massimo di 20 intervalli di tempo assoluti. Tutte le specifiche di tempo vengono interpretate come ora locale (l'ora legale non influisce). Per garantire che le voci dell'intervallo di tempo diventino effettive nelle ore desiderate, l'ora del software deve essere impostata dall'utente o da SNTP. Se l'ora del software non impostata in questo modo, l'intervallo di tempo non viene applicato. possibile definire un totale di 20 intervalli di tempo. Un possibile utilizzo di questa funzione si ha se si desidera limitare l'accesso dei computer alla rete solo durante l'orario di ufficio, dopo il quale vengono bloccati, cos come l'accesso al resto della rete. Per aggiungere un intervallo di tempo assoluto, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > 802.1X > Intervallo di tempo. Viene visualizzata la Time
Range Page.
PASSAGGIO 2 Fare clic su Aggiungi. Viene visualizzata la Add Absolute Time Range Page.
232

802.1X
16
Nome intervallo di tempo: immettere un nome intervallo di tempo. Ora di inizio assoluta: definire l'ora di inizio assoluta. Immediato: fare clic per indicare che l'intervallo di tempo inizia nel momento in cui viene creato. Data e ora: selezionare la data e l'ora di inizio assolute. Ora di fine assoluta: definire l'ora di fine assoluta. Infinito: fare clic per indicare che l'intervallo di tempo non termina mai. Data e ora: selezionare la data e l'ora di inizio assolute.
PASSAGGIO 4 Fare clic su Applica. L'intervallo di tempo stato creato.
Definizione di un intervallo ricorrente

Nella Recurring Range Page viene consentita la creazione di un intervallo ricorrente che poi possibile aggiungere a un intervallo di tempo definito in precedenza (creato nella Time Range Page). Tutte le specifiche di tempo vengono interpretate come ora locale (l'ora legale non influisce). Per aggiungere un intervallo di tempo ricorrente, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > 802.1X > Intervallo ricorrente. Viene visualizzata la
Recurring Range Page. In questa pagina vengono visualizzati gli intervalli di tempo ricorrenti che sono stati definiti.
PASSAGGIO 2 Facendo clic su Aggiungi verr visualizzata la Add Recurring Range Page. PASSAGGIO 3 Immettere i parametri.
Nome intervallo di tempo: selezionare l'intervallo di tempo in cui verr aggiunto l'intervallo ricorrente. Ora di inizio ricorrente: immettere il giorno della settimana e l'ora in cui inizia l'intervallo ricorrente.
233

16
Ora di fine ricorrente: immettere il giorno della settimana e l'ora in cui termina l'intervallo ricorrente.
PASSAGGIO 4 Fare clic su Applica. L'intervallo ricorrente viene aggiunto all'intervallo di tempo.

Blocco degli attacchi DoS aumenta la sicurezza della rete evitando l'immissione di
pacchetti con determinati parametri di indirizzi IP nella rete. DoS elimina i pacchetti con intestazioni o contenuti noti per essere segnali con intento dannoso. Blocco degli attacchi DoS consente ai responsabili di rete di: Rifiutare i pacchetti contenenti indirizzi IP riservati (Martian Addresses Page) Evitare connessioni TCP da un'interfaccia specifica (SYN Filtering Page) e limitare la velocit dei pacchetti (SYN Rate Protection Page) Configurare il blocco di determinati pacchetti ICMP (ICMP Filtering Page) Eliminare i pacchetti IP frammentati da un'interfaccia specifica (IP Fragments Filtering Page) Respinge gli attacchi da parte di Distribuzione Stacheldraht, Trojan Invasor e Trojan Back Orifice.
Impostazioni suite di sicurezza DoS

La funzione Blocco degli attacchi DoS un insieme di regole predefinite che proteggono la rete da eventuali attacchi. Le Security Suite Settings DoS consentono l'attivazione della suite di sicurezza. La pagine relative a DoS consentono il filtraggio del traffico. In questo modo la rete protetta da attacchi DoS e DDoS (Distributed Denial of Service).
NOTA Prima di attivare Blocco degli attacchi DoS, necessario annullare l'associazione
di tutti gli Elenchi di controllo di accesso (ACL) o dei criteri QoS avanzati associati a una porta. L'ACL e i criteri QoS avanzati non sono attivi quando una porta ha Protezione dagli attacchi DoS.
234

16
Per immettere le impostazioni generali di Blocco degli attacchi DoS, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Blocco degli attacchi DoS > Impostazioni suite di
sicurezza. Viene visualizzata la Security Suite Settings.

PASSAGGIO 2 Selezionare Blocco degli attacchi DoS per attivare la funzione Blocco degli
attacchi DoS. Disattiva: disattivare la funzione. Prevenzione a livello di sistema: blocca gli attacchi da parte di Distribuzione Stacheldraht, Trojan Invasor e Trojan Back Orifice. Prevenzione a livello di interfaccia: blocca gli attacchi di Martian Address, SYN, ICMP e Frammenti IP.
PASSAGGIO 3 Se viene selezionata l'opzione Prevenzione a livello di sistema o Prevenzione a
livello di sistema e a livello di interfaccia, attivare una o pi delle seguenti opzioni di Blocco degli attacchi DoS: Distribuzione Stacheldraht: elimina i pacchetti TCP con porta TCP di origine uguale a 16660. Trojan Invasor : elimina i pacchetti TCP con porta TCP di destinazione uguale a 2140 e porta TCP di origine uguale a 1024. Trojan Back Orifice: elimina i pacchetti UDP con porta UDP di destinazione uguale a 31337 e porta UDP di origine uguale a 1024.
PASSAGGIO 4 Fare clic su Applica. Le impostazioni della suite di sicurezza di Blocco degli
attacchi DoS vengono definite e lo switch viene aggiornato.

PASSAGGIO 5 Se la Prevenzione a livello di interfaccia selezionata, fare clic sul pulsante
Modifica appropriato per configurare la prevenzione desiderata.
Definizione di Martian Address

Nella Martian Addresses Page viene consentito l'inserimento degli indirizzi che indicano un attacco se visualizzati nella rete. Lo switch supporta un insieme di Martian Address riservati non validi dal punto di vista del protocollo IP. I Martian Address riservati supportati sono: Indirizzi definiti non validi nella Martian Addresses Page.
235

16
0.0.0.0/8 (tranne 0.0.0.0/32 in quanto un indirizzo di origine) : gli indirizzi in questo blocco fanno riferimento agli host di origine di questa rete. 127.0.0.0/8: utilizzato come indirizzo loopback host Internet. 192.0.2.0/24: utilizzato come TEST-NET nella documentazione e nei codici di esempio. 224.0.0.0/4 (come un indirizzo IP di origine) : utilizzato nelle assegnazioni dell'indirizzo multicast IPv4 e conosciuto in precedenza come spazio degli indirizzi di classe D. 224.0.0.0/4 (tranne 255.255.255.255/32 come un indirizzo di destinazione) : intervallo di indirizzi riservato e conosciuto in precedenza come spazio degli indirizzi di classe D.
Alcuni degli indirizzi non sono validi dal punto di vista del protocollo, ad esempio gli indirizzi loopback. Sono inclusi i seguenti intervalli: -
inoltre possibile aggiungere nuovi Martian Address per Blocco degli attacchi DoS. I pacchetti con un Martian Address vengono eliminati. Per definire i Martian Address, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Blocco degli attacchi DoS > Martian Address. Viene
visualizzata la Martian Addresses Page.

PASSAGGIO 2 Selezionare Martian Address riservati e fare clic su Applica per includere i Martian
Address riservati nell'elenco Prevenzione a livello di sistema. L'elenco di Martian Address riservati viene visualizzato nella tabella Martian Address.
PASSAGGIO 3 Per aggiungere un Martian Address fare clic su Aggiungi. Viene visualizzata la Add
Martian Addresses Page.

Versione IP: indica la versione IP supportata. Al momento, il supporto offerto solo per IPv4. Indirizzo IP: immettere gli indirizzi IP Martian per cui attivato il Blocco degli attacchi DoS. I valori sono: Da elenco riservato: selezionare un indirizzo IP noto dall'elenco riservato. Nuovo indirizzo IP: immettere un indirizzo IP.
236

16
Maschera di rete: la maschera di rete nel formato decimale separato da punti. Lunghezza prefisso: immettere il prefisso dell'indirizzo IP per definire l'intervallo degli indirizzi IP per cui attivato il Blocco degli attacchi DoS.
Maschera: immettere la maschera dell'indirizzo IP per definire l'intervallo degli indirizzi IP per cui attivato il Blocco degli attacchi DoS. I valori sono: -
PASSAGGIO 5 Fare clic su Applica. I Martian Address vengono definiti e lo switch viene
aggiornato.
Definire filtro SYN

Nella pagina Filtri SYN vengono attivati i pacchetti TCP dei filtri contenenti un flag SYN e destinati a un indirizzo e/o una porta IP specifici. Per definire il filtro SYN, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Blocco degli attacchi DoS > Filtro SYN. Viene
visualizzata la SYN Filtering Page. In questa pagina vengono visualizzati i filtri SYN esistenti:
PASSAGGIO 2 Fare clic su Aggiungi. Viene visualizzata la Add SYN Filtering Page. PASSAGGIO 3 Immettere i parametri.
Interfaccia: selezionare l'interfaccia su cui definito il filtro. Indirizzo IPv4: immettere l'indirizzo IP per cui definito il filtro oppure selezionare Tutti gli indirizzi. Maschera di rete: immettere la maschera di rete per cui attivato il filtro nel formato dell'indirizzo IP. Porta TCP: selezionare la porta TCP di destinazione che verr filtrata. Porte note: selezionare una porta dall'elenco. Definita dall'utente: immettere un numero della porta. Tutte le porte: selezionare per indicare che tutte le porte sono filtrate.
PASSAGGIO 4 Fare clic su Applica. Il filtro SYN viene definito e lo switch viene aggiornato.
237

16
Definire Protezione velocit SYN

Nella pagina Protezione velocit SYNviene consentita la limitazione della velocit del numero dei pacchetti SYN in ingresso. In questo modo si prevengono gli attacchi DoS, come un flood SYN sui server, limitando la velocit del numero di nuove connessioni. Per definire la protezione velocit SYN, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Blocco degli attacchi DoS > Protezione velocit SYN.
Viene visualizzata la SYN Rate Protection Page. In questa pagina viene visualizzata la protezione velocit SYN attualmente definita per interfaccia.
PASSAGGIO 2 Fare clic su Aggiungi. Viene visualizzata la Add SYN Rate Protection Page. PASSAGGIO 3 Immettere i parametri.
Interfaccia: selezionare l'interfaccia su cui definita la protezione velocit. Indirizzo IP: immettere l'indirizzo IP per cui definita la protezione velocit SYN oppure selezionare Tutti gli indirizzi. Se si immette l'indirizzo IP, immettere la maschera o la lunghezza del prefisso. Maschera di rete: selezionare il formato per la maschera di rete dell'indirizzo IP di origine e immettere un valore in uno dei campi. Maschera: selezionare la sottorete a cui appartiene l'indirizzo IP di origine e immettere la maschera di sottorete nel formato decimale separato da punti. Lunghezza prefisso: selezionare la Lunghezza prefisso e immettere il numero di bit che formano il prefisso dell'indirizzo IP di origine.
Limite di velocit SYN: immettere il numero di pacchetti SYN consentiti.
PASSAGGIO 4 Fare clic su Applica. La protezione velocit SYN viene definita e lo switch viene
aggiornato.
238

16
Definire filtro ICMP

Nella ICMP Filtering Page viene consentito il blocco dei pacchetti ICMP provenienti da determinate fonti. In questo modo possibile ridurre il carico sulla rete in caso di un attacco DoS del flood ICMP. Per definire il filtro ICMP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Blocco degli attacchi DoS > Filtro ICMP. Viene
visualizzata la ICMP Filtering Page. In questa pagina vengono visualizzate le regole in base alle quali i pacchetti ICMP vengono bloccati in ogni interfaccia.
PASSAGGIO 2 Fare clic su Aggiungi. Viene visualizzata la Add ICMP Filtering Page. PASSAGGIO 3 Immettere i parametri.
Interfaccia: selezionare l'interfaccia su cui sono definiti i filtri ICMP. Indirizzo IP: immettere l'indirizzo IPv4 per cui sono attivati i filtri del pacchetto ICMP oppure selezionare Tutti per bloccare i pacchetti ICMP provenienti da tutti gli indirizzi di origine. Se si immette l'indirizzo IP, immettere la maschera o la lunghezza del prefisso. Maschera di rete: selezionare il formato per la maschera di rete dell'indirizzo IP di origine e immettere un valore in uno dei campi. Maschera: selezionare la sottorete a cui appartiene l'indirizzo IP di origine e immettere la maschera di sottorete nel formato decimale separato da punti. Lunghezza prefisso: selezionare la Lunghezza prefisso e immettere il numero di bit che formano il prefisso dell'indirizzo IP di origine.
PASSAGGIO 4 Fare clic su Applica. I filtri ICMP vengono definiti e lo switch viene aggiornato.
239

16
Definire il blocco dell'IP frammentato

Nella pagina IP frammentato viene consentito il blocco dei pacchetti IP frammentati. Per definire il blocco dell'IP frammentato, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Sicurezza > Blocco degli attacchi DoS > Filtro frammenti IP. Viene
visualizzata la IP Fragments Filtering Page. In questa pagina viene visualizzato il blocco dell'IP frammentato per interfaccia.
PASSAGGIO 2 Fare clic su Aggiungi. Viene visualizzata la Add IP Fragments Filtering Page. PASSAGGIO 3 Immettere i parametri.
Interfaccia: selezionare l'interfaccia su cui definita la frammentazione IP. Indirizzo IP: immettere una rete IP da cui vengono filtrati i pacchetti IP frammentati oppure selezionare Tutto per bloccare i pacchetti frammentati IP provenienti da tutti gli indirizzi. Se si immette l'indirizzo IP, immettere la maschera o la lunghezza del prefisso. Maschera di rete: selezionare il formato per la maschera di rete dell'indirizzo IP di origine e immettere un valore in uno dei campi. Maschera: selezionare la sottorete a cui appartiene l'indirizzo IP di origine e immettere la maschera di sottorete nel formato decimale separato da punti. Lunghezza prefisso: selezionare la Lunghezza prefisso e immettere il numero di bit che formano il prefisso dell'indirizzo IP di origine.
PASSAGGIO 4 Fare clic su Applica. La frammentazione IP viene definita e lo switch viene
aggiornato.
240
17
Controllo di accesso
La funzione ACL (Access Control List) fa parte del meccanismo di protezione. Le definizioni ACL fungono da meccanismo per definire i flussi di traffico che dovrebbero essere assegnati a una QoS (Quality of Service) specifica. Per ulteriori informazioni, vedere la sezione Configurazione del QoS del capitolo Configurazione della Qualit del servizio. Gli ACL consentono ai responsabili di rete di definire modelli (filtro e azioni) per il traffico in ingresso. Ai pacchetti in ingresso su uno switch tramite una porta o gruppo LAG con un ACL attivo pu essere negato o consentito l'accesso. In questo capitolo sono presenti i seguenti argomenti: Elenco di controllo di accesso Definizione di ACL basati su MAC ACL basati su IPv4 ACL basati su IPv6 Definizione di un binding di ACL
Elenco di controllo di accesso

Un ACL (Access Control List) un elenco ordinato di filtri e azioni di classificazione. Ogni singola regola di classificazione, insieme alla sua azione, viene chiamata ACE (Access Control Element). Ogni ACE composto da filtri che determinano gruppi di traffico e azioni associate. Un singolo ACL pu contenere uno o pi ACE, che vengono confrontati con i contenuti dei frame in ingresso. Ai frame i cui contenuti corrispondono al filtro viene applicata un'azione NEGA o CONSENTI. Lo switch supporta un massimo di 512 ACL e un massimo di 512 ACE.
241
17
Quando si riscontra corrispondenza fra un pacchetto e un filtro ACE, viene eseguita l'azione ACE e il processo di elaborazione di ACL viene interrotto. Se non si riscontra corrispondenza fra il pacchetto e il filtro ACE, viene elaborato l'ACE successivo. Se tutti gli ACE di un ACL sono stati elaborati senza trovare una corrispondenza ed esiste un altro ACL, questo viene elaborato in modo simile. Se non viene trovata nessuna corrispondenza con nessun ACE in tutti gli ACL rilevanti, il pacchetto viene eliminato (come azione predefinita). A causa di questa azione di eliminazione predefinita, necessario aggiungere esplicitamente ACE all'ACL per consentire tutto il traffico, incluso il traffico di gestione come telnet, HTTP o SNMP, indirizzato allo switch stesso. Se lo snooping IGMP/MLD attivato su una porta associata a un ACL, aggiungere filtri ACE nell'ACL per reindirizzare i pacchetti IGMP/MLD allo switch. Altrimenti, lo snooping IGMP/MLD non verr eseguito correttamente sulla porta. L'ordine degli ACE nell'ACL importante, dato che vengono applicati in base a una modalit first-fit. Gli ACE vengono elaborati in sequenza, a partire dal primo ACE. Gli ACL possono essere utilizzati per motivi di sicurezza, per esempio consentendo o negando determinati flussi di traffico, oltre che per la classificazione e l'assegnazione delle priorit nella modalit QoS avanzata.
NOTA Una porta pu essere protetta con gli ACL oppure configurata con criteri QoS
avanzati, ma non entrambe le cose. consentito un solo ACL per porta, tuttavia possibile associare un ACL basato su IP e a un ACL basato su IPv6 entrambi a una singola porta. Per associare pi di un ACL a una porta necessario utilizzare un criterio con una o pi mappe delle classi (vedere Configurazione di una tabella Criteri in modalit QoS avanzata). possibile definire i seguenti tipi di ACL (in base a quale parte dell'intestazione del frame viene esaminata): ACL MAC: esamina solo i campi Livello 2, come descritto in Definizione di ACL basati su MAC ACL IP: esamina il livello L3 dei frame IP, come descritto in ACL basati su IPv4 ACL IPv6: esamina il livello L3 dei frame IPv4, come descritto in Definizione
di ACL basato su IPv6

Se un frame corrisponde al filtro di un ACL, viene definito come flusso con il nome di tale ACL. Nella modalit QoS avanzata, possibile fare riferimento a questi frame utilizzando questo Nome flusso e la QoS pu essere applicata a tali frame (vedere Modalit avanzata QoS).
242
17
Creazione del flusso di lavoro degliACL Per creare ACL e associarli a un'interfaccia, eseguire le seguenti operazioni: 1. Creare uno o pi dei seguenti tipi di ACL: a. ACL basato su MAC utilizzando la MAC Based ACL Page e la MAC Based ACE Page b. ACL basato su IP utilizzando la IPv4 Based ACL Page e la IPv4 Based ACE Page c. ACL basato su IPv6 utilizzando la IPv6 Based ACL Page e la IPv6 Based ACE Page 2. Associare l'ACL alle interfacce utilizzando la ACL Binding Page. Modifica del flusso di lavoro degli ACL possibile modificare un ACL solo se non in uso. Di seguito viene descritto il processo di annullamento dell'associazione di un ACL per consentirne la modifica: Se l'ACL non appartiene a una mappa delle classi in modalit QoS avanzata ma stato associato a un'interfaccia, annullare l'associazione dall'interfaccia utilizzando la ACL Binding Page. Se l'ACL fa parte della mappa delle classi e non associato a un'interfaccia, pu essere modificato. Se l'ACL fa parte di una mappa delle classi contenuta in un criterio associato a un'interfaccia, necessario eseguire la catena di annullamento dell'associazione come indicato di seguito: Annullare l'associazione del criterio contenente la mappa delle classi dall'interfaccia utilizzando Binding del criterio. Eliminare la mappa delle classi contenente l'ACL dal criterio utilizzando Configurazione di un Criterio.(Modifica). Eliminare la mappa delle classi contenente l'ACL utilizzando Definizione dell'Associazione classe.
Solo dopo possibile modificare l'ACL, come descritto nelle sezioni di questo capitolo.
243
Definizione di ACL basati su MAC
17

Gli ACL basati su MAC vengono utilizzati per filtrare il traffico in base ai campi Livello 2. Gli ACL basati su MAC verificano la disponibilit di una corrispondenza per tutti i frame. Gli ACL basati su MAC vengono definiti nella MAC Based ACL Page. Le regole vengono definite nella MAC Based ACE Page. Per definire un ACL basato su MAC, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Controllo di accesso > ACL basato su MAC. Si apre la MAC Based
ACL Page. Nella pagina viene visualizzato un elenco di tutti gli ACL basati su MAC attualmente definiti.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add MAC Based ACL Page. PASSAGGIO 3 Immettere il nome del nuovo ACL nel campo Nome ACL. I nomi degli ACL fanno
distinzione tra maiuscole e minuscole.

PASSAGGIO 4 Fare clic su Applica. L'ACL basato su MAC viene aggiunto e lo switch viene
aggiornato.
Aggiunta di regole a un ACL basato su MAC

Per aggiungere regole (ACE) a un ACL, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Controllo di accesso > ACE basato su MAC. Si apre la MAC Based
ACE Page.
PASSAGGIO 2 Selezionare un ACL e fare clic su Vai. Gli ACE nell'ACL vengono elencati. PASSAGGIO 3 Fare clic su Aggiungi. Si apre la Add MAC Based ACE Page. PASSAGGIO 4 Immettere i parametri.
Nome ACL: viene indicato il nome dell'ACL a cui stato aggiunto un ACE. Priorit: immettere la priorit dell'ACE. Gli ACE con priorit maggiore vengono elaborati per primi. Uno la priorit pi alta. Azione: selezionare l'azione eseguita al verificarsi di una corrispondenza. Le opzioni sono:
244
17
Consenti: inoltrare i pacchetti che soddisfano i criteri ACE. Nega: eliminare i pacchetti che soddisfano i criteri ACE. Arresta: eliminare i pacchetti che soddisfano i criteri ACE e disattivare la porta da cui sono stati ricevuti i pacchetti. Queste porte possono essere riattivate dalla pagina Impostazioni porte.
Indirizzo MAC di destinazione: selezionare Qualsiasi se tutti gli indirizzi di destinazione sono accettabili o Definiti dall'utente per immettere un indirizzo di destinazione o un intervallo di indirizzi di destinazione. Valore indirizzo MAC di destinazione: immettere l'indirizzo MAC a cui verr fatto corrispondere l'indirizzo MAC di destinazione e la relativa maschera (se presente). Maschera controllo accesso MAC di destinazione: immettere la maschera per definire un intervallo di indirizzi MAC. Si noti che questa maschera diversa da quella utilizzata per altri usi, ad esempio la maschera di sottorete. Qui l'impostazione di un bit come 1 indica "non importa" e 0 indica di mascherare quel valore. Ad esempio, il valore: "FFFFFF000000" indica che vengono utilizzati solo i primi tre byte dell'indirizzo MAC di destinazione. Indirizzo MAC di origine: selezionare Qualsiasi se tutti gli indirizzi di origine sono accettabili o Definiti dall'utente per immettere un indirizzo di origine o un intervallo di indirizzi di origine. Valore indirizzo MAC di origine: immettere l'indirizzo MAC a cui verr fatto corrispondere l'indirizzo MAC di origine e la relativa maschera (se presente). Maschera controllo accesso MAC di origine: immettere la maschera per definire un intervallo di indirizzi MAC. ID VLAN: immettere la sezione ID VLAN del tag VLAN per corrispondenza. 802.1p: selezionare Includi per utilizzare 802.1p. Valore 802.1p: immettere il valore 802.1p da aggiungere al tag VPT. Maschera 802.1p: immettere la maschera di controllo di accesso da applicare al tag VPT. Tipo connessione Ethernet: immettere il tipo connessione Ethernet del frame da soddisfare.
PASSAGGIO 5 Fare clic su Applica. L'opzione Aggiungi ACE basato su MAC viene definita e lo
245
ACL basati su IPv4
17
Gli ACL basati su IPv4 vengono utilizzati per verificare i pacchetti IPv4, mentre gli altri tipi di frame, ad esempio gli ARP, non vengono verificati. possibile soddisfare i seguenti campi: Protocollo IP (per nome per i protocolli noti oppure direttamente per valore) Porte di origine/di destinazione per il traffico TCP/UDP Valori flag per i frame TCP Tipo e codice ICMP e IGMP Indirizzi IP di origine/di destinazione (inclusi controlli di accesso) Valore precedenza DSCP/IP
ACL basati su IPv4
NOTA Gli ACL vengono utilizzati anche come elementi di creazione delle definizioni di
flussi per la gestione di QoS basata sul flusso (vedere Modalit avanzata QoS). Nella IPv4 Based ACL Page viene consentita l'aggiunta di ACL al sistema. Le regole vengono definite nella IPv4 Based ACE Page. Gli ACL IPv6 vengono definiti nella IPv6 Based ACL Page.
Definizione di ACL basati su IPv4

Per definire un ACL basato su IPv4, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Controllo di accesso > ACL basato su IPv4. Si apre la IPv4 Based
ACL Page. Nella pagina vengono visualizzati tutti gli ACL basati su IPv4 attualmente definiti.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add IPv4 Based ACL Page. PASSAGGIO 3 Immettere il nome del nuovo ACL nel campo Nome ACL. I nomi fanno distinzione
tra maiuscole e minuscole.

PASSAGGIO 4 Fare clic su Applica. L'ACL basato su IPv4 viene definito e lo switch viene
aggiornato.
246
ACL basati su IPv4
17
Aggiunta di regole (ACE) a un ACL basato su IPv4
Per aggiungere regole (ACE) a un ACL basato su IPv4, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Controllo di accesso > ACE basato su IPv4. Si apre la IPv4 Based
ACE Page.
PASSAGGIO 2 Selezionare un ACL e fare clic su Vai. Vengono visualizzati tutti gli ACE IP
attualmente definiti per l'ACL selezionato.

PASSAGGIO 3 Fare clic su Aggiungi. Si apre la Add IPv4 Based ACE Page. PASSAGGIO 4 Immettere i parametri.
Nome ACL: viene visualizzato il nome dell'ACL. Priorit: immettere la priorit. Gli ACE con priorit maggiore vengono elaborati per primi. Azione: selezionare l'azione assegnata al pacchetto che corrisponde all'ACE. Le opzioni disponibili sono: Consenti: inoltrare i pacchetti che soddisfano i criteri ACE. Nega: eliminare i pacchetti che soddisfano i criteri ACE. Arresta: eliminare i pacchetti che soddisfano i criteri ACE e disattivare la porta a cui il pacchetto era indirizzato. Le porte vengono riattivate dalla pagina Gestione delle porte.
Protocollo: selezionare per creare un ACE basato su un protocollo specifico o un ID protocollo. Selezionare Qualsiasi (IPv4) per accettare tutti i protocolli IP. Altrimenti, selezionare uno dei seguenti protocolli dall'elenco a discesa: ICMP: Internet Control Message Protocol IGMP: Internet Group Management Protocol IP in IP: incapsulamento di IP in IP TCP: Transmission Control Protocol EGP: Exterior Gateway Protocol IGP: Interior Gateway Protocol UDP: User Datagram Protocol HMP: Host Mapping Protocol
247
ACL basati su IPv4
17
RDP: Reliable Datagram Protocol. IDPR: Inter-Domain Policy Routing Protocol IPV6: IPv6 su tunnel IPv4 IPV6:ROUT: confronta i pacchetti appartenenti a IPv6 su route IPv4 tramite un gateway IPV6:FRAG: confronta i pacchetti appartenenti a IPv6 su intestazione di frammenti IPv4 IDRP: Inter-Domain Routing Protocol RSVP: ReSerVation Protocol AH: Intestazione di autenticazione IPV6:ICMP: Internet Control Message Protocol EIGRP: Enhanced Interior Gateway Routing Protocol OSPF: Open Shortest Path First IPIP: IP in IP PIM: Protocol Independent Multicast L2TP: Layer 2 Tunneling Protocol ISIS: protocollo specifico di IGP
ID protocollo per corrispondenza: invece di selezionare il nome, immettere l'ID protocollo. Indirizzo IP di origine: selezionare Qualsiasi se tutti gli indirizzi di origine sono accettabili o Definiti dall'utente per immettere un indirizzo di origine o un intervallo di indirizzi di origine. Valore indirizzo IP di origine: immettere l'indirizzo IP a cui verr fatto corrispondere l'indirizzo IP di origine. Maschera controllo accesso IP di origine: immettere la maschera per definire un intervallo di indirizzi IP. Indirizzo IP di destinazione: selezionare Qualsiasi se tutti gli indirizzi di destinazione sono accettabili o Definiti dall'utente per immettere un indirizzo di destinazione o un intervallo di indirizzi di destinazione. Valore indirizzo IP di destinazione: immettere l'indirizzo IP a cui verr fatto corrispondere l'indirizzo IP di destinazione.
248
ACL basati su IPv4
17
Maschera controllo accesso IP di destinazione: immettere la maschera per definire un intervallo di indirizzi IP. Porta di origine: selezionare una delle seguenti opzioni. Qualsiasi: far corrispondere a tutte le porte di origine. Singola: immettere una singola porta TCP/UDP di origine a cui vengono fatti corrispondere i pacchetti. Questo campo attivo solo se nella casella a discesa Seleziona da elenco stato selezionato 800/6-TCP o 800/17-UDP. Intervallo: selezionare un intervallo di porte TCP/UDP di origine a cui viene fatto corrispondere il pacchetto. Esistono otto diversi intervalli di porte che possibile configurare (tra porte di origine e di destinazione). Ogni protocollo TCP e UDP ha otto intervalli di porte.
Porta di destinazione: selezionare uno dei valori disponibili, che sono uguali a quelli del campo Porta di origine descritto sopra.
NOTA necessario specificare il protocollo IP per l'ACE prima di poter
immettere la porta di origine e/o di destinazione. Flag TCP: selezionare uno o pi flag TCP con cui filtrare i pacchetti. I pacchetti filtrati vengono inoltrati o eliminati. Il filtraggio di pacchetti basato su flag TCP consente di migliorare il controllo dei pacchetti e quindi la sicurezza della rete. Tipo di servizio: il tipo di servizio del pacchetto IP. Qualsiasi: qualsiasi tipo di servizio DSCP per corrispondenza: DSCP (Differentiated Serves Code Point) per corrispondenza Precedenza IP per corrispondenza
ICMP: se il protocollo IP dell'ACL ICMP, selezionare il tipo di messaggio ICMP utilizzato per operazioni di filtro. Selezionare il tipo di messaggio per nome oppure immettere il numero del tipo di messaggio: Qualsiasi: vengono accettati tutti i tipi di messaggio. Seleziona da elenco: selezionare il tipo di messaggio per nome. Tipo ICMP per corrispondenza: numero del tipo di messaggio da utilizzare per operazioni di filtro.
249
ACL basati su IPv6
17
Codice ICMP: i messaggi ICMP possono avere un campo codice che indica come gestire il messaggio. Selezionare una delle seguenti opzioni per decidere se applicare il filtro su questo codice. Qualsiasi: accettare tutti i codici. Definito dall'utente: immettere un codice ICMP per operazioni di filtro.
IGMP: se l'ACL basato su IGMP, selezionare il tipo di messaggio IGMP da utilizzare per operazioni di filtro. Selezionare il tipo di messaggio per nome oppure immettere il numero del tipo di messaggio: Qualsiasi: vengono accettati tutti i tipi di messaggio. Seleziona da elenco: selezionare il tipo di messaggio per nome. Tipo IGMP per corrispondenza: numero del tipo di messaggio che verr utilizzato per operazioni di filtro.
PASSAGGIO 5 Fare clic su Applica. L'ACE basato su IPv4 viene definito e lo switch viene
aggiornato.
ACL basati su IPv6

Nella IPv6 Based ACL Page viene visualizzata e attivata la creazione di ACL IPv6 che controllano il traffico puro basato su IPv6. Gli ACL IPv6 non controllano i pacchetti IPv6 su IPv4 o ARP.
NOTA Gli ACL vengono utilizzati anche come elementi di creazione delle definizioni di
flussi per la gestione di QoS basata sul flusso (vedere Modalit avanzata QoS).
Definizione di un ACL basato su IPv6

Per definire un ACL basato su IPv6, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Controllo di accesso > ACL basato su IPv6. Si apre la IPv6 Based
ACL Page. Nella finestra viene visualizzato l'elenco di ACL definiti e i relativi contenuti
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la pagina Aggiungi ACL basato su IPv6.
250
ACL basati su IPv6
17
tra maiuscole e minuscole.
PASSAGGIO 3 Immettere il nome di un nuovo ACL nel campo Nome ACL. I nomi fanno distinzione
PASSAGGIO 4 Fare clic su Applica. L'ACL basato su IPv6 viene definito e lo switch viene
aggiornato.
Definizione di una regola (ACE) per un ACL basato su IPv6

PASSAGGIO 1 Fare clic su Controllo di accesso > ACE basato su IPv6. Si apre la IPv6 Based
ACE Page. In questa finestra viene visualizzato l'ACE (regole) per un ACL specifico (gruppo di regole).
PASSAGGIO 2 Selezionare un ACL e fare clic su Vai. Vengono visualizzati tutti gli ACE IP
attualmente definiti per l'ACL selezionato.

PASSAGGIO 3 Fare clic su Aggiungi. Si apre la Add IPv6 Based ACE Page. PASSAGGIO 4 Immettere i parametri.
Nome ACL: viene indicato il nome dell'ACL a cui stato aggiunto un ACE. Priorit: immettere la priorit. Gli ACE con priorit maggiore vengono elaborati per primi. Azione: selezionare l'azione assegnata al pacchetto che corrisponde all'ACE. Le opzioni disponibili sono: Consenti: inoltrare i pacchetti che soddisfano i criteri ACE. Nega: eliminare i pacchetti che soddisfano i criteri ACE. Arresta: eliminare i pacchetti che soddisfano i criteri ACE e disattivare la porta a cui i pacchetti erano indirizzati. Le porte vengono riattivate dalla pagina Gestione delle porte.
Protocollo: selezionare per creare un ACE basato su un protocollo specifico. Selezionare Qualsiasi (IPv6) per accettare tutti i protocolli IP. Altrimenti, selezionare uno dei seguenti protocolli: TCP: Transmission Control Protocol. Attiva due host per la comunicazione e lo scambio di flussi di dati. TCP garantisce la consegna dei pacchetti e che i pacchetti vengano trasmessi e ricevuti nell'ordine in cui sono stati inviati.
251
ACL basati su IPv6
17
UDP: User Datagram Protocol. Trasmette i pacchetti ma non ne garantisce la consegna. ICMP: confronta i pacchetti con l'Internet Control Message Protocol (ICMP).
ID protocollo per corrispondenza: immettere l'ID del protocollo da soddisfare. Indirizzo IP di origine : selezionare Qualsiasi se tutti gli indirizzi di origine sono accettabili o Definiti dall'utente per immettere un indirizzo di origine o un intervallo di indirizzi di origine. Valore indirizzo IP di origine: immettere l'indirizzo IP a cui verr fatto corrispondere l'indirizzo IP di origine e la relativa maschera (se presente). Lunghezza prefisso IP di origine: immettere la lunghezza del prefisso dell'indirizzo IP di origine. Indirizzo IP di destinazione: selezionare Qualsiasi se tutti gli indirizzi di destinazione sono accettabili o Definiti dall'utente per immettere un indirizzo di destinazione o un intervallo di indirizzi di destinazione. Valore indirizzo IP di destinazione: immettere l'indirizzo IP a cui verr fatto corrispondere l'indirizzo MAC di destinazione e la relativa maschera (se presente). Lunghezza prefisso IP di destinazione: immettere la lunghezza del prefisso dell'indirizzo IP. Porta di origine: selezionare una delle seguenti opzioni. Qualsiasi: far corrispondere a tutte le porte di origine. Singola: immettere una singola porta TCP/UDP di origine a cui vengono fatti corrispondere i pacchetti. Questo campo attivo solo se nella casella a discesa Protocollo IP stato selezionato 800/6-TCP o 800/17UDP. Intervallo: selezionare un intervallo di porte TCP/UDP di origine a cui viene fatto corrispondere il pacchetto.
Porta di destinazione: selezionare uno dei valori disponibili (sono uguali a quelli del campo Porta di orgine descritto sopra).
NOTA necessario specificare il protocollo IPv6 per l'ACL prima di poter
configurare la porta di origine e/o di destinazione.
252
ACL basati su IPv6
17
Flag TCP: selezionare uno o pi flag TCP con cui filtrare i pacchetti. I pacchetti filtrati vengono inoltrati o eliminati. Il filtraggio di pacchetti basato su flag TCP consente di migliorare il controllo dei pacchetti e quindi la sicurezza della rete. Imposta: corrispondenza se il flag IMPOSTATO. Annulla impost.: corrispondenza se il flag NON IMPOSTATO. Non importa: ignorare il flag TCP.
Tipo di servizio: il tipo di servizio del pacchetto IP. ICMP: se l'ACL basato su ICMP, selezionare il tipo di messaggio ICMP da utilizzare per operazioni di filtro. Selezionare il tipo di messaggio per nome oppure immettere il numero del tipo di messaggio. Se vengono accettati tutti i tipi di messaggio, selezionare Qualsiasi. Qualsiasi: vengono accettati tutti i tipi di messaggio. Seleziona da elenco: selezionare il tipo di messaggio per nome dall'elenco a discesa. Tipo ICMP per corrispondenza: numero del tipo di messaggio che verr utilizzato per operazioni di filtro.
Codice ICMP: i messaggi ICMP possono avere un campo codice che indica come gestire il messaggio. Selezionare una delle seguenti opzioni per decidere se applicare il filtro su questo codice. Qualsiasi: accettare tutti i codici. Definito dall'utente: immettere un codice ICMP per operazioni di filtro.
PASSAGGIO 5 Fare clic su Applica.
253
17

Quando un ACL viene associato a un'interfaccia, le regole ACE corrispondenti vengono applicate ai pacchetti in arrivo sull'interfaccia. I pacchetti che non corrispondono a nessun ACE nell'ACL vengono confrontati con una regola predefinita, la cui azione eliminare i pacchetti privi di corrispondenza. Sebbene ogni interfaccia possa essere associata a un solo ACL, pi interfacce possono essere associate allo stesso ACL, raggruppandole in una mappa di criteri e associando quella mappa di criteri all'interfaccia. Dopo che un ACL viene associato a un'interfaccia, non possibile eliminarlo o modificarlo fino a quando non viene rimosso da tutte le porte a cui associato o su cui in uso. Per associare un ACL a un'interfaccia, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Controllo di accesso > Binding di ACL. Si apre la ACL Binding Page. PASSAGGIO 2 Selezionare un tipo di interfaccia Porte/gruppi LAG (porta o gruppo LAG). PASSAGGIO 3 Fare clic su Vai. Viene visualizzato l'elenco di porte/gruppi LAG. Per ogni tipo di
interfaccia selezionata, tutte le interfacce di quel tipo vengono visualizzate con un elenco dei relativi ACL correnti. Interfaccia: identificatore dell'interfaccia. ACL MAC : ACL di tipo MAC associati all'interfaccia (se presenti). ACL IPv4: ACL di tipo IPV4 associati all'interfaccia (se presenti). ACL IPv6: ACL di tipo IPV6 associati all'interfaccia (se presenti).
NOTA Per annullare l'associazione di ACL da un'interfaccia, selezionare
l'interfaccia e fare clic su Cancella.

PASSAGGIO 4 Selezionare un'interfaccia e fare clic su Modifica. Si apre la Edit ACL Binding
Page.
PASSAGGIO 5 Selezionare l'interfaccia a cui associare gli ACL. PASSAGGIO 6 Selezionare una delle seguenti opzioni.
Seleziona ACL basato su MAC : selezionare un ACL basato su MAC da associare all'interfaccia. Seleziona ACL basato su IPv4: selezionare un ACL basato su IPv4 da associare all'interfaccia.
254
17
Seleziona ACL basato su IPv6: selezionare un ACL basato su IPv6 da associare all'interfaccia.
PASSAGGIO 7 Fare clic su Applica. Il binding di ACL viene modificato e lo switch viene aggiornato. NOTA Se non viene selezionato alcun ACL, l'associazione degli ACL
precedentemente associati all'interfaccia viene annullata.
255
18
Configurazione della Qualit del servizio
La funzione Qualit del servizio viene applicata su tutta la rete al fine di garantire che la priorit del traffico di rete venga assegnata in base ai criteri indicati e che il traffico desiderato venga elaborato con modalit preferenziali. In questo capitolo sono presenti i seguenti argomenti: Funzioni e componenti di QoS Configurazione del QoS Modalit QoS di base Modalit avanzata QoS Gestione delle statistiche QoS

La funzione QoS viene utilizzata per ottimizzare le prestazioni della rete. QoS consente di eseguire la seguente operazione: Classificazione del traffico in ingresso in classi di traffico, in base agli attributi, inclusi: Configurazione dispositivo Interfaccia di ingresso Contenuto dei pacchetti Combinazione degli attributi
256

18
QoS include le funzioni seguenti: Classificazione del traffico: consente di classificare ciascun pacchetto in ingresso come parte di un flusso del traffico specifico, in base ai contenuti dei pacchetti e/o alla porta. La classificazione viene effettuata tramite l'ACL (Access Control List, Elenco di controlli di accesso) e solo il traffico che soddisfa i criteri ACL soggetto alla classificazione CoS o QoS. Assegnazione a code hardware: consente di assegnare pacchetti in ingresso a code di inoltro. I pacchetti vengono inviati a una determinata coda e gestiti come una funzione della classe di traffico a cui appartengono. Attributi per la gestione di altre classi di traffico: applica il meccanismo QoS a classi diverse, inclusa la gestione della larghezza di banda.
Modalit QoS
Modalit QoS La modalit QoS selezionata viene applicata a tutte le interfacce del sistema. Modalit di base: CoS (Class of Service, Classe di servizio). Tutto il traffico della stessa classe viene elaborato secondo la medesima modalit, ovvero l'unica operazione QoS che determina la coda di uscita sulla porta di uscita, in base al valore QoS indicato nel frame in ingresso. Questo corrisponde al valore 802.1p del Tag di priorit VLAN (VPT, VLAN Priority Tag) nel Livello 2 e al valore DSCP (Differentiated Service Code Point) per IPv4 o il valore TC (Traffic Class) per IPv6 nel Livello 3. In Modalit di base, lo switch viene associato al valore QoS esterno assegnato. Tale valore determina la classe di traffico e il QoS. Il campo dell'intestazione da associare viene inserito nella pagina Impostazioni generali. Per ciascun valore di quel campo, nella pagina CoS/ 802.1p to Queue o nella pagina DSCP to Queue (in base a se la modalit di connessione rispettivamente CoS/802.1p o DSCP) viene assegnata una coda di uscita in cui viene inviato il frame. Modalit avanzata: Qualit del servizio (QoS) basata sul flusso. In modalit avanzata, un QoS per flusso include una mappa delle classi e una funzionalit di monitoraggio:
257

18
Una mappa delle classi definisce il tipo di traffico in un flusso, e include uno o pi ACL. I pacchetti che corrispondono agli elenchi ACL appartengono al flusso. Una funzionalit di monitoraggio viene applicata al QoS configurato in un flusso. La configurazione del QoS di un flusso pu essere costituito da una coda di uscita, dal valore DSCP o COS/802.1 e dalle azioni eseguite sul traffico (in eccesso) fuori dal profilo.
Modalit di disattivazione In questa modalit, tutto il traffico viene associato a una singola coda best-effort, in modo che nessun tipo di traffico abbia la priorit sugli altri.
possibile attivare una sola modalit alla volta. Quando il sistema viene configurato per operare in modalit QoS avanzata, le impostazioni della modalit QoS di base non sono attive, e viceversa. Quando si modifica la modalit, si verificano le azioni seguenti: Quando si passa dalla modalit QoS avanzata a un altro tipo di modalit, le definizioni del profilo del criterio e le mappe delle classi vengono eliminate. Gli ACL collegati direttamente alle interfacce rimangono invariati. Quando si passa dalla modalit QoS di base alla modalit avanzata, la configurazione della modalit di connessione QoS in Modalit di base non viene mantenuta. Quando si disattiva il QoS, le impostazioni del normalizzatore e della coda (impostazione della larghezza di banda WRR/SP) tornano ai valori predefiniti.
Tutte le altre configurazioni effettuate dall'utente rimangono invariate.
Flusso di lavoro del QoS

Flusso di lavoro del QoS Per configurare i parametri generali QoS, eseguire le seguenti operazioni: 1. Scegliere il tipo di modalit QoS per il sistema (di base, avanzata o disattivata, come descritto nella sezione Modalit QoS) utilizzando la QoS Properties Page. Le seguenti operazioni eseguite nel flusso di lavoro presumono che si sia scelto di attivare il QoS. 2. Assegnare a ciascuna interfaccia una priorit predefinita CoS/802.1p utilizzando la QoS Properties Page.
258

18
3. Assegnare il metodo di pianificazione (Priorit stretta o WRR) e la larghezza di banda per WRR sulle code di uscita utilizzando la pagina Coda. 4. Indicare una coda di uscita per ciascun valore IP DSCP/TC dalla pagina DSCP to Queue. Se lo switch in modalit di connessione DSCP, i pacchetti in ingresso vengono inseriti nelle code di uscita, sulla base del loro valore DSCP/ TC. 5. Indicare una coda di uscita per ciascuna priorit CoS/802.1p. Se lo switch in modalit di connessione CoS/802.1, tutti i pacchetti in ingresso verranno inseriti nelle code di uscita indicate, in base alla priorit CoS/802.1p dei pacchetti. Questa operazione viene eseguita utilizzando la CoS/802.1p to Queue Page. 6. Se necessario solo per il traffico di livello 3, assegnare una coda a ciascun valore DSCP/TC, utilizzando la DSCP to Queue Page. 7. Inserire i limiti della larghezza di banda e di velocit nelle pagine seguenti: a. Impostare la normalizzazione in uscita per coda dalla Egress Shaping Per Queue Page. b. Impostare il limite di velocit in ingresso e la velocit di normalizzazione in uscita per porta utilizzando la Bandwidth Page. c. Impostare il limite di velocit in ingresso della VLAN usando la VLAN Ingress Rate Limit Page. 8. Configurare la modalit selezionata tramite una delle operazioni seguenti: a. Configurare la modalit di base come descritto in Flusso di lavoro per la configurazione della modalit QoS di base. b. Configurare la modalit avanzata come descritto in Flusso di lavoro per la configurazione della modalit QoS avanzata.

Visualizzazione delle propriet QoS
Visualizzazione delle propriet QoS La pagina Propriet QoS include i campi in cui impostare la modalit QoS per il sistema (di base, avanzata o disattivata, come descritto nella sezione Modalit QoS). Inoltre, possibile definire la propriet CoS predefinita di ciascuna interfaccia.
259

18
Per selezionare la modalit QoS, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Qualit del servizio > Generale > Propriet QoS. Si apre la QoS
Properties Page.
PASSAGGIO 2 Selezionare la Modalit QoS (disattivata, di base o avanzata) che sar attiva sullo
switch e fare clic su Applica.

PASSAGGIO 3 Selezionare Porta/LAG per visualizzare/modificare tutte le porte/LAG e le
informazioni sul CoS. Per tutte le porte/LAG vengono visualizzati i campi seguenti: Interfaccia: tipo di interfaccia. CoS predefinito: valore VPT predefinito per i pacchetti in ingresso che non hanno un Tag VLAN. Il CoS predefinito 0. Tale valore rilevante solo per i frame senza tag e solo se il sistema in modalit di base e Trust CoS risulta selezionato nella Global Settings Page.
Selezionare Ripristina impostazione predefinite per ripristinare l'impostazione CoS predefinita per questa interfaccia.
Modifica del valore CoS predefinito dell'interfaccia

Modifica del valore CoS predefinito dell'interfaccia
PASSAGGIO 1 Fare clic su Qualit del servizio > Generale > Propriet QoS. Si apre la QoS
Properties Page.
PASSAGGIO 2 Selezionare un'interfaccia e fare clic su Modifica. Si apre la Edit Interface CoS
Configuration Page.
Interfaccia: selezionare l'interfaccia. CoS predefinito: selezionare il valore CoS (Class-of-Service) predefinito da assegnare ai pacchetti in ingresso (che non hanno un tag VLAN), specificando un valore compreso tra 0-255.
PASSAGGIO 4 Fare clic su Applica. Il valore CoS predefinito dell'interfaccia viene impostato e lo
260

18
Configurazione delle code QoS

Modalit di accodamento Lo switch supporta quattro code per ciascuna interfaccia. Il numero quattro della coda rappresenta la coda con priorit pi alta. Il numero uno rappresenta invece la coda con priorit pi bassa. possibile determinare la modalit di gestione del traffico nelle code in due modi: Priorit stretta (Strict Priority) e WRR (Weighted Round Robin, round-robin pesato). Priorit stretta: il traffico in uscita della coda con priorit pi alta viene trasmesso per primo. Il traffico proveniente dalle code con priorit pi bassa vengono elaborate solo dopo la trasmissione della coda con priorit pi alta, quindi fornendo il livello pi alto di priorit del traffico alla coda con numero pi alto. WRR (Weighted Round Robin, round-robin pesato) : in modalit WRR il numero di pacchetti inviati dalla coda proporzionale al peso della coda (maggiore il peso maggiore sar il numero di frame inviati). Ad esempio, se le quattro code sono WRR e viene usato il peso predefinito, la coda 1 riceve 1/15 della larghezza di banda (assumendo che le code siano piene e che ci sia la fase di congestione), la coda 2 riceve 2/15, la coda 3 4/15 e la coda 4 riceve 8/15 della larghezza di banda. Il tipo di algoritmo WRR utilizzato nel dispositivo non il Deficit WRR (DWRR) standard, ma lo Shaped Deficit WRR (SDWRR). Le modalit di accodamento possono essere scelte nella pagina Coda. Quando la modalit Priorit stretta, la priorit imposta l'ordine in cui le code vengono servite, partendo con la queue_4 (coda con priorit pi alta) e, al termine, procedendo con quella successiva pi bassa. Quando la modalit di accodamento Weighted Round Robin, le code vengono servite fino al raggiungimento della soglia massima e successivamente viene servita un'altra coda. inoltre possibile assegnare al WRR alcune delle quattro code pi basse, mantenendo allo stesso tempo la priorit stretta in alcune code con priorit pi alta. In questo caso, il traffico delle code a stretta priorit vengono sempre inviate prima del traffico delle code WRR. Il traffico delle code WRR viene inoltrato solo dopo che le code a stretta priorit sono state svuotate. (La parte di ciascuna coda WRR dipende dal peso).
261

18
Per selezionare il metodo di priorit e inserire dati WRR, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Generale > Coda. Si apre la Queue Page. PASSAGGIO 2 Immettere i parametri.
Coda: viene indicato il numero della coda. Metodo di programmazione: Selezionare una delle seguenti opzioni: Priorit stretta: la programmazione del traffico per la coda selezionata e per le code superiori si basa unicamente sulla priorit della coda. WRR: la programmazione del traffico per la coda selezionata si basa sul WRR. Il periodo di elaborazione del traffico si divide tra le code WRR che non sono vuote, ovvero tra le code che hanno descrittori in uscita. Questo si verifica solo se le code a stretta priorit sono vuote. Peso WRR: se WRR selezionato, immettere il peso WRR assegnato alla coda. % di larghezza di banda WRR: viene indicata la quantit di larghezza di banda assegnata alla coda. Tali valori indicano la percentuale del peso WRR.
PASSAGGIO 3 Fare clic su Applica. Le code vengono configurate e lo switch viene aggiornato.
Associazione di CoS/802.1p a una coda

La pagina CoS/802.1p to Queue associa le priorit 802.1p alle code di uscita. La tabella CoS/802.1p to Queue determina le code di uscita dei pacchetti in ingresso sulla base della priorit 802.1p nei tag VLAN. Per i pacchetti in ingresso senza tag, alle porte in ingresso verr assegnata la priorit CoS/802.1p predefinita. Associazione code predefinita
262

18
Coda Coda (4 code tra 1 e (2 code: normale 4, in cui 4 e alta) rappresenta la priorit pi alta) 1 1 2 3 3 4 Normale Normale Normale Normale Normale Alta Note
Valori 802.1p (tra 0 e 7, in cui 7 il valore pi alto) 0 1 2 3 4 5
Background Best-effort Excellent-effort Applicazione critica su telefoni LVS con SIP Sorveglianza Servizio vocale su telefoni IP Cisco predefiniti Controllo interworking su telefoni LVS con RTP Controllo della rete
6 7
4 4
Alta Alta
Se si modificano l'associazione CoS/802.1p to Queue, il metodo di pianificazione della coda e la larghezza di banda, possibile ottenere la qualit desiderata dei servizi di una rete. L'associazione CoS/802.1p to Queue applicabile solo se si riscontra una delle condizioni seguenti: Lo switch si trova in modalit QoS di base e in modalit di connessione CoS/802.1p Lo switch si trova in modalit avanzata e i pacchetti appartengono ai flussi associati a CoS/802.1p
263

18
Per associare i valori CoS alle code di uscita, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Generale > CoS/802.1p to Queue. Si apre la
CoS/802.1p to Queue Page.

802.1p: vengono indicati i valori dei tag di priorit 802.1p da assegnare a una coda di uscita, dove 0 la priorit pi bassa e 7 quella pi alta. Coda in uscita: selezionare la coda di uscita a cui associata la priorit 802.1p. Sono supportate quattro code di uscita, di cui Coda 4 la coda di uscita con priorit pi alta e Coda 1 quella con priorit pi bassa. Ripristina impostazioni predefinite: fare clic per ripristinare l'impostazione di tutte le code all'associazione CoS/802.1p to Queue predefinita.
PASSAGGIO 3 Per ciascuna priorit 802.1p selezionare la Coda di uscita a cui associata. PASSAGGIO 4 Fare clic su Applica. I valori di priorit 802.1p nelle code vengono associate e lo
Associazione DSCP to Queue

La pagina DSCP (Differentiated Services Code Point dell'IP) to Queue consente di associare DSCP alle code di uscita. La tabella DSCP to Queue determina le code di uscita di pacchetti IP in ingresso, sulla base dei valori DSCP. Il VTP (VLAN Priority Tag) originale del pacchetto rimane invariato. Se si modificano semplicemente l'associazione DSCP to Queue, il metodo di pianificazione della coda e la larghezza di banda, possibile ottenere la qualit desiderata dei servizi di una rete. L'associazione di DSCP to Queue applicabile ai pacchetti IP se: Lo switch si trova in modalit QoS di base e in modalit di connessione DSCP, oppure Lo switch si trova in modalit avanzata e i pacchetti appartengono ai flussi connessi tramite DSCP
I pacchetti non IP vengono sempre classificati in base alla coda best-effort
264

18
Per associare DSCP alle code, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Qualit del servizio > Generale > DSCP to Queue. Si apre la DSCP to
Queue Page. La DSCP to Queue Page contiene DSCP in ingresso, in cui viene indicato il valore DSCP del pacchetto in ingresso e delle classi associate.
PASSAGGIO 2 Selezionare la Coda di uscita (coda di inoltro del traffico) a cui associato il valore
DSCP.
Configurazione della larghezza di banda

Nella Bandwidth Page i responsabili di rete possono definire due serie di valori che determinano la quantit di traffico che un sistema pu ricevere e inviare. Limite velocit in ingresso Il limite velocit in ingresso il numero di bit per secondo che possibile ricevere dall'interfaccia in ingresso. La larghezza di banda che supera tale limite viene eliminata. Per la normalizzazione in uscita, vengono inseriti i valori seguenti: Committed Information Rate (CIR) consente di impostare una quantit massima di dati consentita, calcolata in bit per secondo, da inviare nell'interfaccia in uscita. Committed Burst Shape (CBS) indica la quantit di dati da inviare consentita, anche se superiore al CIR. Tale quantit viene definita nei numeri di byte di dati.
Per inserire un limite della larghezza di banda, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Generale > Larghezza di banda. Si apre la
Bandwidth Page. La Bandwidth Page consente di visualizzare le informazioni sulla larghezza di banda relative a ciascuna interfaccia.
265

18
La colonna % indica il limite di velocit in ingresso della porta diviso per la larghezza di banda totale della porta.
PASSAGGIO 2 Selezionare un'interfaccia e fare clic su Modifica. Si apre la Edit Bandwidth Page. PASSAGGIO 3 Selezionare l'interfaccia della Porta/LAG. PASSAGGIO 4 Immettere i valori dei campi per l'interfaccia selezionata:
Limite velocit in ingresso: consente di attivare il limite velocit in ingresso, definito nel campo sottostante. Limite velocit in ingresso: immettere la quantit massima di larghezza di banda consentita nell'interfaccia. Velocit normalizzazione in uscita: consente di attivare la normalizzazione in uscita nell'interfaccia. Committed Information Rate (CIR) : immettere la larghezza di banda massima per l'interfaccia in uscita. Committed Burst Size (CBS) : immettere la dimensione massima in byte di dati inviati per l'interfaccia in uscita. possibile inviare la quantit indicata anche se la larghezza di banda supera temporaneamente il limite consentito.
PASSAGGIO 5 Fare clic su Applica. Le impostazioni della larghezza di banda vengono modificate
e lo switch viene aggiornato.
Configurazione della normalizzazione in uscita per coda

Oltre a limitare la velocit di trasmissione per porta nella Bandwidth Page, lo switch pu limitare la velocit di trasmissione dei frame in uscita selezionati in base alla coda e alla porta. Il limite di velocit in uscita viene eseguito tramite la normalizzazione del carico in uscita. Lo switch limita tutti i frame tranne quelli di gestione. I calcoli della velocit dei frame su cui non stato impostato un limite vengono ignorati. Ci significa che la loro dimensione non viene inclusa nel limite complessivo. possibile disattivare la normalizzazione della velocit in uscita per coda.
266

18
Per definire la normalizzazione in uscita per coda, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Generale > Normalizzazione in uscita per
coda. Si apre la Egress Shaping Per Queue Page. Nella Egress Shaping Per Queue Page viene visualizzato il limite di velocit e la dimensione dei dati inviati per ogni coda.
PASSAGGIO 2 Selezionare un tipo di interfaccia (porta o LAG) e fare clic su Vai. Viene visualizzato
l'elenco di porte/LAG.
PASSAGGIO 3 Selezionare una porta/LAG e fare clic su Modifica. Si apre la Edit Egress Shaping
Per Queue Page . In questa pagina possibile normalizzare l'uscita di massimo quattro code su ciascuna interfaccia.
PASSAGGIO 4 Selezionare l'Interfaccia. PASSAGGIO 5 Per ciascuna coda richiesta, immettere i valori nei seguenti campi:
Attiva normalizzazione: consente di attivare la normalizzazione in uscita su questa coda. Committed Information Rate (CIR) : immettere la velocit massima (CIR) in Kbit per secondo (Kbps). CIR rappresenta la quantit massima di dati che possibile inviare. Committed Burst Size (CBS) : immettere la dimensione massima dei dati trasmessi (CBS) in byte. CBS rappresenta la quantit massima consentita di dati da inviare anche se eccedente il CIR.
PASSAGGIO 6 Fare clic su Applica. Le impostazioni della larghezza di banda vengono modificate
e lo switch viene aggiornato.
Configurazione del limite di velocit VLAN

NOTA La funzione Limite di velocit VLAN non disponibile quando lo switch in modalit
Livello 3. Il limite di velocit per VLAN, eseguito nella VLAN Ingress Rate Limit Page, consente di attivare il limite del traffico sulle VLAN. Il limite di velocit QoS (configurato nella pagina Tabella criteri) ha la priorit sul limite di velocit VLAN. Ad esempio, se un pacchetto viene sottoposto ai limiti di velocit QoS e a quelli VLAN e tali limiti sono in conflitto, avranno la precedenza i limiti di velocit QoS.
267

18
Quando si configura il limite di velocit in ingresso VLAN, esso consente di limitare il traffico aggregato di tutte le porte dello switch. Il limite di velocit VLAN viene configurato a livello di dispositivo e i limiti vengono applicati indipendentemente su ciascun dispositivo della rete. Se nel sistema ci sono pi di un dispositivo (ad esempio, se una rete include due switch Cisco 10/100 a 24 porte associate alla stessa VLAN), i valori del limite di velocit VLAN configurato verranno applicati indipendentemente su ciascuno di essi. Per definire il limite di velocit in ingresso VLAN, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Generale > Limite velocit in ingresso VLAN.
Si apre la VLAN Ingress Rate Limit Page. Nella pagina viene visualizzata la tabella Limite velocit in ingresso VLAN.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add VLAN Ingress Rate Limit Page . PASSAGGIO 3 Immettere i parametri.
ID VLAN: selezionare una VLAN. Committed Information Rate (CIR) : immettere la quantit massima di dati in Kilobyte accettabili nella VLAN. Committed Burst Size (CBS) : immettere la dimensione massima in byte di dati inviati per l'interfaccia in uscita. possibile inviare la quantit indicata anche se la larghezza di banda supera temporaneamente il limite consentito. Tali inserimenti non sono consentiti per i LAG.
PASSAGGIO 4 Fare clic su Applica. Il limite di velocit VLAN viene aggiunto e lo switch viene
aggiornato.
Prevenzione congestione TCP

La TCP Congestion Avoidance Page consente di attivare un algoritmo per la prevenzione della congestione TCP. L'algoritmo consente di interrompere o di impedire la sincronizzazione globale TCP in un nodo congestionato, la cui congestione dovuta all'invio di pacchetti con lo stesso numero di byte da origini diverse. Per configurare la prevenzione della congestione TCP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Generale > Prevenzione congestione TCP . Si
apre la TCP Congestion Avoidance Page.


Modalit QoS di base
18
PASSAGGIO 2 Fare clic su Attiva per attivare la prevenzione congestione TCP e quindi su Applica.
Modalit QoS di base

In modalit QoS di base, possibile definire un dominio specifico della rete come attendibile. All'interno di quel dominio, i pacchetti vengono contrassegnati con priorit 802.1p e/o DSCP per segnalare il tipo di servizio necessario. I nodi dentro il dominio usano questi campi per assegnare il pacchetto a una specifica coda in uscita. La classificazione iniziale del pacchetto e la selezione di questi campi vengono eseguite nell'ingresso del dominio attendibile.
Flusso di lavoro per la configurazione della modalit QoS di base

Flusso di lavoro per la configurazione della modalit QoS di base Per configurare la modalit QoS di base, eseguire le seguenti operazioni: 1. Selezionare modalit di base per il sistema utilizzando la QoS Properties Page. 2. Selezionare la modalit di connessione utilizzando la pagina Impostazione generale. Lo switch supporta le modalit Trust CoS/802.1p e DSCP. La prima utilizza la priorit 802.1p nel tag VLAN, mentre la seconda usa il valore DSCP nell'intestazione IP. 3. Se qualsiasi porta, per eccezione, non deve essere associata alla selezione CoS in ingresso, disattivare lo stato QoS sulla porta utilizzando la Interface
Settings Page.
Attivare o disattivare sulle porte la modalit Trust selezionata a livello globale tramite la Interface Settings Page. Se una porta viene disattivata senza impostare la modalit Trust, tutti i suoi pacchetti in ingresso vengono inoltrati nella coda best-effort. Si consiglia di disattivare la modalit Trust sulle porte in cui i valori CoS/802.1p e/o DSCP dei pacchetti in ingresso non sono attendibili. In caso contrario, si potrebbero compromettere le prestazioni della rete.
269

Modalit QoS di base
18
Configurazione delle impostazioni generali

La Global Settings Page contiene informazioni relative all'attivazione di Trust sullo switch (vedere il campo sottostante Modalit trust). La configurazione attiva quando la modalit QoS quella di base. I pacchetti che entrano in un dominio QoS vengono classificati sull'edge del dominio QoS. Per definire la configurazione di Trust, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Modalit QoS di base > Impostazioni generali.
Si apre la Global Settings Page .

PASSAGGIO 2 Selezionare la Modalit Trust mentre lo switch in modalit di base. Se il livello
CoS e il tag DSCP di un pacchetto sono associati a code diverse, la modalit Trust determina a quale coda assegnare il pacchetto: CoS/802.1p: il traffico viene associato alle code sulla base del campo VTP del tag VLAN oppure in base al valore CoS/802.1p predefinito per porta (se il pacchetto in ingresso non ha tag VLAN). possibile configurare l'effettiva associazione del VTP alla coda nellaCoS/802.1p to Queue Page. DSCP: tutto il traffico IP viene associato alle code in base al campo DSCP dell'intestazione IP. L'effettiva associazione del DSCP alla coda pu essere configurata nella DSCP to Queue Page. Se il traffico non traffico IP, viene associato alla coda best-effort.
PASSAGGIO 3 Selezionare Annullamento DSCP in ingresso per annullare i valori DSCP originari
nei pacchetti in ingresso e inserire nuovi valori in base alla tabella Annullamento DSCP. Quando l'Annullamento DSCP in ingresso attivo, lo switch utilizzer i nuovi valori DSCP per l'accodamento in uscita. Inoltre, sostituir i valori DSCP originari dei pacchetti con valori DSCP nuovi.
NOTA Il frame viene associato alla coda di uscita tramite i nuovi valori
attribuiti e non dal valore DSCP originario.

PASSAGGIO 4 Se Annullamento DSCP in ingresso stato attivato, fare clic su Tabella
Annullamento DSCP per riconfigurare DSCP. Si apre la DSCP Override Table Page. Per ulteriori informazioni su questa pagina, vedere la pagina Associazione DSCP
fuori dal profilo, in cui sono riportati gli stessi campi.

270

18
Impostazioni interfaccia QoS

Nella Interface Settings Page possibile configurare QoS su ciascuna porta dello switch come indicato di seguito: Stato QoS disattivato in un'interfaccia: tutto il traffico in ingresso sulla porta viene associato alla coda best-effort e non viene eseguita alcuna classificazione/prioritizzazione. Stato QoS della porta attivato: la prioritizzazione del traffico in ingresso su una porta si basa sulla modalit Trust CoS/802.1p o DSCP configurata nell'intero sistema. Per eseguire le impostazioni QoS per interfaccia, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Modalit QoS di base > Impostazioni
interfaccia. Si apre la Interface Settings Page.

PASSAGGIO 2 Selezionare Porta o LAG per visualizzare l'elenco di porte o LAG.
Viene visualizzato l'elenco di porte/LAG. Stato QoS: indica se QoS attivato sull'interfaccia.
PASSAGGIO 3 Selezionare un'interfaccia e fare clic su Modifica. Si apre la Edit QoS Interface
Settings.
PASSAGGIO 4 Selezionare l'interfaccia della Porta o del LAG. PASSAGGIO 5 Fare clic per attivare o disattivare lo Stato QoS in questa interfaccia. PASSAGGIO 6 Fare clic su Applica. Lo switch viene aggiornato.

I frame che corrispondono e che possono accedere a a un ACL vengono etichettati implicitamente con il nome dell'ACL che ne consente l'ingresso. Pertanto, in questi flussi possibile eseguire le operazioni QoS in modalit avanzata.
271

18
In modalit QoS avanzata, lo switch si serve di criteri per supportare il QoS per flusso. Un criterio e i suoi componenti presentano le seguenti caratteristiche e relazioni: Un criterio contiene una o pi mappe di classi. Una mappa di classi definisce un flusso con uno o pi ACL associati. I pacchetti che soddisfano solo le regole ACL (ACE) in una mappa di classi con un'azione Consenti (inoltra) vengono considerati parte dello stesso flusso e sono sottoposti alla stessa qualit dei servizi. Pertanto, un criterio contiene uno o pi flussi, ognuno dei quali presenta un QoS definito dall'utente. Il QoS di una mappa di classi (flusso) viene applicato tramite il relativo monitoraggio. Sono disponibili due tipi di monitoraggio, singolo e aggregato. Ognuno di essi viene configurato tramite una specifica QoS. Un monitoraggio singolo consente di applicare il QoS a una mappa di classi singola, e quindi a un singolo flusso, sulla base delle specifiche QoS della funzionalit di monitoraggio. Un monitoraggio aggregato applica il QoS a una o pi mappe di classi, e di conseguenza a uno o pi flussi. Inoltre, pu supportare mappe di classi di criteri diversi. Il QoS per flusso viene applicato ai flussi tramite il binding dei criteri sulle porte desiderate. Un criterio e le sue mappe di classi possono essere associate a una o pi porte, ma ciascuna di esse deve presentare almeno un criterio.
Note. I monitoraggi singolo e aggregato sono disponibili quando lo switch si trova in modalit Livello 2. possibile configurare un ACL su una o pi mappe di classi, indipendentemente dai criteri. Una mappa di classi pu appartenere soltanto a un criterio. Quando la mappa di classi che usa un monitoraggio singolo viene associata a pi porte, ciascuna porta presenta un'istanza legata alla funzionalit di monitoraggio singola e viene applicato il QoS sulla mappa di classi (flusso) di porte l'una indipendente dall'altra. Un monitoraggio aggregato applicher il QoS su tutti i flussi aggregati, indipendentemente dai criteri e dalle porte.
272

18
Le impostazioni QoS avanzate sono costituite da tre fasi: Definizioni delle regole da soddisfare. Tutti i frame che soddisfano un singolo gruppo di regole sono considerati un flusso. Definizione delle azioni da eseguire sui frame in ciascun flusso che soddisfa le regole. Associazione delle combinazioni di regole e azioni in una o pi interfacce.
Flusso di lavoro per la configurazione della modalit QoS avanzata

Flusso di lavoro per la configurazione della modalit QoS avanzata Per configurare la modalit QoS avanzata, eseguire le seguenti operazioni: 1. Selezionare la modalit avanzata per il sistema utilizzando la QoS Properties Page. 2. Se i valori DSCP interni differiscono da quelli utilizzati sui pacchetti in ingresso, associare i valori esterni a quelli interni utilizzando la Click Quality of Service > QoS Advanced Mode > Out of Profile DSCP Mapping. The Out of Profile DSCP Mapping Page opens. DSCP Remarking Page. 3. Creare elenchi ACL, come descritto in Crea flusso di lavoro ACL. 4. Se sono stati definiti gli ACL, creare mappe di classi e associarle agli ACL utilizzando la Class Mapping Page. 5. Creare un criterio nella pagina Tabella criteri e associare il criterio a una o pi mappe di classi utilizzando la pagina Mappa delle classi di criteri. Quando si associa la mappa della classe al criterio, possibile anche specificare il QoS, se necessario, assegnando un criterio a una mappa di classi. Monitoraggio singolo: creare un criterio in grado di associare una mappa di classi a un monitoraggio singolo utilizzando la Policy Class Maps Page e la Class Mapping Page. Indicare nel criterio il monitoraggio singolo. Monitoraggio aggregato: creare un'azione QoS per ciascun flusso che invia tutti i frame corrispondenti allo stesso monitoraggio (monitoraggio aggregato) utilizzando la Aggregate Policer Page. Creare un criterio che associ una mappa della classe a un monitoraggio aggregato utilizzando la Policy Class Maps Page. 6. Associare il criterio a un'interfaccia utilizzando la Policy Binding Page.
273

18
Configurazione della Contrassegnazione DSCP fuori dal profilo

Quando si assegna una funzionalit di monitoraggio a una mappa di classi (flusso), possibile specificare l'azione da eseguire quando la quantit di traffico dei flussi supera i limiti indicati dal QoS.- La parte del traffico del flusso che supera il limite QoS viene indicata come pacchetti fuori-dal-profilo. Se l'evento di superamento DSCP fuori dal profilo, lo switch associa nuovamente il valore DSCP originario dei pacchetti IP fuori-dal-profilo a un nuovo valore, in base alla tabella Associazione DSCP fuori dal profilo. Lo switch usa i nuovi valori per assegnare risorse e code di uscita a questi pacchetti. Inoltre, sostituisce fisicamente il valore DSCP originario dei pacchetti fuori dal profilo con il nuovo valore DSCP. Per usare l'evento di superamento di DSCP fuori dal profilo, associare nuovamente il valore DSCP nella tabella Associazione DSCP fuori dal profilo. In caso contrario, l'azione verr annullata poich, per impostazione predefinita, i pacchetti vengono di nuovo associati al valore DSCP riportato nella tabella. Nella Click Quality of Service > QoS Advanced Mode > Out of Profile DSCP Mapping. The Out of Profile DSCP Mapping Page opens. DSCP Remarking Page possibile impostare la modifica del valore DSCP del traffico inserendo o togliendo lo switch. Descrizione ed esempi Questa funzione consente di modificare i tag DSCP per il traffico in ingresso scambiato tra domini QoS attendibili. Se si modificano i valori in uso in un dominio, viene impostata la priorit di quel tipo di traffico al valore DSCP usato nell'altro dominio al fine di identificare lo stesso tipo di traffico. Tali impostazioni sono attive quando il sistema in modalit QoS di base, e, una volta attivate, saranno attive a livello globale. Ad esempio, immaginiamo che ci siano tre livelli di servizio: Argento, Oro e Platino e che i valori in ingresso DSCP che indicano tali livelli siano rispettivamente 10, 20 e 30. Se il traffico viene inoltrato su un altro fornitore del servizio avente gli stessi tre livelli di servizio ma che usa i valori DSCP 16, 24 e 48, l'Associazione DSCP fuori dal profilo modifica i valori in ingresso non appena vengono associati ai valori in uscita.
274

18
Per associare valori DSCP, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Qualit del servizio > Modalit QoS avanzata > Associazione DSCP
fuori dal profilo. Si apre la pagina Associazione DSCP fuori dal profilo. DSCP di ingresso indica il valore DSCP del pacchetto in ingresso che deve essere contrassegnato da un altro valore.
PASSAGGIO 2 Selezionare il valore DSCP di uscita a cui viene associato il valore di ingresso. PASSAGGIO 3 Fare clic su Applica. Lo switch viene aggiornato con la nuova tabella
Contrassegnazione DSCP.
Definizione dell'Associazione classe

Una Mappa delle classi definisce un flusso del traffico con ACL (Elenchi di controlli di accesso). In una mappa di classi possibile combinare MAC ACL, IP ACL e IPv6 ACL. Le mappe di classi sono configurate per soddisfare i criteri del pacchetto su una base Abbina tutti o Abbina qualsiasi. Queste vengono associate ai pacchetti su una base first-fit, ovvero il sistema eseguir l'azione sulla mappa di classi "associata per prima". I pacchetti che presentano la stessa mappa di classi sono considerati parte dello stesso flusso.
NOTA La definizione delle mappe di classi non incide sul QoS. Essa costituisce una fase
di transizione che consente di utilizzare le mappe di classi successivamente. Se viene richiesto un insieme di regole pi complesse, possibile raggruppare diverse mappe di classi in un gruppo pi grande denominato Criterio (vedere la sezione Configurazione di un Criterio). La Class Mapping Page mostra l'elenco di mappe di classi definite e gli ACL inclusi e consente di aggiungere/eliminare mappe di classi. Per definire una mappa di classi, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Modalit QoS avanzata > Associazione classe.
Si apre la Class Mapping Page. La pagina visualizza le mappe di classi gi definite.

PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Class Mapping Page .
275

18
L'aggiunta di una nuova mappa di classi viene eseguita selezionando uno o pi ACL e assegnando un nome alla mappa di classi. Se una mappa di classi include due ACL, possibile specificare che un frame deve corrispondere a entrambi gli ACL o a uno o entrambi gli ACL selezionati.
Nome mappa delle classi: immettere il nome di una nuova mappa di classi. Tipo di ACL corrispondente: i criteri a cui un pacchetto deve corrispondere per poter essere considerato parte del flusso definito nella mappa di classi. Le opzioni sono: IP: un pacchetto deve corrispondere a tutti gli elenchi ACL della mappa di classi basati su IP. IP: un pacchetto deve corrispondere all'elenco ACL della mappa di classi basato su MAC. IP e MAC : un pacchetto deve corrispondere all'elenco ACL della mappa di classi basato su MAC e a quello basato su IP. IP o MAC : un pacchetto deve corrispondere o all'elenco ACL basato su IP oppure a quello basato su MAC della mappa di classi.
IP: selezionare l'elenco ACL basato su IPv4 oppure quello basato su IPv6 della mappa di classi. MAC : selezionare l'ACL basato su MAC della mappa di classi. ACL preferito: selezionare se i pacchetti vengono confrontati prima con un elenco ACL basato su IP o con uno basato su MAC.
Monitoraggi QoS
possibile misurare la frequenza del traffico corrispondente a una serie di regole predefinita e applicare dei limiti, ad esempio possibile limitare su una porta la velocit del traffico del trasferimento di file. Questa operazione pu essere eseguita facendo corrispondere gli ACL delle mappe di classi al traffico desiderato e tramite un monitoraggio da applicare al QoS sul traffico corrispondente.
276

18
NOTA I monitoraggi QoS non sono supportati sullo switch in modalit Livello 3.
Un monitoraggio viene configurato tramite una specifica QoS. Sono disponibili due tipi di monitoraggi: Monitoraggio singolo (regolare) : il QoS viene applicato su una singola mappa di classi e a un singolo flusso sulla base delle specifiche QoS del monitoraggio. Quando la mappa di classi che usa una funzionalit di monitoraggio singola viene associata a pi porte, ciascuna porta presenta un'istanza legata al monitoraggio singolo e viene applicato il QoS sulla mappa di classi (flusso) di porte indipendenti l'una dall'altra. Nella Policy Class Maps Pageviene creato un monitoraggio singolo. Monitoraggio aggregato: applica il QoS a una o pi mappe di classi, e a uno o pi flussi. Un monitoraggio aggregato pu supportare mappe di classi di criteri diversi. Inoltre, applica il QoS su tutti i flussi aggregati, indipendentemente dai criteri e dalle porte. Nella Aggregate Policer Page
viene creato un monitoraggio aggregato.

Viene indicato un monitoraggio aggregato quando deve essere condiviso con pi classi. Ciascun monitoraggio viene indicato con la propria specifica QoS e una combinazione dei parametri seguenti: Una velocit massima consentita, definita Committed Information Rate (CIR) e calcolata in Kbps. Una quantit di traffico, misurata in byte, denominata Committed Burst Size (CBS). Questa indica il traffico consentito nella trasmissione di un burst temporaneo, anche se supera la velocit massima specificata. Tale azione va applicata sui frame che superano i limiti (definiti con il nome di traffico fuori dal profilo), in cui tali frame possono essere trasmessi tali e quali o eliminati, ma associati nuovamente a un nuovo valore DSCP che li contrassegna come frame a bassa priorit per gestirli successivamente nel dispositivo.
L'assegnazione di un monitoraggio a una mappa di classi viene eseguita quando si aggiunge una mappa di classi a un criterio. Se il monitoraggio aggregato, necessario crearlo utilizzando la pagina Monitoraggio aggregato.
277

18
Definizione dei monitoraggi aggregati

Un monitoraggio aggregato applica il QoS a una o pi mappe di classi, di conseguenza a uno o pi flussi. Un monitoraggio aggregato pu supportare mappe di classi di diversi criteri e applicher il QoS a tutti i flussi aggregati, indipendentemente dai criteri e dalle porte.
NOTA Lo switch supporta monitoraggi aggregati e singoli solo quando in modalit
Livello 2. Per definire un monitoraggio aggregato, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Qualit del servizio > Modalit QoS avanzata > Monitoraggio
aggregato. Si apre la Aggregate Policer Page . In questa pagina vengono visualizzati i monitoraggi aggregati esistenti:
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Aggregate Policer Page . PASSAGGIO 3 Immettere i parametri.
Nome monitoraggio aggregato: immettere il nome del monitoraggio aggregato. CIR (Committed Information Rate) in ingresso: immettere la larghezza di banda massima consentita in bit per secondo. Vedere la descrizione nella Bandwidth Page. Committed Burst Size (CBS) in ingresso: immettere la dimensione massima dei dati trasmessi (anche se eccedenti il CIR) in byte. Vedere la descrizione nella Bandwidth Page. Evento di superamento: selezionare l'azione da eseguire sui pacchetti in ingresso che superano il CIR. I valori possibili sono: Inoltra: vengono inoltrati i pacchetti che superano il valore CIR specificato. Elimina: vengono eliminati i pacchetti che superano il valore CIR specificato. DSCP fuori dal profilo: il valore DSCP dei pacchetti che superano il valore CIR specificato vengono associati nuovamente a un valore secondo la tabella Associazione DSCP fuori dal profilo.
278

18
Configurazione di un Criterio
Nella pagina Mappa delle classi di criteri viene visualizzato l'elenco dei criteri QoS avanzati definiti nel sistema. Inoltre, nella pagina possibile creare ed eliminare criteri. Sono attivi solo questi criteri associati a un'interfaccia (vedere Policy Binding Page). Ciascun criterio costituito da: Una o pi mappe di classi di ACL che definiscono i flussi di traffico del criterio. Uno o pi aggregati che applicano il QoS ai flussi di traffico del criterio.
Dopo aver aggiunto un criterio, possibile aggiungere delle mappe di classi utilizzando la Policy Class Maps Page. Per aggiungere un criterio QoS, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Modalit QoS avanzata > Mappe delle classi
di criteri. Si apre la Policy Class Maps Page. La pagina visualizza l'elenco dei criteri specificati.
PASSAGGIO 2 Fare clic su Tabella Mappa delle classi di criteri per visualizzare la Policy Class
Maps Page. OPPURE Fare clic su Aggiungi per aprire la Add Policy Page.
PASSAGGIO 3 Immettere nel campo Nuovo criterio il nome del nuovo criterio. PASSAGGIO 4 Fare clic su Applica. Il profilo del criterio QoS viene aggiunto e lo switch viene
aggiornato.
Mappe delle classi di criteri

possibile aggiungere a un criterio una o pi mappe di classi. Una mappa di classi indica il tipo di pacchetti che vengono considerati parte dello stesso flusso di traffico.
NOTA Se lo switch in modalit Livello 3, non possibile configurare un monitoraggio su
una mappa di classi. Lo switch supporta monitoraggi in modalit Livello 2.
279

18
Per aggiungere una mappa di classi a un criterio, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Modalit QoS avanzata > Mappe delle classi
di criteri. Si apre la Policy Class Maps Page.

PASSAGGIO 2 Selezionare un criterio nel Filtro e fare clic su Vai. Vengono visualizzate tutte le
mappe di classi di quel criterio.

PASSAGGIO 3 Per aggiungere una nuova mappa di classi, fare clic su Aggiungi. Si apre la Add
Policy Class Map Page.

Nome criterio: viene indicato il criterio a cui stata aggiunta la mappa di classi. Nome mappa delle classi: selezionare la mappa di classi esistenti da associare al criterio. Nella Class Mapping Page vengono create le mappe delle classi. Tipo di azione: selezionare l'azione relativa al valore Cos/802.1p in ingresso o DSCP di tutti i pacchetti corrispondenti. Nessuno: ignorare il valore CoS/802.1p in ingresso o DSCP. I pacchetti corrispondenti vengono inviati come best-effort. Trust CoS/802.1p, DSCP: se questa opzione selezionata, lo switch verr associato al CoS/802.1p e DSCp del pacchetto corrispondente. Se un pacchetto un pacchetto IP, lo switch lo inserir nella coda in ingresso, in base al valore DSCP e la tabella DSCP to Queue, altrimenti, la coda in ingresso del pacchetto si baser sul valore CoS/802.1p del pacchetto o alla tabella CoS/802.1p to Queue. Imposta: se questa opzione selezionata, usare il valore inserito nella casella Nuovo valore per determinare la coda di uscita dei pacchetti corrispondenti in base a quanto indicato: Se il nuovo valore (0..7) una priorit CoS/802.1p, usare tale valore e la tabella CoS/802.1p to Queue per determinare la coda di uscita di tutti i pacchetti corrispondenti. Se il nuovo valore (0..63) un DSCP, usare il nuovo DSCP e la tabella DSCP to Queue per determinare la coda di uscita dei pacchetti IP corrispondenti. Altrimenti, usare il nuovo valore (1..4) come numero della coda di uscita per tutti i pacchetti corrispondenti.
280

18
Tipo di monitoraggio: disponibile solo in modalit Livello 2. Selezionare il tipo di monitoraggio del criterio. Le opzioni sono: Nessuno: non viene usato alcun criterio. Singolo: il tipo di monitoraggio del criterio singolo. Aggregato: il tipo di monitoraggio del criterio aggregato.
Monitoraggio aggregato: disponibile solo in modalit Livello 2. Se il Tipo di monitoraggio Aggregato, selezionare un monitoraggio aggregato definito in precedenza (nellaAggregate Policer Page).
Se il Tipo di monitoraggio Singolo, immettere i seguenti parametri QoS: Committed Information Rate (CIR) in ingresso: immettere il CIR in Kbps. Vedere la descrizione nella Bandwidth Page. Committed Burst Size (CBS) in ingresso: immettere il CBS in byte. Vedere la descrizione nella Bandwidth Page. Evento di superamento: selezionare l'azione assegnata ai pacchetti in ingresso che superano il CIR. Le opzioni sono: Nessuno: non viene eseguita alcuna azione. Elimina: vengono eliminati i pacchetti che superano il valore CIR specificato. DSCP fuori dal profilo: l'inoltro eseguito dai pacchetti IP che superano il CIR specificato avviene tramite un nuovo DSCP scaturito dalla tabella associazione DSCP fuori dal profilo.
PASSAGGIO 5 Fare clic su Applica.
Binding del criterio

Nella Policy Binding Page viene visualizzato il profilo del criterio e la porta alla quale associato. Quando un profilo del criterio viene associato a una porta specifica, esso risulta attivo su quella porta. possibile configurare su una singola porta un solo profilo del criterio, ma possibile associare un singolo criterio a pi di una porta. Quando si associa un criterio a una porta, esso filtra e applica il QoS al traffico in ingresso appartenente ai flussi definiti nel criterio. Il criterio non viene applicato al traffico in uscita sulla stessa porta.
281

18
Per modificare un criterio, necessario prima rimuoverlo (disassociarlo) da tutte le porte a cui associato. Per definire il binding di un criterio, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Modalit QoS avanzata > Binding del criterio.
Si apre la Policy Binding Page.

PASSAGGIO 2 Selezionare un Nome criterio. PASSAGGIO 3 Selezionare il Tipo di interfaccia assegnato al criterio. PASSAGGIO 4 Fare clic su Applica. Il binding del criterio QoS viene definito e lo switch viene
aggiornato.

Visualizzazione delle statistiche monitoraggio
Un monitoraggio singolo viene associato a una relativa mappa di classi. Un monitoraggio aggregato viene associato a una o pi mappe di classi di uno o pi criteri.
Visualizzazione delle statistiche monitoraggio singolo

Visualizzazione delle statistiche monitoraggio singolo Nella Single Policer Statistics Page viene indicato il numero di pacchetti dentro e fuori dal profilo ricevuti da un'interfaccia che soddisfa le condizioni specificate nella mappa di classi di un criterio.
NOTA La pagina non viene visualizzata quando lo switch in modalit Livello 3.
Per visualizzare le statistiche monitoraggio, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su Qualit del servizio > Statistiche QoS > Monitoraggio singolo
Statistiche. Si apre la Single Policer Statistics Page. In questa pagina vengono visualizzati i seguenti campi: Interfaccia: vengono visualizzate le statistiche relative a questa interfaccia. Criterio: vengono visualizzate le statistiche relative a questo criterio.
282

18
Mappa delle classi: vengono visualizzate le statistiche relative questa mappa di classi. Byte nel profilo: numero di byte nel profilo ricevuti. Byte fuori dal profilo : numero di byte fuori dal profilo ricevuti.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Single Policer Statistics Page. PASSAGGIO 3 Immettere i parametri.
Interfaccia: selezionare l'interfaccia di cui vengono accumulate le statistiche. Nome criterio: selezionare il nome del criterio. Nome mappa delle classi: selezionare il nome della classe.
PASSAGGIO 4 Fare clic su Applica. Un'ulteriore richiesta di statistiche viene creata e lo switch
viene aggiornato.
Visualizzazione delle statistiche monitoraggio aggregato

Visualizzazione delle statistiche monitoraggio aggregato Per visualizzare le statistiche monitoraggio aggregato, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Statistiche QoS > Statistiche monitoraggio
aggregato. Si apre la Aggregate Policer Statistics Page. In questa pagina vengono visualizzati i seguenti campi: Nome monitoraggio aggregato: il monitoraggio su cui si basano le statistiche. Byte nel profilo: numero di pacchetti nel profilo ricevuti. Byte fuori dal profilo : numero di pacchetti fuori dal profilo ricevuti.
PASSAGGIO 2 Facendo clic su Aggiungi si apre la Add Aggregate Policer Statistics Page. PASSAGGIO 3 Selezionare un Nome monitoraggio aggregato, uno dei Monitoraggi aggregati
creati in precedenza di cui verranno visualizzate le statistiche.

PASSAGGIO 4 Fare clic su Applica. Un'ulteriore richiesta di statistiche viene creata e lo switch
viene aggiornato.
283

18
Visualizzazione delle statistiche code

Visualizzazione delle statistiche code Nella Queues Statistics Page vengono visualizzate le statistiche relative alle code, incluse le statistiche di pacchetti inoltrati ed eliminati, in base alla precedenza dell'interfaccia, della coda e dell'eliminazione.
NOTA Le Statistiche QoS vengono visualizzate solo quando lo switch in modalit QoS
avanzata. La modifica viene eseguita in Generale > Propriet QoS. Per visualizzare le statistiche code, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su Qualit del servizio > Statistiche QoS > Statistiche code. Si apre la
Queues Statistics Page. In questa pagina vengono visualizzati i seguenti campi: Insieme contatori: le opzioni sono: Insieme 1: indica le statistiche relative all'Insieme 1 contenente tutte le interfacce e le code con una DP alta (Drop Precedence, Precedenza eliminazione). Insieme 2: indica le statistiche relative all'Insieme 2 contenente tutte le interfacce e le code con una DP bassa.
Interfaccia: vengono visualizzate le statistiche code relative a questa interfaccia. Coda: i pacchetti sono stati inoltrati o eliminati da questa coda. Precedenza eliminazione: la precedenza eliminazione pi bassa ha la probabilit minore di essere eliminata. Pacchetti totali: numero di pacchetti inoltrati o eliminati dalla coda. Pacchetti di algoritmi Tail drop: percentuale di pacchetti eliminati dalla coda.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Queues Statistics Page.
284

18
Insieme contatori: selezionare l'insieme di contatori: Insieme 1: indica le statistiche relative all'Insieme 1 contenente tutte le interfacce e le code con una DP alta (Drop Precedence, Precedenza eliminazione). Insieme 2: indica le statistiche relative all'Insieme 2 contenente tutte le interfacce e le code con una DP bassa.
Interfaccia: selezionare le porte di cui vengono visualizzate le statistiche. Le opzioni sono: Porta: consente di selezionare la porta sul numero dell'unit indicato di cui vengono visualizzate le statistiche. Tutte le porte: indica le statistiche visualizzate per tutte le porte.
Coda: selezionare la coda di cui vengono visualizzate le statistiche. Precedenza eliminazione: immettere la precedenza eliminazione che indica la probabilit di eliminazione.
PASSAGGIO 4 Fare clic su Applica. Le Statistiche code vengono aggiunte e lo switch viene
aggiornato.
285
19
Configurazione SNMP
In questo capitolo viene descritta la funzione di Simple Network Management Protocol (SNMP) che fornisce un metodo di gestione dei dispositivi di rete e trattati i seguenti argomenti: Versioni e flusso di lavoro di SNMP OID del modello Configurazione Viste SNMP Gestione degli utenti SNMP Creazione di gruppi SNMP Definizione delle comunit SNMP Destinatari delle notifiche Filtri per le notifiche SNMP

Lo switch funge da agente SNMP e supporta le versioni SNMP 1, 2 e 3. Inoltre riporta sui ricevitori trap gli eventi del sistema usando i trap definiti nel MIB che supporta.
SNMP v1 e v2
SNMP v1 e v2 Per controllare gli accessi sul sistema, viene definito un elenco di voci della comunit, ciascuna delle quali costituita da una stringa della comunit e i relativi privilegi di accesso. Il sistema risponde solo ai messaggi SNMP dotati della stringa della comunit e delle operazioni appropriate.
286
Configurazione SNMP
19
Gli agenti SNMP conservano un elenco di variabili usate per gestire lo switch. Tali variabili vengono definite nel Management Information Base (MIB). Il MIB consente di mostrare le variabili controllate dall'agente.
NOTA Il protocollo SNMPv2 presenta risapute vulnerabilit legate alla sicurezza, pertanto
si consiglia di usare SNMPv3.
SNMP v3
SNMP v3 Oltre alle funzionalit fornite da SNMP v1 e v2, SNMPv3 applica il controllo degli accessi e nuovi meccanismi trap alle PDU di SNMPv1 e SNMPv2. SNMPv3 inoltre definisce un modello di protezione utente (USM; User Security Model), che comprende: Autenticazione: fornisce l'integrit e l'autenticazione della provenienza dei dati. Privacy : offre protezione dalla rivelazione del contenuto dei messaggi. Per la crittografia viene utilizzata la Cipher Block-Chaining (CBC, Concatenazione dei blocchi di cifratura). Su un messaggio SNMP pu essere attiva solo l'autenticazione oppure sia l'autenticazione che la privacy. Tuttavia, senza l'autenticazione non possibile attivare la privacy. Tempestivit: protegge dai ritardi o dalla riproduzione dei messaggi. L'agente SNMP confronta l'ora d'ingresso dei messaggi registrata con l'ora di arrivo. Gestione delle chiavi: indica la generazione, gli aggiornamenti e gli utilizzi delle chiavi. Lo switch supporta i filtri delle notifiche SNMP sulla base degli ID oggetto (OID) che vengono utilizzati dal sistema per gestire le funzioni del dispositivo.
287
Configurazione SNMP
19
Flusso di lavoro di SNMP

Flusso di lavoro di SNMP
NOTA Per impostazione predefinita, sullo switch il SNMP risulta disattivato. Prima di poter
configurare il SNMP, necessario attivarlo da Protezione-> Servizi TCP/UDP. Per configurare il SNMP, si consiglia di eseguire le seguenti operazioni: Se si decide di utilizzare SNMP v1 o v2, attenersi alla seguente procedura: Specificare una comunit utilizzando la Add SNMP Community Page. possibile associare la comunit ai diritti di accesso o a un gruppo e visualizzarla rispettivamente in modalit di base o in modalit avanzata. (Per informazioni sulle modalit di base e avanzata, vedere la Communities Page.) possibile definire i diritti di accesso su una comunit in due modi: Modalit di base: i diritti di accesso di una comunit possono essere configurati in sola lettura, lettura/scrittura o Amministrazione SNMP. Inoltre, possibile limitare l'accesso alla comunit solo per determinati oggetti MIB usando una vista. Le viste vengono specificate nella pagina Viste SNMP. Modalit avanzata: i diritti di accesso di una comunit vengono definiti tramite un gruppo che pu essere configurato attraverso un modello di protezione specifico. Sulle viste Gruppi, specificati nella pagina Viste SNMP, i diritti di accesso di un gruppo vengono definiti sulle viste desiderate tramite accesso in lettura, in scrittura o di notifica.
Se si decide di utilizzare SNMP v3, attenersi alla seguente procedura: 1. Definire una volta il motore SNMP utilizzando la Engine ID Page. 2. Se si desidera, definire le viste SNMP utilizzando la SNMP Views Page. 3. Specificare i gruppi nella Groups Page. 4. Definire gli utenti tramite la SNMP Users Page, in cui possono essere associati a un gruppo. Trap e gestione delle notifiche per SNMP v1, v2 o v3: 1. Attivare o disattivare i trap utilizzando la Trap Settings Page. 2. Facoltativamente, definire un filtro delle notifiche utilizzando la Notification Filter
Page.
3. Indicare i destinatari delle notifiche rispettivamente tramite la SNMPv1,2 Notification Recipient Page e/o SNMPv3 Notification Recipient Page.
288
Configurazione SNMP
19
MIB supportati
Sono supportati i seguenti MIB standard: CISCO-CDP-MIB.mib CISCO-SMI.mib CISCO-TC.mib CISCO-VTP-MIB.mib diffserv.mib draft-ietf-bridge-8021x.mib draft-ietf-bridge-rstpmib-04.mib draft-ietf-entmib-sensor-mib.mib draft-ietf-hubmib-etherif-mib-v3-00.mib draft-ietf-syslog-device-mib.mib ianaaddrfamnumbers.mib ianaifty.mib ianaprot.mib inet-address-mib.mib ip-forward-mib.mib ip-mib.mib lldp.mib p-bridge-mib.mib q-bridge-mib.mib RFC-1212.mib rfc1213.mib rfc1389.mib rfc1493.mib rfc1611.mib rfc1612.mib
289
Configurazione SNMP
19
rfc1757.mib rfc1850.mib rfc1907.mib rfc2011.mib rfc2012.mib rfc2013.mib rfc2096.mib rfc2233.mib rfc2571.mib rfc2572.mib rfc2573.mib rfc2574.mib rfc2575.mib rfc2576.mib rfc2613.mib rfc2618.mib rfc2620.mib rfc2665.mib rfc2668.mib rfc2674.mib rfc2737.mib rfc2851.mib rfc2925.mib rfc3621.mib rfc4668.mib rfc4670.mib rmon2.mib
290
Configurazione SNMP
OID del modello
19
SNMPv2-CONF.mib SNMPv2-SMI.mib SNMPv2-TC.mib trunk.mib udp-mib.mib
OID del modello

Quelli riportati di seguito sono gli ID oggetto (OID) del modello per lo switch: Nome modello SG 300-10 SG 30010MP SG 300-10P SG 300-20 SG 300-28 Descrizione Switch gestito Gigabit a 10 porte Porte g1-g10 ID oggetto 9.6.1.83.10.1 9.6.1.83.10.3 9.6.1.83.10.2 9.6.1.83.20.1 9.6.1.83.28.1 9.6.1.83.28.2 9.6.1.83.52.1 9.6.1.82.08.4 9.6.1.82.08.1 9.6.1.82.08.3 9.6.1.82.08.2
Switch gestito Gigabit POE a 10 porte g1-g10 Switch gestito Gigabit POE a 10 porte g1-g10 Switch gestito Gigabit a 20 porte Switch gestito Gigabit a 28 porte g1-g20 g1-g28
SG 300-28P Switch gestito Gigabit POE a 28 porte g1-g28 SG 300-52 SF 300-08 SF 302-08 SF 30208MP SF 302-08P SF 300-24 SF 300-24P SF 300-48 SF 300-48P Switch gestito Gigabit a 52 porte Switch gestito 10/100 a 8 porte Switch gestito 10/100 a 8 porte Switch gestito 10/100 POE a 8 porte Switch gestito 10/100 POE a 8 porte Switch gestito 10/100 a 24 porte g1-g52 e1-e8 e1-e8, g1-g2 e1-e8, g1-g2 e1-e8, g1-g2
e1-e24, g1-g4 9.6.1.82.24.1
Switch gestito 10/100 POE a 24 porte e1-e24, g1-g4 9.6.1.82.24.2 Switch gestito 10/100 a 48 porte e1-e48, g1-g4 9.6.1.82.48.1
Switch gestito 10/100 POE a 48 porte e1-e48, g1-g4 9.6.1.82.48.2
291
Configurazione SNMP
ID motore SNMP
19
Gli ID oggetto vengono posizionati sotto: enterprises(1).cisco(9).otherEnterprises(6).ciscosb(1). Il root MIB 1.3.6.1.4.1.9.6.1.101.
ID motore SNMP
L'ID motore viene utilizzato soltanto per identificare in modo univoco le entit SNMPv3. Un agente SNMP viene considerato un motore SNMP autoritario. Ci significa che l'agente risponde ai messaggi in ingresso (Get, GetNext, GetBulk, Set) e invia messaggi Trap a un responsabile. Le informazioni locali dell'agente vengono inserite nei campi del messaggio. Ciascun agente SNMP conserva le informazioni locali che vengono poi utilizzate negli scambi di messaggi SNMPv3 (non per SNMPv1 o SNMPv2). L'ID motore SNMP predefinito costituito dal codice aziendale e l'indirizzo MAC predefinito. Inoltre, deve essere univoco per il dominio amministrativo, in modo tale che due dispositivi di una rete non riportino lo stesso ID motore. Le informazioni locali vengono memorizzate in quattro variabili MIB in sola lettura (snmpEngineId, snmpEngineBoots, snmpEngineTime e snmpEngineMaxMessageSize).
!
ATTENZIONE Quando si modifica l'ID motore, tutti gli utenti e i gruppi configurati vengono
cancellati. Per definire l'ID motore SNMP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su SNMP > ID motore. Si apre la Engine ID Page. PASSAGGIO 2 Selezionare l'ID motore locale.
Usa predefinito: selezionare questa casella di controllo per utilizzare l'ID motore generato dal dispositivo, che basato sull'indirizzo MAC dello switch e corrisponde a: Primi quattro ottetti: primo bit = 1 e il resto il codice IANA Enterprise. Quinto ottetto: impostare su 3 per indicare l'inizio dell'indirizzo MAC. Ultimi sei ottetti: indirizzo MAC dello switch.
292
Configurazione SNMP
Configurazione Viste SNMP
19
Nessuno: non viene usato alcun ID motore. Definito dall'utente: specificare l'ID del motore del dispositivo locale in una stringa esadecimale (intervallo compreso tra 10 - 64) . Ogni byte della stringa di caratteri esadecimali indicato tramite due cifre esadecimali. Ogni byte pu essere separato da un punto o da due punti.

Una vista indica un'etichetta di una raccolta di sottostrutture MIB definita dall'utente. Ciascun ID sottostruttura viene definita dall'ID oggetto del root delle sottostrutture appropriate. Solo in casi estremi, tale sottostruttura pu essere un leaf. Per specificare il root della sottostruttura desiderata, possibile usare nomi conosciuti oppure inserire un OID (vedere la OID del modello). Ciascuna sottostruttura inclusa o esclusa dalla vista specificata. Nella SNMP Views Page possibile creare e modificare viste SNMP. Non possibile modificare le viste predefinite (Default, DefaultSuper). Nella Groups Page possibile unire le viste ai gruppi. Per definire le viste SNMP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su SNMP > Viste. Si apre la SNMP Views Page. PASSAGGIO 2 Selezionare le viste definite dall'utente dall'elenco Filtro: Nome vista. Per
impostazione predefinita, sono disponibili le viste seguenti: Default: mostra la vista SNMP predefinita per le viste di lettura e lettura/ scrittura. DefaultSuper : mostra la vista SNMP predefinita per le viste degli amministratori.
possibile aggiungere altre viste. Sottostruttura ID oggetto: indica la sottostruttura da includere o escludere dalla vista SNMP. Tipo di vista sottostruttura ID oggetto: indica se la sottostruttura specificata viene inclusa o esclusa dalla vista SNMP selezionata.
293
Configurazione SNMP
19
Nome vista: immettere il nome della vista. Sottostruttura ID oggetto: selezionare il nodo della struttura MIB inclusa o esclusa dalla vista SNMP selezionata. Le opzioni disponibili per la selezione degli oggetti sono: Seleziona dall'elenco: consente di selezionare la struttura MIB. Premere la freccia Su per andare al livello principale o secondario del nodo; premere la freccia Gi per passare al livello secondario del nodo selezionato. Fare clic sui nodi della vista per passare da un nodo principale a quello secondario. Usare la barra di scorrimento per inserire i nodi secondari nella vista. Definito dall'utente: immettere un OID che non stato fornito nell'opzione Seleziona dall'elenco (se richiesto). Tutti i nodi secondari associati vengono inclusi o esclusi dalla vista.
PASSAGGIO 3 Fare clic su Aggiungi per definire nuove viste. Si apre la Add View Page. PASSAGGIO 4 Immettere i parametri.
PASSAGGIO 5 Selezionare o deselezionare Includi in vista.
Se si utilizza Seleziona dall'elenco, l'Identificatore oggetto del nodo selezionato viene incluso o escluso dalla vista se l'opzione Includi in vista selezionata o meno. Se si utilizza Definito dall'utente, l'Identificatore oggetto inserito viene incluso o escluso dalla vista se l'opzione Includi in vista selezionata o meno.
PASSAGGIO 6 Fare clic su Applica. Se si utilizza Seleziona dall'elenco, l'identificatore oggetto del
nodo selezionato viene incluso o escluso dalla vista se l'opzione Includi in vista selezionata. Se si utilizza ID oggetto, l'Identificatore oggetto inserito viene incluso o escluso dalla vista se l'opzione Includi in vista selezionata. Ci significa che il nodo e i nodi secondari associati vengono inclusi o esclusi dalla vista. Le viste SNMP vengono definite e lo switch viene aggiornato.
294
Configurazione SNMP
Creazione di gruppi SNMP
19
In SNMPv1 e SNMPv2, viene inviata una stringa della comunit con i frame SNMP. La stringa della comunit funge da password per ottenere l'accesso su un agente SNMP. Tuttavia, non vengono crittografati n i frame n la stringa della comunit. Pertanto, SNMPv1 e SNMPv2 non sono protetti. In SNMPv3, ci sono due meccanismi di protezione, entrambi configurabili. Autenticazione: lo switch verifica che l'utente SNMP sia un amministratore di sistema autorizzato. Questa operazione viene eseguita in ciascun frame. Privacy: i frame SNMP possono riportare dati crittografati.
Creazione di gruppi SNMP
Quindi, in SNMPv3, sono disponibili tre livelli di protezione: Nessuna protezione Autenticazione Autenticazione e privacy (tenere presente che necessario aggiungere due gruppi che presentano lo stesso nome, uno con l'autenticazione e l'altro con la privacy.)
Inoltre, SNMPv3 fornisce un metodo che consente di controllare le azioni che gli utenti autorizzati e non possono eseguire, associando ciascun utente a un gruppo. Un gruppo rappresenta un'etichetta di un'entit logica (combinazione di attributi). Un gruppo operativo solo quando associato a un utente o a una comunit SNMP. Inoltre, include un attributo che indica se i membri devono avere sulla vista privilegi in lettura, scrittura e/o notifica. Per creare un gruppo SNMP, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su SNMP > Gruppi. Si apre la Groups Page.
In questa pagina vengono visualizzati i gruppi SNMP esistenti:

PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Group Page. PASSAGGIO 3 Immettere i parametri.
Nome gruppo: immettere un nuovo nome per il gruppo di cui vengono definiti i privilegi, specificando un massimo di 30 caratteri ASCII. Modello di protezione: selezionare la versione SNMP associata al gruppo.
295
Configurazione SNMP
Gestione degli utenti SNMP
19
Livello di protezione: definire il livello di protezione associato al gruppo. I livelli di protezione si applicano solo a SNMPv3. Nessuna autenticazione: al gruppo non sono assegnati n il livello di sicurezza di autenticazione n quello della privacy. Autenticazione: consente di autenticare e di garantire l'autenticazione dei messaggi SNMP senza crittografarli. Pertanto i messaggi possono essere individuati e letti. Privacy : i messaggi SNMP vengono crittografati.
Viste: definire i diritti di accesso di ciascun gruppo. Le opzioni sono: Lettura: consente di gestire l'accesso di sola lettura per la vista selezionata. In caso contrario, un utente o una comunit associata a un gruppo pu accedere in lettura a tutti i MIB tranne a quelli che controllano il SNMP. Scrittura: consente di gestire l'accesso in scrittura per la vista selezionata. In caso contrario, un utente o una comunit associata a questo gruppo pu accedere in scrittura a tutti i MIB tranne a quelli che controllano il SNMP. Notifica: invia solo i trap i cui contenuti sono inclusi nella vista SNMP selezionata per la notifica. In caso contrario, i contenuti dei trap non presentano alcuna restrizione. Questa opzione pu essere selezionata solo per SNMPv3.
PASSAGGIO 4 Fare clic su Applica. Il gruppo SNMP viene definito e lo switch viene aggiornato.

Un utente SNMP viene definito dalle credenziali di accesso (nome utente, password e metodo di autenticazione) e tramite il contesto e l'analisi in cui opera in associazione a un gruppo o un ID motore. Dopo aver effettuato l'autenticazione, l'utente acquisisce gli attributi del suo gruppo e quindi potr visualizzare o meno le viste associate a quel gruppo. Nella SNMP Users Page possibile creare utenti SNMPv3. Un utente SNMPv3 consiste nell'unione di un utente insieme a un metodo utilizzato per autenticare l'utente e una password. Le credenziali di accesso di un utente SNMPv3 vengono verificate attraverso un database locale.
296
Configurazione SNMP
19
I gruppi consentono ai responsabili di rete di assegnare i diritti di accesso a funzioni o aspetti della funzione specifici oppure a un intero gruppo di utenti anzich a un singolo utente. Un utente pu anche appartenere a un singolo gruppo. Per creare un utente SNMPv3, necessario che ci sia la condizione seguente: Un ID motore deve essere prima configurato sullo switch. Questa operazione pu essere eseguita nella Engine ID Page. Deve essere disponibile un gruppo SNMPv3. Questo pu essere definito nella Groups Page.
Per motivi di sicurezza, gli utenti SNMP non vengono salvati sul file di configurazione. Se non vengono forniti utenti SNMP e si salva la configurazione, gli utenti SNMP non verranno conservati e sar necessario inserirli manualmente. Per visualizzare utenti SNMP e definirne nuovi, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su SNMP > Utenti. Si apre la SNMP Users Page.
Nella pagina vengono visualizzati gli utenti esistenti.

PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add User Page.
Questa pagina fornisce le informazioni per assegnare privilegi sul controllo degli accessi SNMP agli utenti SNMP.
Nome utente: immettere un nome per l'utente. ID motore: selezionare l'entit SNMP locale o remota a cui collegato l'utente. La modifica o la rimozione dell'ID motore SNMP comporta l'eliminazione del Database utenti SNMPv3. Per ricevere messaggi inform e informazioni relative alla richiesta, necessario definire sia un utente locale che remoto. Locale: l'utente collegato a un'entit SNMP locale. Pertanto, pu richiedere informazioni ma non ricever messaggi inform. Remoto: l'utente collegato a un'entit SNMP remota. Se viene indicato l'ID motore remoto, i dispositivi remoti ricevono messaggi inform ma non possono richiedere informazioni. Inserire l'ID motore remoto.
297
Configurazione SNMP
Definizione delle comunit SNMP
19
Nome gruppo: selezionare i gruppi SNMP a cui appartiene l'utente SNMP. I gruppi SNMP vengono specificati nella Add Group Page. Metodo di autenticazione: selezionare il metodo di autenticazione. Le opzioni sono: Nessuno: non viene usata alcuna autenticazione. Password MD5: gli utenti devono immettere una password che viene crittografata tramite il metodo di autenticazione MD5. Password SHA : gli utenti devono immettere una password che viene crittografata tramite il metodo di autenticazione SHA (Secure Hash Algorithm, Algoritmo di hashing protetto). Chiave MD5: gli utenti vengono autenticati tramite una chiave MD5 valida. Chiave SHA : gli utenti vengono autenticati tramite una chiave SHA valida.
Password: se l'autenticazione viene realizzata tramite una password MD5 o SHA, immettere la password dell'utente locale. Le password dell'utente locale vengono confrontate con il database locale e possono contenere massimo 32 caratteri ASCII. Chiave di autenticazione: se il metodo di autenticazione una chiave MD5 o SHA, immettere l'appropriata chiave di autenticazione. Per la chiave MD5 sono necessari 16 byte. Per la chiave SHA sono necessari 20 byte. Chiave per la privacy : se il metodo di autenticazione una chiave MD5 o SHA, immettere l'appropriata chiave per la privacy. Per la chiave MD5 sono necessari 16 byte. Per la chiave SHA sono necessari 20 byte.

In SNMPv1 e SNMPv2, i diritti di accesso vengono gestiti specificando le comunit nella Communities Page. Il nome della comunit rappresenta un tipo di password condivisa tra la stazione di gestione SNMP e il dispositivo e viene usato per autenticare la stazione di gestione SNMP. Le comunit vengono specificate solo in SNMPv1 e SNMPv2 poich SnMPv3 pu essere utilizzato con utenti e non con comunit. Gli utenti appartengono ai gruppi a cui sono stati assegnati i diritti di accesso.
Configurazione SNMP
19
La Communities Page consente di associare comunit che dispongono di diritti di accesso, sia direttamente (modalit di base) che tramite gruppi (modalit avanzata): Modalit di base: i diritti di accesso di una comunit possono essere configurati in sola lettura, lettura/scrittura o Amministrazione SNMP. Inoltre, possibile limitare l'accesso alla comunit solo per determinati oggetti MIB usando una vista. Le viste vengono specificate nella pagina Viste SNMP. Modalit avanzata: i diritti di accesso di una comunit vengono definiti tramite un gruppo che pu essere configurato attraverso un modello di protezione specifico. Sulle viste Gruppi, specificati nella pagina Viste SNMP, i diritti di accesso di un gruppo vengono definiti sulle viste desiderate tramite accesso in lettura, in scrittura o di notifica.
Per definire le comunit SNMP, attenersi alla seguente procedura:

PASSAGGIO 1 Fare clic su SNMP > Comunit. Si apre la Communities Page.
Nella pagina vengono visualizzate le tabelle Di base e Avanzata.

PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add SNMP Community Page.
In questa pagina i responsabili di rete possono definire e configurare nuove comunit SNMP.
PASSAGGIO 3 Stazione di gestione SNMP: fare clic su Definito dall'utente per immettere nella
stazione di gestione l'indirizzo IP che pu accedere alla comunit SNMP, oppure su Tutti per indicare che la comunit SNMP accessibile da qualsiasi indirizzo IP. Versione IP: selezionare IPv4 o IPv6. Tipo di indirizzo IPv6: selezionare il tipo di indirizzo IPv6 supportato utilizzato. Le opzioni sono: Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione. Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti.
299
Configurazione SNMP
19
Interfaccia locale collegamento: se il tipo di indirizzo IPv6 Collegamento locale, selezionare se riceverlo tramite VLAN2 o ISATAP. Indirizzo IP: immettere nella stazione di gestione SNMP l'indirizzo IPv4. Stringa della comunit: immettere il nome della comunit (password) utilizzato per autenticare la stazione di gestione sul dispositivo. Di base: selezionare questa modalit per una comunit selezionata. In questa modalit, non esistono legami a gruppi. possibile scegliere solo il livello di accesso della comunit (Sola lettura, Lettura/scrittura, Amministrazione) e, facoltativamente, specificarlo ulteriormente per una vista specifica. Per impostazione predefinita, questa modalit viene applicata a tutto il MIB. Se selezionata, immettere i valori nei campi seguenti: Modalit di accesso: selezionare i diritti di accesso della comunit. Le opzioni sono: Sola lettura: l'accesso pu essere gestito esclusivamente in sola lettura e non possibile apportare modifiche alla comunit. Lettura/scrittura: l'accesso pu essere gestito in lettura/scrittura ed possibile modificare la configurazione del dispositivo ma non la comunit. Amministrazione SNMP: l'utente pu accedere a tutte le opzioni di configurazione del dispositivo e dispone dei diritti per modificare la comunit. Amministrazione indica l'accesso in lettura e scrittura per tutti i MIB tranne per i MIB SNMP. Per l'accesso dei MIB SNMP, necessario un altro tipo di Amministrazione. Nome vista: selezionare una vista SNMP (un insieme di sottostrutture MIB a cui concesso l'accesso).
Avanzata: selezionare questa modalit per una comunit selezionata. Nome gruppo: selezionare un gruppo SNMP che determina i diritti di accesso.
PASSAGGIO 4 Fare clic su Applica. La comunit SNMP viene definita e lo switch viene
aggiornato.
300
Configurazione SNMP
Definizione delle impostazioni trap
19
Definizione delle impostazioni trap

Nella Trap Settings Page possibile configurare se inviare notifiche SNMP dallo switch e in quali circostanze. Nella SNMPv1,2 Notification Recipient Page o nella SNMPv3 Notification Recipient Page possibile configurare i destinatari delle notifiche SNMP. Per definire le impostazioni trap, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su SNMP > Impostazioni trap. Si apre la Trap Settings Page. PASSAGGIO 2 Selezionare Attiva nelle Notifiche SNMP per specificare quale switch pu inviare
notifiche SNMP.
PASSAGGIO 3 Selezionare Attiva nelle Notifiche di autenticazione per attivare l'invio di notifiche
in caso di errore di autenticazione SNMP.

PASSAGGIO 4 Fare clic su Applica. Le impostazioni Trap SNMP vengono definite e lo switch
viene aggiornato.
Destinatari delle notifiche

Come descritto in RFC 1215, i messaggi trap vengono generati per riportare gli eventi del sistema. Il sistema pu generare messaggi trap definiti nel MIB supportato. I ricevitori trap (o destinatari delle notifiche) sono nodi della rete in cui lo switch invia i messaggi trap. Un elenco di ricevitori trap indica i destinatari dei messaggi trap. Una voce di un ricevitore trap contiene l'indirizzo IP del nodo e le credenziali SNMP corrispondenti alla versione inclusa nel messaggio trap. Quando si verifica un evento che richiede l'invio di un messaggio trap, questo viene inviato a ciascun nodo riportato nell'elenco del ricevitore trap. La SNMPv1,2 Notification Recipient Page e la SNMPv3 Notification Recipient Page consentono di configurare le destinazioni delle notifiche SNMP e i tipi di notifiche SNMP inviate (trap o inform). Le finestre a comparsa Aggiungi/Modifica consentono di configurare gli attributi delle notifiche. Una notifica SNMP consiste in un messaggio inviato dallo switch alla stazione di gestione SNMP che riporta il verificarsi di un determinato evento, come un collegamento attivo/inattivo.
301
Configurazione SNMP
19
Inoltre, possibile filtrare determinate notifiche. Questa operazione pu essere eseguita creando un filtro nella Notification Filter Page e associandolo al destinatario di una notifica SNMP. Il filtro della notifica consente di filtrare il tipo di notifiche SNMP inviate alla stazione di gestione in base all'OID della notifica che sta per essere inviata.
Definizione dei destinatari delle notifiche SNMPv1,2

Per definire un destinatario in SNMPv1,2, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su SNMP > Destinatario notifiche SNMPv1,2. Si apre la SNMPv1,2
Notification Recipient Page.

In questa pagina vengono visualizzati i destinatari per SNMPv1,2.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add SNMP Notification Recipient Page. PASSAGGIO 3 Immettere i parametri.
Versione IP: selezionare IPv4 o IPv6. Tipo di indirizzo IPv6: selezionare Collegamento locale o Globale. Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione. Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti.
Interfaccia locale collegamento: se il tipo di indirizzo IPv6 Collegamento locale, selezionare se riceverlo tramite VLAN2 o ISATAP. Indirizzo IP destinatario: immettere l'indirizzo IP a cui vengono inviati i trap. Porta UDP: immettere le porta UDP utilizzata per le notifiche sul dispositivo del destinatario. Stringa della comunit: immettere la stringa della comunit del gestore delle trap. Tipo di notifica: scegliere se inviare trap o inform. Se sono necessarie entrambe, necessario creare due destinatari. Versione di notifica: selezionare la versione SNMP della trap.
302
Configurazione SNMP
19
Nelle trap possibile utilizzare SNMPv1 o SNMPv2, attivando una singola versione alla volta. Filtro di notifica: selezionare questa opzione per attivare il filtro del tipo di notifiche SNMP inviate alla stazione di gestione. Nella Notification Filter Page vengono creati i filtri. Nome filtro: selezionare il filtro SNMP (riportato nella Notification Filter Page) che definisce le informazioni contenute nelle trap. Timeout (messaggi inform) : immettere il numero di secondi che il dispositivo deve attendere prima di reinviare i messaggi inform. L'intervallo del timeout compreso tra 1 e 300; quello predefinito 15. Tentativi (messaggi inform) : specificare quante volte il dispositivo reinvia una richiesta inform. L'intervallo dei tentativi compreso tra 1 e 255; quello predefinito 3
PASSAGGIO 4 Fare clic su Applica. Le impostazioni del Destinatario notifiche SNMP vengono
definite e lo switch viene aggiornato.
Definizione dei Destinatari delle notifiche SNMPv3

Per definire un destinatario in SNMPv3, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su SNMP > Destinatario notifiche SNMPv3. Si apre la SNMPv3
Notification Recipient Page.

In questa pagina vengono visualizzati i destinatari per SNMPv3.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add SNMP Notification Recipient Page. PASSAGGIO 3 Immettere i parametri.
Versione IP: selezionare IPv4 o IPv6. Tipo di indirizzo IPv6: selezionare il tipo di indirizzo IPv6 (se IPv6 viene utilizzato). Le opzioni sono: Collegamento locale: l'indirizzo IPv6 identifica in modo univoco gli host in un singolo collegamento di rete. Un indirizzo locale collegamento presenta un prefisso FE80 non instradabile, che possibile utilizzare solo per le comunicazioni sulle rete locale. supportato soltanto un indirizzo locale collegamento. Se sull'interfaccia presente un indirizzo locale collegamento, questo sostituisce l'indirizzo della configurazione.
303
Configurazione SNMP
19
Globale: l'IPv6 un tipo di indirizzo IPv6 unicast globale visibile e raggiungibile da altre reti. Interfaccia locale collegamento: selezionare l'interfaccia locale collegamento (se Collegamento locale tipo di indirizzo IPv6 selezionato) dall'elenco. Indirizzo IP destinatario: immettere l'indirizzo IP a cui vengono inviate le trap. Porta UDP: immettere le porta UDP utilizzata per le notifiche inviate sul dispositivo del destinatario. Nome utente: indicare l'utente a cui inviare le notifiche SNMP. Livello di protezione: selezionare il numero di autenticazioni applicate al pacchetto. Le opzioni sono: Nessuna autenticazione: indica che il pacchetto non viene n autenticato n crittografato. Autenticazione: indica che il pacchetto viene autenticato ma non crittografato. Privacy : indica che il pacchetto viene autenticato e crittografato.
Tipo di notifica: scegliere se inviare trap o inform. Se sono necessarie entrambe, necessario creare due destinatari. Filtro di notifica: selezionare questa opzione per attivare il filtro del tipo di notifiche SNMP inviate alla stazione di gestione. Nella Notification Filter Page vengono creati i filtri. Nome filtro: selezionare il filtro SNMP (riportato nella Notification Filter Page) che definisce le informazioni contenute nelle trap. Timeout (messaggi inform) : immettere la quantit di tempo (secondi) che il dispositivo deve attendere prima di reinviare messaggi inform/trap. Timeout: intervallo compreso tra 1 e 300, predefinito 15 Tentativi (messaggi inform) : specificare quante volte il dispositivo reinvia una richiesta inform. Tentativi: intervallo compreso tra 1 e 255, predefinito 3
PASSAGGIO 4 Fare clic su Applica. Le impostazioni del Destinatario notifiche SNMP vengono
definite e lo switch viene aggiornato.
304
Configurazione SNMP
19
Nella Notification Filter Page possibile configurare i filtri per le notifiche SNMP e gli ID oggetto (OID) selezionati. Dopo aver creato un filtro, possibile associarlo a un destinatario della notifica nellaSNMPv1,2 Notification Recipient Page e nella pagina Destinatario notifiche SNMPv3 . Il filtro della notifica consente di filtrare il tipo di notifiche SNMP inviate alla stazione di gestione in base all'OID della notifica da inviare. Per definire un filtro per la notifiche, attenersi alla seguente procedura:
PASSAGGIO 1 Fare clic su SNMP > Filtro di notifica. Si apre la Notification Filter Page.
Nella Notification Filter Page vengono visualizzate le informazioni relative a ciascun filtro per le notifiche. La tabella consente di filtrare le voce in base a Nome filtro.
PASSAGGIO 2 Fare clic su Aggiungi. Si apre la Add Notification Filter Page. PASSAGGIO 3 Immettere i parametri.
Nome filtro: immettere un nome. Sottostruttura ID oggetto: selezionare il nodo della struttura MIB inclusa o esclusa dalla vista SNMP selezionata. Le opzioni sono: Seleziona dall'elenco: consente di selezionare la struttura MIB. Fare clic su Su per andare al livello principale o secondario del nodo selezionato. Fare clic su Gi per passare al livello secondario del nodo selezionato. Fare clic sui nodi della vista per passare da un nodo principale a quello secondario. Usare la barra di scorrimento per inserire i nodi secondari nella vista. ID oggetto: immettere un OID che non stato fornito nell'opzione Seleziona dall'elenco (se richiesto). Tutti i nodi secondari associati vengono inclusi o esclusi dalla vista. Se si utilizza Seleziona dall'elenco, l'identificatore oggetto del nodo selezionato viene incluso o escluso dalla vista se l'opzione Includi in filtro selezionata o meno. Se si utilizza ID oggetto, l'identificatore oggetto inserito viene incluso o escluso dalla vista se l'opzione Includi in filtro selezionata.
305
Configurazione SNMP
19
Includi in filtro: se si utilizza, Seleziona dall'elenco l'identificatore oggetto del nodo selezionato viene incluso o escluso dal filtro della notifica se l'opzione Includi in filtro selezionata o meno. Se si utilizza ID oggetto, l'Identificatore oggetto inserito viene incluso o escluso dalla vista se l'opzione Includi in filtro selezionata. Ci significa che il nodo e i nodi secondari associati vengono inclusi o esclusi dal filtro della notifica.
PASSAGGIO 4 Fare clic su Applica. Le viste SNMP vengono definite e lo switch viene aggiornato.
306
20
Interfaccia menu Console
Lo switch fornisce una interfaccia da console basata su menu per la configurazione di base dello switch. La interfaccia da console utile per la configurazione dello switch quando: Lo switch non ha un indirizzo IP definito, l'indirizzo IP non conosciuto oppure possibile utilizzare solo una connessione tramite cavo seriale diretto per comunicare con lo switch. necessario configurare le funzioni come il certificato SSL/SSH, ma non possibile farlo utilizzando l'utilit di configurazione dello switch basata sul Web.
possibile stabilire una connessione tra lo switch e il PC utilizzando un cavo seriale, stabilendo una sessione Telnet oppure utilizzando l'applicazione di emulazione del terminale. Nel presente capitolo vengono illustrati i seguenti argomenti: Connessione tramite l'utilizzo di un'applicazione di emulazione del terminale Connessione tramite l'utilizzo di Telnet Spostamento nel menu Configurazione di console Menu principale Interfaccia da console
Connessione tramite l'utilizzo di un'applicazione di emulazione del terminale

Per stabilire una connessione all'interfaccia da console utilizzando un'applicazione di emulazione del terminale (HyperTerminal Microsoft in Windows XP qui viene utilizzato come un esempio), configurare l'applicazione come indicato di seguito:
PASSAGGIO 1 Nel desktop del PC, fare clic sul pulsante Start .
307

20
PASSAGGIO 2 Selezionare Programmi > Accessori > Comunicazioni > HyperTerminal. Viene
visualizzata la finestra HyperTerminal - Connection Description.

PASSAGGIO 3 Immettere un nome per questa connessione e se si desidera selezionare un'icona
per il collegamento al programma creato.

PASSAGGIO 4 Fare clic su OK . Verr visualizzata la schermata Connetti a. PASSAGGIO 5 Se si ci connessi allo switch con un cavo seriale, selezionare la porta COM che
collega il PC allo switch dall'elenco a discesa Connetti. Altrimenti, selezionare TCP/IP.

PASSAGGIO 6 Proseguire nella sezione Comunicazione tramite l'utilizzo di una connessione
tramite cavo seriale o nella sezione Comunicazione tramite l'utilizzo di una connessione TCP/IP.
Comunicazione tramite l'utilizzo di una connessione tramite cavo seriale

In questa procedura, per l'esempio viene utilizzato Com 1. Il parametro del sistema potrebbe essere diverso. Per visualizzare il menu della console, attenersi alla seguente procedura:
PASSAGGIO 1 Configurare Propriet della porta COM1 > Impostazioni porte con i seguenti
parametri di connessione: Velocit in bit al secondo = 115.200 Bit di dati = 8 Parit = Nessuno Bit di stop = 1 Controllo di flusso = Nessuno
PASSAGGIO 2 Fare clic su OK . Viene visualizzata la finestra HyperTerminal. PASSAGGIO 3 Nella finestra HyperTerminal, premere Invio una o due volte fino a quando non viene
visualizzato il menu di accesso. Premere Ctrl-R per aggiornare l'Accesso a CLI del menu oppure passare all'Accesso a CLI del menu da qualsiasi altra finestra.
PASSAGGIO 4 Immettere cisco (impostazione predefinita) come Nome utente. PASSAGGIO 5 Immettere la password cisco (impostazione predefinita).
308

20
PASSAGGIO 6 Premere Invio. NOTA Se la prima volta che si accede oppure se lo switch stato reimpostato con i
valori predefiniti di fabbrica, viene chiesto di cambiare la password (vedere la sezione Impostazioni del nome utente e della password per creare e salvare una nuova password).
PASSAGGIO 7 Selezionare Esegui o premere Invio. Viene visualizzata la Switch Main Menu . PASSAGGIO 8 Passare alla sezione Menu principale Interfaccia da console.
Comunicazione tramite l'utilizzo di una connessione TCP/IP

Si assume che nell'applicazione di emulazione del terminale sia stato selezionato TCP/IP.
NOTA Nello switch necessario attivare Telnet.
Per visualizzare il menu della console, attenersi alla seguente procedura:

PASSAGGIO 1 Immettere l'indirizzo IP dello switch nel campo Indirizzo host. PASSAGGIO 2 Fare clic su OK . Viene visualizzata l'emulazione del terminale. PASSAGGIO 3 Premere Invio una o due volte fino a quando non viene visualizzato il menu di
accesso. Premere Ctrl-R per aggiornare l'Accesso a CLI del menu oppure passare all'Accesso a CLI del menu da qualsiasi altra finestra.
PASSAGGIO 4 Selezionare Modifica per consentire la modifica dei parametri. PASSAGGIO 5 Immettere cisco (impostazione predefinita) come Nome utente. PASSAGGIO 6 Immettere la password cisco (impostazione predefinita). PASSAGGIO 7 Premere Invio. NOTA Se la prima volta che si accede oppure se lo switch stato reimpostato con i
valori predefiniti di fabbrica, viene chiesto di cambiare la password. Viene visualizzato Change User Password. Utilizzare queste opzioni per creare e salvare una nuova password. Vedere Change User Password a page 312. Viene visualizzata la Switch Main Menu .
PASSAGGIO 8 Passare alla sezione Menu principale Interfaccia da console.
309

Connessione tramite l'utilizzo di Telnet
20
Connessione tramite l'utilizzo di Telnet

Telnet disattivato per impostazione predefinita. necessario attivarlo utilizzando l'utilit di configurazione dello switch basata sul Web o l'interfaccia da console e una connessione tramite cavo seriale. La procedura per l'attivazione di Telnet tramite l'interfaccia da console descritta nella sezione Configurazione di Telnet. Per aprire l'interfaccia da console eseguendo Telnet nella riga di comando Windows, attenersi alla seguente procedura:
PASSAGGIO 1 Selezionare Start > Esegui. PASSAGGIO 2 Immettere CMD nel campo Apri e premere Invio. PASSAGGIO 3 Digitare telnet, uno spazio e l'indirizzo IP dello switch. Ad esempio,
c:\>telnet 192.168.1.114
PASSAGGIO 4 Premere Invio. Viene visualizzato Accedi. Premere Ctrl-R per aggiornare
l'Accesso a CLI del menu oppure passare all'Accesso a CLI del menu da qualsiasi altra finestra.
PASSAGGIO 5 Immettere cisco(impostazione predefinita) come Nome utente. PASSAGGIO 6 Immettere la password cisco (impostazione predefinita). PASSAGGIO 7 Premere Invio. NOTA Se la prima volta che si accede oppure se lo switch stato reimpostato con i
valori predefiniti di fabbrica, viene chiesto di cambiare la password. Viene visualizzato Change User Password. Utilizzare queste opzioni per creare e salvare una nuova password. Altrimenti, viene visualizzato il Switch Main Menu .
PASSAGGIO 8 Passare alla sezione Menu principale Interfaccia da console.
310

Spostamento nel menu Configurazione di console
20
Spostamento nel menu Configurazione di console

L'interfaccia da console composta da due parti, l'elenco delle opzioni e l'elenco delle azioni. Spostarsi tra i parametri di configurazione utilizzando l'elenco delle opzioni. Gestire la Configurazione di esecuzione utilizzando l'elenco delle azioni. Per esempio, il flusso di lavoro per cambiare il valore di un parametro : 1. Scorrere l'elenco delle opzioni appropriato. 2. Selezionare Modifica utilizzando i tasti freccia per spostarsi ed evidenziare l'azione e premere Invio (se non ci sono parametri che possono essere modificati dall'amministratore di sistema, l'elenco delle azioni non viene visualizzato). 3. Utilizzare i tasti freccia per selezionare il campo corretto. 4. Immettere i valori dei parametri oppure utilizzare la barra spaziatrice per modificare i valori. 5. Premere ESC per tornare all'elenco delle azioni. 6. Selezionare Salva utilizzando i tasti freccia per spostarsi ed evidenziare l'azione. 7. Premere Invio. I valori dei parametri vengono salvati nella Configurazione di esecuzione. Per spostarsi tre gli elenchi, attenersi alla seguente procedura: Utilizzare i tasti freccia su o gi per spostarsi su o gi in un elenco. inoltre possibile digitare il numero dell'opzione selezionata per selezionarlo. Utilizzare i tasti freccia destra o sinistra per spostarsi a destra o a sinistra in un elenco. Premere Invio per selezionare un'opzione di menu. Premere Esc per spostarsi dall'elenco delle opzioni a quello delle azioni.
Nella parte inferiore di ogni schermata sono elencate le azioni disponibili.
Se si preme Esci senza salvare le modifiche, le modifiche ai valori dei parametri apportate in questa sessione verranno ignorate.
311

Menu principale Interfaccia da console
20

In ogni menu interfaccia da console vengono elencate le opzioni in un elenco numerato. Nel Menu principale dello switch vengono fornite le seguenti opzioni: Menu di configurazione del sistema Stato delle porte Configurazione delle porte Modalit di sistema Guida Disconnessione
Menu di configurazione del sistema

Utilizzare il Menu di configurazione del sistema per selezionare una delle seguenti opzioni: Informazioni di sistema Impostazioni di gestione Impostazioni del nome utente e della password Impostazioni di sicurezza Gestione VLAN Configurazione IP Gestione di file Elimina Configurazione di avvio Riavvio con impostaz predefinite di fabbrica Riavvio del sistema
312

20
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Informazioni di sistema Utilizzare il menu Informazioni di sistema per visualizzare le versioni del firmware dello switch e le informazioni di sistema generali. inoltre possibile modificare il nome host o la descrizione della posizione. Versioni Informazioni di sistema generali
Versioni
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Informazioni di sistema > Versioni In Versioni sono riportate le versioni del firmware dell'hardware, del software e di avvio.
Informazioni di sistema generali

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Informazioni di sistema > Informazioni di sistema generali Informazioni di sistema generali: vengono visualizzate le informazioni generali sullo switch. possibile modificare i dettagli di contatto del sistema, il nome host e le informazioni relative al percorso di sistema.
Impostazioni di gestione
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di gestione Nel menu Impostazioni di gestione vengono fornite le seguenti opzioni: Configurazione della porta seriale Configurazione di Telnet Configurazione SSH Configurazione SNMP
313

20
Configurazione della porta seriale

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di gestione Utilizzare Configurazione della porta seriale per visualizzare o modificare la velocit di trasmissione della porta di configurazione. Se si sta utilizzando un'applicazione HyperTerminal di Windows e si cambia il valore del parametro della velocit di trasmissione, necessario disconnettersi dall'applicazione e reimpostare la sessione in modo che corrisponda ai valori.
Configurazione di Telnet
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di gestione In Configurazione di Telnet viene visualizzato il valore di timeout di connessione e lo stato del servizio Telnet. possibile attivare o disattivare il servizio Telnet e impostare il valore di timeout in minuti. Se non si desidera definire un intervallo di timeout per la sessione Telnet, immettere 0 minuti.
Configurazione SSH
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di gestione Utilizzare il menu Configurazione SSH per visualizzare o configurare le seguenti opzioni: Configurazione del server SSH Stato del server SSH Generazione delle chiavi di crittografia SSH Impronte digitali delle chiavi SSH
Configurazione del server SSH

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di gestione > Configurazione SSH Utilizzare Configurazione del server SSH per attivare o disattivare il server SSH. possibile modificare la porta del server SSH immettendo un valore della porta.
314

20
Stato del server SSH

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di gestione > Configurazione SSH Utilizzare Stato del server SSH per visualizzare lo stato del server SSH, lo stato delle chiavi RSA e DSA e sessioni SSH aperte. Selezionare Aggiorna per aggiornare la schermata.
Generazione delle chiavi di crittografia SSH

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di gestione > Configurazione SSH > Generazione delle chiavi di crittografia SSH Utilizzare Generazione delle chiavi di crittografia SSH per visualizzare la lunghezza della chiave pubblica SSH o per generare una Chiave di crittografia SSH. Per generare una chiave di crittografia SSH, attenersi alla seguente procedura:
PASSAGGIO 1 Selezionare Modifica. PASSAGGIO 2 Utilizzare la BARRA SPAZIATRICE per spostarsi tra le opzioni RSA e DSA. PASSAGGIO 3 Premere ESC per tornare all'elenco delle azioni. PASSAGGIO 4 Selezionare Esegui e premere Invio. Al termine della generazione della chiave
verr visualizzato il messaggio operazione completa.

PASSAGGIO 5 Utilizzare il tasto freccia SU per andare nell'elenco delle azioni.
Impronte digitali delle chiavi SSH

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di gestione > Configurazione SSH > Impronte digitali delle chiavi SSH In Impronte digitali delle chiavi SSH vengono riportate le chiavi RSA e DSA (se sono state generate). Selezionare Aggiorna per aggiornare la schermata.
315

20
Configurazione SNMP
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di gestione Utilizzare Configurazione SNMP per attivare o disattivare SNMP nello switch.
Impostazioni del nome utente e della password

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni del nome utente e della password Utilizzare Impostazioni del nome utente e della password per configurare i nomi utente e le password per l'accesso allo switch. possibile aggiungere fino a cinque utenti. Il nome utente predefinito di fabbrica cisco. La password predefinita di fabbrica cisco.
Impostazioni di sicurezza
Percorso: Menu principale dello switch > Menu di configurazione del sistema Utilizzare Impostazioni di sicurezza per configurare la sicurezza dello switch, nonch generare e visualizzare il certificato SSL.
Generazione del certificato SSL

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di sicurezza Utilizzare Generazione del certificato per creare un certificato SSL generato dal dispositivo. Lunghezza chiave pubblica: indica la lunghezza della chiave RSA SSL (Intervallo valori: 5122048) Nome organizzazione: indica il nome dell'organizzazione (1-64 caratteri). Nome della localit o della citt: indica il nome della citt o dell'ubicazione (1-64 caratteri). Nome provincia: indica il nome della provincia (1-64 caratteri). Nome Paese: indica il nome del Paese (utilizzare un codice di 2 caratteri). Scadenza: indica il numero di giorni di validit del certificato (Intervallo valori: 303650)
316

20
Visualizzazione certificato
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di sicurezza Utilizzare Visualizzazione certificato per visualizzare il certificato interno SSL.
Disattivazione del profilo di accesso di gestione attivo

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Impostazioni di sicurezza Utilizzare questa opzione per disattivare i profili di accesso di gestione. Se si sceglie questa opzione, verr chiesta conferma. Digitare Y per confermare.
Gestione VLAN
Percorso: Menu principale dello switch > Menu di configurazione del sistema Utilizzare il menu Gestione VLAN per impostare la VLAN predefinita. Le modifiche alla VLAN predefinita avranno effetto solo dopo il riavvio dello switch. Selezionare Impostazione VLAN predefinita per visualizzare l'Impostazione VLAN predefinita.
Configurazione IP
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP Utilizzare il menu Configurazione IP per configurare le seguenti opzioni: Configurazione indirizzo IPv4 Configurazione indirizzo IPv6 Configurazione HTTP Configurazione HTTPS Configurazione della rete Route predefinito IPv4 (solo dispositivi Livello 3)
317

20
Configurazione indirizzo IPv4

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP Utilizzare il menu Configurazione indirizzo IPv4 per configurare l'indirizzo IPv4 dello switch.
Impostazioni indirizzo IPv4

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP Utilizzare Indirizzo IP - Aggiungi/Impostazioni indirizzo IP per aggiungere o modificare l'indirizzo IPv4 dello switch. Indirizzo IPv4: immettere l'indirizzo IPv4 che si desidera assegnare allo switch se questo disattivato come un client DHCP. Verificare che l'indirizzo IP non sia in conflitto con quello di un altro dispositivo di rete. Maschera di sottorete: immettere la maschera di sottorete che si desidera assegnare allo switch. Gateway predefinito: immettere l'indirizzo gateway predefinito per lo switch (Impostazioni indirizzo IPv4). Gestione VLAN: immettere l'ID gestione VLAN (Impostazioni indirizzo IPv4). Client DHCP: utilizzare la Barra spaziatrice per attivare o disattivare il client DHCP. Tipo di interfaccia: selezionare il tipo di interfaccia, LAG, VLAN o GE (Aggiunta indirizzo IPv4). Numero interfaccia: immettere il numero dell'interfaccia (Aggiunta indirizzo IPv4).
Tabella Indirizzo IPv4

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP Nella tabella Indirizzo IP vengono visualizzati gli indirizzi IPv4 in Livello 3. Elimina/Mantieni: utilizzare la BARRA SPAZIATRICE per spostarsi tra Elimina e Mantieni. Quando l'azione viene eseguita, questa voce agisce in base alla selezione.
318

20
Configurazione indirizzo IPv6

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione indirizzo IPv6 Utilizzare il menu Configurazione indirizzo IPv6 per configurare l'indirizzo IPv6 dello switch.
Attivazione interfaccia IPv6

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione indirizzo IPv6 > Attivazione interfaccia IPv6 Utilizzare Attivazione indirizzo IPv6 per selezionare l'interfaccia IPv6.
Impostazioni indirizzo IPv6

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione indirizzo IPv6 Utilizzare l'opzione Impostazioni indirizzo IPv6 per configurare l'indirizzo IPv6 per ogni interfaccia dello switch. Indirizzo IPv6: il dispositivo supporta un'interfaccia IPv6. Oltre agli indirizzi locali collegamento predefiniti e multicast, lo switch aggiunge automaticamente all'interfaccia anche indirizzi globali, sulla base degli annunci router ricevuti. Il dispositivo supporta un massimo di 128 indirizzi nell'interfaccia. Ciascun indirizzo deve essere un indirizzo IPv6 valido, indicato in formato esadecimale da valori a 16 bit separati da due punti. Lunghezza prefisso: la lunghezza del prefisso dell'IPv6 globale, espresso da un valore decimale da 0-128 che indica il numero di bit contigui pi significativi che formano il prefisso dell'indirizzo (la parte dell'indirizzo che indica la rete). Tipo di interfaccia: indirizzo IPv6, tipo di interfaccia (VLAN, LAG, FE, GE)
Tabella Indirizzo IPv6

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP>Configurazione indirizzo IPv6>Tabella Indirizzo IPv6 Nella tabella Indirizzo IPv6 vengono visualizzati gli indirizzi per ogni interfaccia.
319

20
Tunnel ISATAP IPv6

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione indirizzo IPv6 > Attivazione ISATAP IPv6 Utilizzare l'opzione Tunnel ISATAP per attivare e configurare i parametri Tunnel ISATAP IPv6. Per ulteriori informazioni, vedere la sezione Definizione di un'interfaccia IPv6 del capitolo Configurazione delle informazioni sull'IP.
Visualizzazione interfaccia ISATAP IPv6

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione indirizzo IPv6 > Visualizzazione interfaccia ISATAP IPv6 Nell'opzione Visualizzazione interfaccia ISATAP vengono visualizzate le informazioni sul Tunnel ISATAP attivo.
Gateway predefinito IPv6

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione indirizzo IPv6 > Gateway predefinito IPv6 Utilizzare l'opzione Gateway predefinito IPv6 per attivare o disattivare e specificare l'interfaccia che funzioner da gateway predefinito IPv6.
Configurazione HTTP
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione HTTP Utilizzare l'opzione Configurazione HTTP per attivare o disattivare il server HTTP e impostare il numero di porta del server HTTP.
Configurazione HTTPS
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione HTTPS Utilizzare l'opzione Configurazione HTTPS per attivare o disattivare il server HTTPS, impostare il numero di porta del server HTTPS o controllare lo stato del certificato HTTPS.
320

20
Configurazione della rete

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP Utilizzare il Network Configuration Menu per configurare le seguenti opzioni: Ping <IPv4> Ping <IPv6> TraceRoute IPv4 TraceRoute IPv6 Sessione Telnet
Ping IPv4
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione di rete > Ping IPv4 Utilizzare l'opzione Ping IPv4 per immettere l'indirizzo IPv4 da verificare. Selezionare Esegui per avviare il test. I risultati ping vengono visualizzati nei campi Stato e statistiche.
Ping IPv6
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione di rete > Ping IPv6 Utilizzare l'opzione Ping IPv6 per immettere l'indirizzo IPv6, il tipo di interfaccia (VLAN, LAG, FE, GE) e il numero ID interfaccia da verificare. Selezionare Esegui per avviare il test. I risultati ping vengono visualizzati nei campi Stato e statistiche.
TraceRoute IPv4
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione di rete > TraceRoute IPv4 Utilizzare l'opzione TraceRoute IPv4 per immettere l'indirizzo IPv4 del route di rete di cui si desidera ottenere una traccia. Selezionare Esegui per avviare il test. I risultati verranno visualizzati nel campo Stato. Una volta completato il test del traceroute, vengono visualizzati l'indirizzo IP, lo stato e informazioni statistiche del test.

20
TraceRoute IPv6
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione di rete > TraceRoute IPv6 Utilizzare l'opzione TraceRoute IPv6 per immettere l'indirizzo IPv6 del route di rete di cui si desidera ottenere una traccia. Selezionare Esegui per avviare il test. Traceroute visualizza l'indirizzo IP, lo stato e informazioni statistiche del test nei campi Stato e risultati.
Sessione Telnet
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Configurazione di rete > Sessione Telnet Utilizzare Configurazione Sessione Telnet per immettere l'indirizzo IP della posizione che si desidera raggiungere utilizzando una connessione Telnet.
Route predefinito IPv4 (solo dispositivi Livello 3)

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Configurazione IP > Route predefinito IPv4 Utilizzare Route predefinito IPv4 per impostare Indirizzo IP del passaggio successivo dello switch.
Gestione di file
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Gestione di file Utilizzare il menu Gestione di file per caricare o scaricare file o modificare l'Immagine attiva. Aggiornamento/Backup <IPv4> Aggiornamento/Backup <IPv6> Immagine attiva
Ci sono due immagini firmware, Immagine 1 e Immagine 2, memorizzate nello switch. Una delle immagini viene identificata come l'immagine attiva e l'altra viene identificata come l'immagine inattiva. Lo switch viene avviato dall'immagine impostata come l'immagine attiva.
322

20
Quando si aggiorna il firmware, la nuova immagine sostituisce sempre l'immagine identificata come l'immagine inattiva. Dopo aver caricato il nuovo firmware nello switch, lo switch continua ad avviarsi utilizzando l'immagine attiva (la vecchia versione) fino a quando lo stato della nuova immagine non viene modificato in immagine attiva. possibile cambiare l'immagine identificata come l'immagine inattiva nell'immagine attiva utilizzando la procedura nella sezione Immagine attiva.
Aggiornamento/Backup <IPv4>
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Gestione di file > Aggiornamento/Backup<IPv4> Utilizzare Aggiornamento/Backup<IPv4> per caricare e scaricare file, ad esempio file di configurazione di avvio, di avvio o di immagine tramite un server TFTP.
Aggiornamento/Backup <IPv6>
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Gestione di file > Aggiornamento/Backup<IPv6> Utilizzare Aggiornamento/Backup<IPv6> per caricare e scaricare file, ad esempio file di configurazione di avvio, di avvio o di immagine tramite un server TFTP. Per scaricare un nuovo codice di avvio e una nuova immagine, eseguire le seguenti operazioni:
PASSAGGIO 1 Se necessario, scaricare il nuovo codice di avvio. NON RIAVVIARE IL
DISPOSITIVO. Impostare il File di origine su TFTP e il File di destinazione su avvio utilizzando la BARRA SPAZIATRICE per modificare i valori. Nome file il nome del file di avvio da scaricare. Indirizzo IP l'indirizzo IP del server TFTP.
PASSAGGIO 2 Se necessario, scaricare la nuova immagine firmware. Impostare il File di origine
su TFTP e il File di destinazione su immagine utilizzando la BARRA SPAZIATRICE per modificare i valori. Nome file il nome del file di immagine da scaricare. Indirizzo IP l'indirizzo IP del server TFTP.
PASSAGGIO 3 Modificare l'immagine attiva utilizzando il menu Immagine attiva. PASSAGGIO 4 Riavviare lo switch.
323

20
Immagine attiva
Percorso: Menu principale dello switch > Menu di configurazione del sistema > Gestione di file > Immagine attiva Nella schermata Immagine attiva viene indicato e configurato se attiva Immagine1 o Immagine 2 e la versione del firmware associata all'immagine.
Elimina Configurazione di avvio

Eliminare la Configurazione di avvio. Percorso: Menu principale dello switch > Menu di configurazione del sistema > Elimina Configurazione di avvio Se lo switch viene riavviato, viene reimpostato sui parametri predefiniti di fabbrica. Digitare Y per eliminare la configurazione oppure N per annullare.
Riavvio con impostaz predefinite di fabbrica

Riavvio con impostaz predefinite di fabbrica eliminer la Configurazione di avvio e riavvier lo switch. Le impostazioni non salvate in un file vengono perse dopo la selezione di questa azione. Se in un server TFTP c' una configurazione, lo switch la scarica. Percorso: Menu principale dello switch > Menu di configurazione del sistema > Ripristino con impostaz predefinite di fabbrica Per ripristinare le impostazioni predefinite dello switch, selezionare Ripristino con impostaz predefinite di fabbrica e premere Invio. Verr richiesto se si desidera continuare. Digitare Y per ripristinare le impostazioni predefinite dello switch oppure digitare N per annullare.
Riavvio del sistema

Percorso: Menu principale dello switch > Menu di configurazione del sistema > Riavvio del sistema Selezionare Riavvio del sistema e premere Invio per riavviare lo switch. Verr richiesto se si desidera continuare. Digitare Y per riavviare lo switch oppure N per annullare.
324

20
Stato delle porte

Percorso: Menu principale dello switch > Stato delle porte Nell'opzione Stato delle porte del Menu principale dello switch viene visualizzato lo stato delle porte degli switch senza PoE. Nell'opzione Stato delle porte del Menu principale dello switch per gli switch con PoE viene visualizzato il Menu dello stato delle porte che include le opzioni Stato delle porte e Stato PoE. Utilizzare Configurazione delle porte e Configurazione PoEper modificare la configurazione delle porte.
Stato delle porte

Percorso: Menu principale dello switch > Stato delle porte > Menu Stato delle porte > Stato delle porte In Port Status vengono indicati i numeri delle porte, lo stato di attivazione, lo stato del collegamento, la velocit e lo stato di controllo del flusso (il flusso delle trasmissioni di pacchetti) delle porte non PoE. Vengono visualizzate dodici porte contemporaneamente. Utilizzare i tasti freccia per scorrere su o gi l'elenco.
Stato PoE
Percorso: Menu principale dello switch > Stato delle porte > Stato PoE Stato PoE: indica lo stato delle porte PoE.
Configurazione delle porte

Percorso: Menu principale dello switch > Configurazione delle porte Utilizzare il Menu Configurazione delle porte per cambiare la Configurazione delle porte e la Configurazione PoE.
Configurazione delle porte

Percorso: Menu principale dello switch > Menu di configurazione delle porte > Configurazione delle porte Utilizzare l'opzione Configurazione delle porte per cambiare i parametri delle porte non PoE. possibile attivare o disattivare le porte, attivare o disattivare Negoziazione automatica, impostare la velocit e duplex (Auto, 10H, 100H, 10F, 100F, 1000F) e impostare Controllo del flusso (Attivo, Inattivo o Automatico). Vengono visualizzate dodici porte contemporaneamente. Utilizzare i tasti freccia per scorrere su o gi l'elenco.
325

20
Configurazione PoE
Percorso: Menu principale dello switch > Menu di configurazione delle porte > Configurazione PoE Utilizzare Configurazione delle porte per cambiare i parametri PoE nelle porte PoE. possibile impostare la Priorit porte (Bassa, Alta o Critica), attivare PoE, disattivare PoE e impostare Distribuzione alimentazione (in mW).
Modalit di sistema
Percorso: Menu principale dello switch > Modalit di sistema Utilizzare Modalit di sistema per impostare lo switch su Livello 2 o Livello 3.
Guida
Percorso: Menu principale dello switch > Guida Selezionare Guida per visualizzare le informazioni su come spostarsi tra le opzioni nell'interfaccia da console.
Disconnessione
Percorso: Menu principale dello switch > Disconnessione Selezionare Esci per terminare la sessione della console corrente.
326
CCDE, CCENT, CCSI, Cisco Eos, Cisco HealthPresence, Cisco Ironport, the Cisco logo, Cisco Lumin, Cisco Nexus, Cisco Nurse Connect, Cisco Stackpower, Cisco StadiumVision, Cisco TelePresence, Cisco Unified Computing System, Cisco WebEx, DCE, Flip Channels, Flip for Good, Flip Mino, Flip Video, Flip Video (Design), Flipshare (Design), Flip Ultra, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn, Cisco Store, and Flip Gift Card are service marks; and Access Registrar, Aironet, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient, IOS, iPhone, iQuick Study, IronPort, the IronPort logo, LightStream, Linksys, MediaTone, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise, The Fastest Way to Increase Your Internet Quotient, TransPath, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries. All other trademarks mentioned in this document or website are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (0907R)
2010 Cisco Systems, Inc. Tutti i diritti riservati.
78-19308-01

AG Cisco Sx300Italian

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AG Cisco Sx300Italian

Uploaded by

Copyright:

Available Formats

GUIDA ALL'AMMINISTRAZIONE

Configurazione rapida dello switch Esplorazione della finestra

Capitolo 2: Visualizzazione delle statistiche

Capitolo 3: Gestione di log di sistema

Capitolo 4: Gestione dei file di sistema

Capitolo 5: Informazioni amministrative e operazioni generali

Capitolo 6: Ora di sistema

Capitolo 7: Gestione diagnostica del dispositivo

Capitolo 8: Configurazione del rilevamento

Capitolo 9: Gestione porte

Configurazione delle impostazioni LAG Configurazione del LACP

Capitolo 10: Gestione dei dispositivi Power-over-Ethernet

Capitolo 11: Gestione VLAN

Configurazione delle propriet della VLAN vocale

Capitolo 12: Configurazione del protocollo Spanning Tree Protocol

136 138 140 141 142 143 144

Capitolo 13: Gestione tabelle Indirizzi MAC

Definizione di Indirizzi MAC riservati

Capitolo 14: Configurazione dell'Inoltro multicast

156 158 160 162 165 167 168 170 171

Capitolo 15: Configurazione delle informazioni sull'IP

190 191 191 192

Configurazione dell'ARP Domain Name Systems

Capitolo 16: Configurazione della protezione

Configurazione dei parametri RADIUS

Autenticazione di accesso a gestione Profili di accesso

215 217 218 220

Blocco degli attacchi DoS

Capitolo 17: Controllo di accesso

ACL basati su IPv4

ACL basati su IPv6

Definizione di un binding di ACL

Capitolo 18: Configurazione della Qualit del servizio

Configurazione del QoS

Modalit QoS di base

Modalit avanzata QoS

Gestione delle statistiche QoS

Capitolo 19: Configurazione SNMP

291 292 293 295 296 298 301 301

Filtri per le notifiche SNMP

Capitolo 20: Interfaccia menu Console

Connessione tramite l'utilizzo di un'applicazione di emulazione del terminale 307

310 311 312

317 319 321 322 325 325 326 326 326

Avvio dell'utilit di configurazione dello switch basata sul Web

Lancio dell'utilit di configurazione

indirizzi del browser, poi premere Invio. Si apre la Login Page.

Quando il tentativo di accesso riesce, si apre la pagina di introduzione.

Configurazione rapida dello switch

Collegamenti nella pagina di introduzione (Continua) Categoria Accesso rapido

Esplorazione della finestra

Collegamenti all'applicazione Nome collegamento all'applicazione Descrizione

Indica un campo obbligatorio.

Visualizzazione dell'interfaccia Ethernet

Visualizzazione delle statistiche

Per visualizzare le statistiche Ethernet, attenersi alla seguente procedura:

Visualizzazione delle statistiche

Visualizzazione delle statistiche Etherlike

Visualizzazione delle statistiche

Visualizzazione delle statistiche GVRP

Visualizzazione delle statistiche

Visualizzazione delle statistiche 802.1X EAP

Visualizzazione delle statistiche

Visualizzazione dell'utilizzo di TCAM