Документ содержит обзор новых функций коммутаторов Cisco Catalyst серии 2к-4к, включая лицензирование, возможности автоматизации и улучшенные функциональные характеристики. Подробно рассматриваются различные модели и их технические параметры, а также поддержка функций, таких как flexible netflow и управление с помощью Cisco Smart Operations. Документ также описывает управление конфигурацией и способы мониторинга сетевого трафика.

1. Коммутаторы Cisco Catalyst 2К-4К
что нового?
Григорий Яковлев
gyakovle@cisco.com
Системный инженер Cisco

2. Содержание
Портфолио фиксированных коммутаторов
Лицензирование и ios
Коммутаторы 4500/4500х
Cisco Smart Operations
Как создают новое оборудование
2

3. Портфолио фискированных коммутаторов Catalyst 2K/3K
Stackable 3000 Standalone 3000
Catalyst 2900 Series Catalyst Compact
Series Series
Current: Current: Stackable: Layer 3:
3750-X Series 3560-X Series 2960-S Series 3560C Series
3750V2 Series 3560V2 Series
Standalone: Layer 2 :
EoS: EoS: 2960 Series 2960C Series
3750-E Series 3560-E Series EoS: Prev Gen:
3750G Series 3560G Series 2975 Series 3560-E 8 and 12
3750V1 Series 3560V1 Series port Series
Модули Модули Крепление на стену
C3KX-NM-1G C3KX-NM-10GT C3KX-SM-10G C2960S-STACK
3

4. Коммутаторы Catalyst 3750-X и 3560-X
Возможности Снижение операционных
StackWise Plus и StackPower усилий
Модули для аплинков Автоматизация
Hot-swappable питание и стек Защита инвестиций
Высовая плотность PoE+ Расширенная гарантия
Flexible NetFlow
MACsec
Самый
популярный ? МЛРД портов Более 7 млн Лидер в Минимальный
коммутатор для инсталляций индустрии TCO
стека
Лучший стекируемый коммутатор в индустрии
4

5. Сервисные модули – 3750X/3560X
C3KX-SM-
10G
Сервисные модули для 3750x для 3560x
– Hot swappable, Plug-and-play
Поддержка Flexible Netflow (FNF)
– На аппаратном уровне
Поддержка MACSec (802.1ae)
- работает на уровне коммутатор-коммутатор
– Впервые на уровне доступа(3750x/3560x)
•
• Два аплинка
5

6. Коммутаторы Catalyst 2960-S
Возможности Эксплуатация
FlexStack Расширенная гарантия
PoE на всех портах Порты Auto Smart
Поддержка PoE+
Поддержка 1/10G uplinks
Уменьшение потребления
питания
Простота в 20Mлн 500K+ Поддержка Green
эсплуатации портов коммутаторов Energy TCO
Лучшее соотношение цена/качество
6

7. Новая модель Catalyst 2960S-F
• 24/48 портов 10/100, SFP на аплинках
• Cross-stacks с другими 2960S
• Поддерэка РоЕ/PoE+
• Низкое потребление энергопитания
Расширение портфолио свичей для FE

8. Коммутаторы Catalyst Compact
Возможности Эксплуатация
Возможности питания от Zero-touch deployment
PoE(+)/ UPoE Auto Smart Ports
Pass through PoE для Enhanced Limited Lifetime
оконечных устройств Warranty
Uplink & Downlink Data
Encryption
12 моделей Полный спектра
8 или 12 –ти бесшумные Единый дизайн (CISCO возможностей
портовые (FANLESS) NETWORK) CAPABILITIES
модели
Идеальный выбор для Школ, Конференц-залов, Отелей и т.д...
8

9. LAN Lite и LAN Base - отличия
Catalyst 2960, 2960-S
Functionality LAN Lite LAN Base
• Entry-level Access Layer 2 • Enterprise Access Layer 2
Basic L2 access features including 802.1Q trunking, (M)STP, Wide range of L2 access features for enterprise deployments,
Layer 2 STP extensions, CDP, DTP, UDLD, VTPv2, PAGP/LACP, LLDP, including FlexLinks, VTPv3, LLDP MED
Storm control
• No Routing Support • 16 static IPv4 routes on SVIs
Layer 3 Support for L3 management interface
• Entry-level Manageability • Basic Manageability
Express Setup, Cisco Device Manager, SNMPv3 (w/crypto), Support for a wider range of MIBs, IPSLA Responder, RSPAN
Manageability RMON, SPAN, TDR, Auto Smart Ports, Smart Install client
• Entry-level Access Security • Enterprise Access Security
SSH v2 server, SSL, HTTPS, SCP, TACACS+, RADIUS, Port IPSG, DAI, PACLs, Cisco Identity 4.0, NAC and 802.1x features
Security Security, 802.1x (w/ Guest VLAN), MAB, Private VLAN Edge,
DHCP Snooping
• Entry-level Access QOS • Enterprise Access QOS
QoS Ingress and egress queuing, Scheduling, Priority queuing, SRR Ingress policing, Trust Boundary, AutoQOS, DSCP mapping
9

10. LAN Base и IP Base and IP Services - Сравнение
Catalyst® 3750-X Catalyst 3750v2 and Catalyst
and Catalyst 3560-X 3560v2
Functions LAN Base IP Base IP Services
• Enterprise access Layer 2 • Complete Access Layer 2
Wide range of Layer 2 access features for Supports all Cisco Catalyst 2000 and Catalyst 3000 Layer 2 features, including hot standby
Layer 2+ enterprise deployments protocols; supports Cisco StackPower™ technology (Cisco Catalyst 3750-X)
• 16 IPv4 static routes on SVI • Enterprise access Layer 3 • Complete access Layer 3
RIP, static and stub PIM, and EIGRP, OSPF EIGRP, BGP, IS-IS
Layer 3 for routed access VRF-lite, WCCP, and PBR
• Basic manageability • Enterprise access Layer 3 • Complete access Layer 3
Manageability Support for a wide range of MIBs, IPSLA Gold-Lite and Smart Install Director, EEM IPSLA Initiator
Responder, and RSPAN
• Enterprise access security • Complete access security
DHCP Snooping, IPSG, DAI, PACLs, Cisco Router and VLAN ACLs, private VLANs, complete identity and security, TrustSec SXP, and
Security Identity 4.0, NAC and 802.1x features IEEE 802.1AE (Cisco Catalyst 3560-X and Catalyst 3750-X)
• Enterprise access QoS • Complete access QoS
QoS Ingress policing, Trust Boundary, AutoQoS, and Support for all Cisco Catalyst 2000 and Catalyst 3000 QoS features, including per-VLAN
DSCP mapping policies
10

11. Возможности стекируемого свича
Catalyst 3750
• Управление по одному IP адресу
• Can connect all switches in a physical ring topology
 Отказоустойчивая топология (кольцо)
 Автоматический апгрейл IOS
 Automatic configuration of new members
 Автоматическое конфигурирование замененного свича
 Милисекундные схождения
 Cross-stack возможности (Etherchannel и QoS)
 Стек по питанию
11

12. Стек на основе LAN Base
Внимание: Нельзя использовать коммутаторы с разным IOS Feature Set
• Поскольку нельзя выполнять одни и те же задачи на разных IOS feature set
Нет HW шифрации, нет поддержки Stackpower
• Catalyst 3750X с версией LAN Base feature можно стековать только с такими
же коммутаторами
Common mistake…Don’t call TAC..!
– Stacking LAN Base models with IP Base / IP Services
12

13. Возможности стекируемого свича
Catalyst 2960 – Flex stack
• Пропускная способность – 20 Gbps
• До 4-х участников в стеке
• Не «кольцо»– коммутация HOP by HOP
13

14. Апгрейд IOS Code на коммутаторах
 Можно произвести апгрейд IOS, используя .bin или .tar files
 Рекомендации: .tar файл (автоматическая процедура)
archive download-sw <IOS Image path>.tar (Коммутатор )
archive download-sw <IOS Image path>.tar <SM Image path>.tar (Коммутатор с
сервисным модулем)
14

15. Типы программных лицензий
Возможно на серии X как часть универсального имиджа
Постоянные Временные
лицензии лицензии
 предустановленны  60 дней
 Управляются Cisco  Типы
License Manager • Embedded
evaluation license
• Extension License
• Grace Period
License
После того как время вышло, свич продолжает
использовать временную лицензию до перезагрузки
15

16. Лицензии на коммутаторах
• Как просмотреть тип лицензии:
– Посмотреть на наименование файлов
– Включить детальный режим
– Включить debug режим
show license file [switch <switch_id>]
show license status [switch <switch_id>]
show license detail <feature_name> [switch
<switch_id>]
show license udi
debug license <events | all | errors>
16

17. Можно самостоятельно включить Evaluation License!
Minimum IOS 12.2(46)SE
Switch# license boot level ipservices
Supported license levels are:
ipservices
ipbase
PLEASE READ THE FOLLOWING TERMS CAREFULLY. INSTALLING THE LICENSE OR
LICENSE KEY PROVIDED FOR ANY CISCO PRODUCT FEATURE OR USING SUCH
PRODUCT FEATURE CONSTITUTES YOUR FULL ACCEPTANCE OF THE FOLLOWING
TERMS. YOU MUST NOT PROCEED FURTHER IF YOU ARE NOT WILLING TO BE BOUND
BY ALL THE TERMS SET FORTH HEREIN.
You hereby acknowledge and agree that the product feature license is terminable and that the product feature enabled by such license may be shut
down or terminated by Cisco after expiration of the applicable term of the license (e.g., 30-day trial period). Cisco reserves the right to terminate or shut
down any such product feature electronically or by any other means available. While alerts or such messages may be provided, it is your sole responsibility
to monitor your terminable usage of any product feature enabled by the license and to ensure that your systems and networks are prepared for the shut down
of the product feature. You acknowledge and agree that Cisco will not have any liability whatsoever for any damages, including, but not limited to, direct,
indirect, special, or consequential damages related to any product feature being shutdown or terminated. By clicking the "accept" button or typing "yes" you are
indicating you have read and agree to be bound by all the terms provided herein.
ACCEPT? (yes/[no]):
*Apr 2 02:04:08.604: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL:
Module name = c3750e Next reboot level = ipservices and License = ipservices 17

18. Содержание
Портфолио фиксированных коммутаторов
Лицензирование и ios
Коммутаторы 4500/4500х
Cisco Smart Operations
Как создают новое оборудование
1

19. Catalyst 4500-X
Лучший среди L2 / L3 коммутаторов
Возможности: Эксплуатация:
Flexible NetFlow До 40 10GE и возможности L2 or L3
Easy Virtual Network (EVN) Модули: 8-портовый 10GE SFP+
IOS XE Open Application Platform Два блока питания
(Wireshark)
Пять вентиляторов
Medianet
IP SLAs
800Gbps Малые размеры Широкие возможности Лидер в
Производительность 1 RU x 21” Deep L2 to L3 Enterprise индустрии
Идеальный выбор для агрегации 10GE
19

20. Catalyst 4500-X IOS XE - лицензирование
• 4500 Universal Image IOS XE 3.3 SG
IP BASE Enterprise Services
ISSU
Auto QoS SSO/NSF BGPv4
Energywise Medianet IS-IS v4, v6
UPOE EIGRP Stub EIGRP, v4, v6
Flexlink OSPF for Routed Access OSPF v2/v3
IGMP/MLD Snooping QinQ PBR
Rapid-PVST+ IP SLA Responder VRF-Lite / EVN
IEEE 802.1x Network Mobility Services Medianet; IP-SLA VO
Smartports Flexible NetFlow Multicast VRF-Lite
PACL/VACL PIM Stub Routing * roadmap
BFD*
Embedded Event Manager Multicast Routing
HSRP/GLBP/VRRP
20

21. VSS на Catalyst 4500/4500X
Campus
Si Si
VSS будет поддерживаться на Sup7-E/SUP7L-
E/C4500X
VSS
• Поддержка на E-series (R или non-R)
VSL на 1G & 10G: аплинках
 Поддержка Layer2 MEC
Поддержка Inter-Chassis SSO/NSF и ISSU

22. Catalyst 4500-X – Производительность и масштабирование
Feature Catalyst 4500-X (1RU Compact Switch)
Switching Capacity 800 G-bps
(limited by max front panel ports)
Throughput 250 Mpps IPv4
(125 Mpps for IPv6)
Bandwidth / Slot NA
CPU Dual Core 1.5 GHz
Egress Buffer 32 MB
Number of Packet buffers 128K
DRAM 4G Actually MORE than a 4500-Super 7E
Bootflash 2G
Number of 1GE ports 16/32 ports + 8 port module (All SFP/SFP+)
Number of 10GE ports 16/32 ports + 8 port module (All SFP)
22

23. Использование netflow
Мониторинг пропускной способности
• Кто «ест» наши ресурсы?
• Нужен ли мне апгрейд?
• Где проблемы?
Отчет по пользователям
 Кто играет или скачивает файлы?
 Какой трафик занимает большую часть сети?
 Как ээто влияет на стоимость?
Отчет по серверам
 Кто самый популярный?
 Какая полоса пропускная?
Отчет по безопасности
 Кто подвергся атаке?
 Кто атакует?
 Кто пытается пользоваться неправильными ресурсами?

24. Catalyst 4500-X Flexible NetFlow
Day 0 Attacks SLA
Возможность Detect Anomaly App. M&T Возможность
видеть трафик упралять с
Compliance Capacity Planning
помощью EEM
Catalyst 4500E Flexible NetFlow
TCP L2 L2 UDP IP
IP, Ports
Flags MAC VLAN Flags
IPv6
Options
Multicast …
филиал
Mobility, Unified Communications, Network Virtualization
Collector
Уменьшение CAPEX Ecosystem
Catalyst 4500-X Возможности
- Инструмент для планирования сети  Возможность «видеть» поля на уровнях
(модернизация и развитие) L2~7 f
 Уменьшение OPEX:  Гибкое создание темплейтов для FNF
- Инструмент для мониторинга (flexible flow monitors)
- увеличение продуктивности работы
 Создание собственных политик
безопасности с использованием FNF и EEM
24

25. Flexible NetFlow : видимые поля для анализа
Interface IPv4 IPv6 Transport
Input Source IP address Source IP address ICMP Code
Destination IP address Destination IP address ICMP Type
Layer 2 IGMP Type
Protocol Protocol
Dot1q priority TCP Source Port
Precedence Traffic Class
Dot1q Vlan ID TCP Destination Port
DSCP Flow Label
Source MAC address
UDP Source Port
TTL Total Length
Destination MAC address UDP Destination Port
Total Length Extension Headers**
DSCP
Next-header*
Hop-Limit
Is-multicast

26. Возможности Wireshark
.
• Wireshark как отдельный IOS процесс
• Фильтр для мониторинга
• Фильтр для просмотра
• Сохранение пакетов в PCAP для
дальнейшей переправки на удаленный
TFTP/SSH сервер
• Одновременный захват пакетов по
нескольким сессий

27. Как просмотреть содержимое
Switch# show monitor capture file bootflash:mycapture.pcap
1 0.000000 192.85.1.3 -> 192.85.1.4 UDP Source port: 1024 Destination port: 28960
2 0.000000 192.85.1.3 -> 192.85.1.4 UDP Source port: 1024 Destination port: 28960
3 0.000000 192.85.1.3 -> 192.85.1.4 UDP Source port: 1024 Destination port: 28960
4 0.000000 192.85.1.3 -> 192.85.1.4 UDP Source port: 1024 Destination port: 28960
• DSwitch# show monitor capture file bootflash:mycapture.pcap dump
0000 00 00 94 00 00 04 00 00 94 00 00 03 08 00 45 c0 ..............E.
0010 05 1e 0f 28 00 00 ff 11 24 35 c0 55 01 03 c0 55 ...(....$5.U...U
0020 01 04 04 00 71 20 05 0a db 21 00 00 00 00 00 00 ....q ...!......

28. Содержание
Портфолио фиксированных коммутаторов
Лицензирование и ios
Коммутаторы 4500/4500х
Cisco Smart Operations
Как создают новое оборудование

29. Cisco Catalyst Smart Operations
ISR or 3K (“Director”),
4K, 6K Roadmap
Smart Install Auto Smart Ports Smart Call Home
Zero Touch РАзвертывание Plug and Play для Оконечных Быстрое определение проблем
устройств
Подсоединение Нового Подсоединение нового Автоматическое определение
коммутатора устройства Проактивная диагностика
Port Configuration: Applied В реальном режиме времени
Загрузка IOS Software image;
QoS Policy: Enforced Web- отчет
Автоматическое применение
Security Policy: Enforced Обращение в TAC
конфигурационного файла
Открытие кейса
29

30. Smart Install – Основные параметры
Step 1 – ENABLE THE DIRECTOR
Director# configure terminal
vstack director 10.0.0.33
ISR or 3K New switch is connected
vstack basic
(“Director”)
Software image is & CONFIG using built-in group (uses external
Step 2 – Specify IMAGE
Access downloaded
TFTP server)
Switches Configuration automatically
vstack group built-in 2960 24
applied
image tftp://10.0.0.10/c2960-universal-tar.122-52.SE.tar
config tftp://10.0.0.10/2960-24-built-in config.txt
exit
Step 3 – Specify external DHCP server
interface Vlan1
ip address 10.0.0.33
ip helper-address 10.0.0.10 (points to existing external DHCP server)
ip helper-address 10.0.0.11
Возможность масштабирования ALTERNATIVELY … Enable DHCP server on the Director
vstack dhcp-localserver pool1 Quickly Identify
и использование технологии address-pool 10.0.1.0 255.255.0.0 and Resolve
default-router 10.0.0.33 Network Issues
ZERO TOUCH file-server 10.0.0.33
Exit
ip dhcp remember
end
30

31. Auto Smartports.
Перед тем как включить
Si
 Включение ASP по умолчанию применит политики ко
ВСЕМ портам
Проблемы : Может нарушить уже существуюшие
подключения к маршрутизатору и другим свичам
 Изменит политики на портах
 Может повлиять на соединения Ports go down
Решение:
 Отключить определение устройств на портах ASP enabled
 Отключить ASP на портах в сторону аплинков (в
сторону коммутаторов и маршрутизаторов)

32. ASP: Конфигурирование
1) Простая конфигурация на портах– Access vlan 11
2960s(config)#int range GigabitEthernet 1/0/1 – 48
2960s(config-if-range)#switchport access vlan 11
2960s(config-if-range)#switchport mode access
2) В этом примере ASP включена для определения
портов подключения Lightweight Access Points и IP
телефонов
2960s(config)#macro auto global control device phone lightweight -ap
В остальных случаях ASP не будет отрабатывать

33. ASP: Конфигурирование (продолжение)
3) Установить значение vlan для AP и IP телефонов
2960s(config)#macro auto device phone ACCESS_VLAN=11 VOICE_VLAN=10
2960s(config)#macro auto device lightweight-ap ACCESS_VLAN=11
4) Включить ASP
2960s(config)#macro auto global processing

34. Пример запускаемого Macro
interface $INTERFACE
macro description $TRIGGER
switchport access vlan $ACCESS_VLAN
switchport mode access
switchport block unicast
if [[ $AUTH_ENABLED -eq NO ]]; then
switchport voice vlan $VOICE_VLAN
fi
switchport port-security maximum 3
switchport port-security maximum 2 vlan access
switchport port-security
switchport port-security aging time 1
switchport port-security violation restrict
switchport port-security aging type inactivity
load-interval 30
auto qos voip cisco-phone
storm-control broadcast level pps 1k
storm-control multicast level pps 2k
storm-control action trap
spanning-tree portfast
spanning-tree bpduguard enable
ip dhcp snooping limit rate 15
34

35. Спасибо за внимание!
Просим Вас заполнить анкеты
Ваше мнение важно для нас