1. Unterlagen zur Schulung albanischer Lehrerim Bereich
Informationstechnologie: Trainingswoche 4
LAN- Switching and Wireless
Faik Nushi MSc.
Übersetzt von:
Edra Hoxha
Endi Sykja
Sead Lacej
Finanziert durch SwissContact – Swiss Foundation for Technical Cooperation.
Durchgeführt in Zusammenarbeit mit der HTL „Peter Mahringer“ in Shkodra.
2. LAN – Switching and Wireless
Përmbajtja
1
PROJEKTIMI I RRJETEVE LOKALE - LAN .............................................................................................. 4
1.1
ARKITEKTURA E LIDHJEVE LAN ................................................................................................................... 4
1.2
KOORDINIMI I SWITCHEVE PER FUNKSIONE SPECIFIKE TE LAN-IT ........................................................... 5
2
KONFIGURIMET DHE KONCEPTET BAZE TE SWITCHIT ................................................................. 8
2.1
PREZANTIM ME ETHERNET / 802.3 LANS ................................................................................................. 8
2.2
TRANSMETIMI I FRAMEVE DUKE PERDORUR SWITCH .............................................................................. 11
2.3
KONFIGURIMI I MENAGJIMIT TE SWICHIT ................................................................................................. 13
2.4
KONFIGURIMI I SIGURISË SË SWITCHIT ..................................................................................................... 19
2.5
SULMET E MUNDSHME NE SWITCH ............................................................................................................ 20
3
VLANS ............................................................................................................................................................ 26
3.1
HYRJE VLANS ............................................................................................................................................. 26
3.2
VLAN TRUNKING ....................................................................................................................................... 30
3.3
KONFIGURIMI I VLAN-VE DHE TRUNKS .................................................................................................. 31
4
VTP – PROTOKOLLI VIRTUAL TRUNK ............................................................................................... 34
4.1
KONCEPTET E VTP ..................................................................................................................................... 34
4.2
KONFIGURIMI VTP ..................................................................................................................................... 36
5
STP - SPANNING TREE PROTOKOLL ................................................................................................... 37
5.1
REDUNDANT LAYER 2 TOPOLOGIES ......................................................................................................... 37
5.2
HYRJA NË STP ............................................................................................................................................ 38
6
INTER - VLAN ROUTING .......................................................................................................................... 44
6.1
HYRJA - INTER-VLAN ROUTING ............................................................................................................... 44
6.2
KONFIGURIMI I INTER-VLANROUTING .................................................................................................... 45
6.3
TROUBLESHOOTING INTER-VLANROUTING ........................................................................................... 48
7
KONCEPTET BAZË TË WIRELESS DHE KONFIGURIMI .................................................................. 49
7.1
WIRELESS LAN ........................................................................................................................................... 49
7.2
KONFIGURIMI I AP ..................................................................................................................................... 52
7.3
SIGURIMI I WIRELESS LAN-IT ................................................................................................................... 54
7.4
KONFIGURIMI I AKSESIT NË WIRELESS LAN ............................................................................................ 57
7.5
ZGJIDHJA E PROBLEMEVE NË WLAN......................................................................................................... 60
8
DETYRAT NË LABOR ................................................................................................................................ 61
Faik Nushi MSc.
HTL-Shkoder
2
3. LAN – Switching and Wireless
8.1
KONFIGURIMI BAZE I SWITCHIT ................................................................................................................ 61
8.2
KONFIGURMI BAZE I VTP .......................................................................................................................... 70
8.3
SPANNING TREE PROTOCOL ...................................................................................................................... 79
8.4
ZGJIDHJA E PROBLEMIT NË SPANNING TREE PROTOCOL ......................................................................... 90
8.5
KONFIGURIMI I NJË INTER-VLAN ROUTING TRADICIONAL .................................................................... 92
8.6
KONFIGURIMI I ROUTERIT NE NJE STICK INTER-VLAN ROUTING ......................................................... 95
8.7
BAZAT E INTER-VLAN ROUTING .............................................................................................................. 99
8.8
KONFIGURIMI I WIRELESS LAN ACCESS ................................................................................................107
8.9
CHALLENGE WIRELESS WRT300N .......................................................................................................111
LISTA E TABELAVE.........................................................................................................................................118
LISTA E FIGURAVE .........................................................................................................................................119
Faik Nushi MSc.
HTL-Shkoder
3
4. LAN – Switching and Wireless
1 Projektimi i rrjeteve lokale - LAN
1.1 Arkitektura e lidhjeve LAN
Sipas hierarkise se Ciscos modelet LAN jane te klasifikuara ne tri shtresa:
Shtresa kryesore: transport i te dhenave me shpejtesi optimale
Shtresa e shperndarjes: zbatim i politikave psh. Filter, Firewall
Shtresa e aksesit: lejon hyrjen e perdoruesit ne rrjet.
Figura1: Arkitektura e lidhjeve ne LAN
Zgjedhja e switcheve L2 dhe L3 varet nga madhesia e rrjetit dhe kerkesave.
Rrjete shume te medha (> 1000 Hoste):
Shtresa kryesore: Cisco 4500, 6500
Shtresae shperndarjes: Cisco 3550, 3560, 3750, 4500, 6500
Shtresa e aksesit: Cisco 2950, 2960, 3560, 3750
Ne rrjete te mesme (100-1000 Hosts) shtresa kryesore dhe ajo e shperndarjes mund te
perputhen:
Shtresa kryesore: Cisco 3550, 3560, 3750
Shtresa e aksesit: Cisco 2950, 2960
Ne rrjete te vogla te treja shtresat mund te realizohen ne nje ose dy paisje psh. me
Faik Nushi MSc.
HTL-Shkoder
4
5. LAN – Switching and Wireless
Cisco 2950, 2960 (shtresa 2) ose 3550, 3560, 3750 (shtresa 3).
Avantazhet e nje modeli te tille qendrojne ne shkallezimin (neqoftese rrjeti rritet i
pergjigjet mjaft mire rrethanave Gneue), redundanca ( ne shtresen kryesore dhe
shperndarjes), performancen (pothujse „wired― – shpejtesia mesatare ne shtresen
kryesore dhe te shperndarjes), Sigurine ( sigurine e portave ne shtresat e aksesit dhe
te shperndarjes), menagjimi dhe mirembajtja.
Principet baze ne dizajnin e hierarkise:
Diametri i rrjetit (numri i paisjeve te rrjetit qe duhet te miratojne paketat) duhet te
jete sa me i vogel
Grumbullimi i gjeresise se brezit duhet te rrise prurjen; Paisjet Cisco e zgjidhin
kete problem me ane te EthernetChannel ku disa lidhje jane te kombinuara ne
nje kabell.
Figura2: Redundanca e lidhjeve
redundanca (Lidhje te shumta ndermjet paisjeve) rrit besueshmerine
1.2 Koordinimi i switcheve per funksione specifike te LAN-it
Per te bere zgjedhjen e sakte te switcheve perdorim nje analiz te Trafikut. Per kete
kemi nje larmi programesh nga firma te ndryshme(Orion 8.1 NetFlow Analysis von
Solarwinds, NetFlow Analyser von Adventnet, Flow Inspector von Caligari, ...). Nje rol
tjeter ne perzgjedhjen e switcheve luan edhe numri i lidhjeve te perdoruesve me
switchin (User Communities Analysis; Human Resources). Se fundmi, duhet te merren
parsysh edhe kerkesat qe mund te kemi ne te ardhmen. Ne fushen e „Data Stores and
Data Server Analysis" kemi konceptet SAN (Storage Area Network) dhe NAS (network
attaches Service). Pasi te jene bere te gjitha analizat, diagrama e topologjise mund te
na paraqese nje situate optimale te rrjetit.
Faik Nushi MSc.
HTL-Shkoder
5
6. LAN – Switching and Wireless
Figura3: Koordinimi i switcheve
Per zgjedhjen aktuale kemi Fixed Configuration Switches, modulare Switches dhe
stackable Switches. Switchet e para kane 24 ose 48 porta, modulare Switches mund
te kene me teper porta dhe stackable Switches (kryesisht te perdorura ne zonen
kryesore) jane te lidhur me kabllo te veçante backplane.
Figura4: Switcha te ndryshem
Persa i perket transemitimit te datave per porte, me perpara standarti ishte
100Mbps (FastEthernet), vetem se shpejtesia per zone ishte max 1Gbps. Lidhjet e
thjeshta ndermjet switcheve mund te nxjerrin probleme, per kete arsye mund te
grumbullojme lidhjet deri n 8 te tilla per te rritur shpejtesine deri ne 8Gbps. Por tashme
Faik Nushi MSc.
HTL-Shkoder
6
7. LAN – Switching and Wireless
ka edhe switche me porta qe transmetojne deri ne 10 Gbps. Per telefonat IP dhe
paisjet wireless po perdoren me se shumti ne switch PoE (Power over Etherent) dhe
Funksionalitete te shkalles se trete (Layer 3).
Switch te shkalles se aksesit (Access):
Keto bejne lidhjen me perdoruesit. Per te pasur nje rrjet modern ata duhet te kene
siguri porte, teknologji VLAN, Fast Ethernet ose Gigabit Ethernet. Grumbullimii lidhjeve
dhe PoE jane gjithashtu te nevojshme
Switch te shkalles se shperndarjes (Distribution):
Ata i transmetojne te dhenat nga paisjet e shkalles se aksesit tek switchi i shkalles
kresore. Ata mbeshtesin paisjet e shkalles se trete, Inter VLAN rouing, bejne lidhje
nepermjet politikave te (ACL) trafik-menagjim dhe dhe sigurise se rrjetit dhe
mundesojne llogaritjen e prioritetit nepermjet Quality of Service (QoS). Nje detyre e
rendesishme ne kete shkalle eshte zbatimi i rrugeve redundante. Nepermjet
Grumbullimit te lidhjeve ose portave 10Gbps nisen drejt shkalles kryesore nje sasi e
madhe te dhenash.
Switch i shkalles kryesore (Core):
Ata ndertojn shtyllen e rrjetit high-speed. Per kete arsye ata punojne me lidhje me
shpejtesi 10 Gbps dhe per shkak te perdorimit te vazhdueshem ne te shumten e
rasteve eshte e nevojshme redundanca.
Zusammenfassung:
Figura5: Switchat e ndryshem dhe funksionet e tyre
Faik Nushi MSc.
HTL-Shkoder
7
8. LAN – Switching and Wireless
2 Konfigurimet dhe konceptet baze te switchit
2.1 Prezantim me Ethernet / 802.3 LANs
Etherneti u zhvillua ne vitet 70 ne qendren e kerkimeve Xerox ne Palo Alto (Kaliforni)
dhe eshte sot gjeresisht i perdorur ne fushen LAN per shkallen e pare dhe te dyte.
Etherneti perdor CSMA/CD (Carrier Sense Multiple Access / Collision Detect) per
te dalluar perplasjet. Çdo stacion transmetimi pergjon linjen dhe kur e sheh qe ajo
eshte e lire fillon transmetimin. Gjate transmetimit stacion e pergjon linjen dhe
neqoftese diku ka perplasje, ndalon trasnmetimin, nis nje sinjal JAM dhe pas nje kohe
te caktuar pritjeje (back off Algorithmus) fillon edhe njehere nje transmtim te ri.
Figura6: Kollisionet ne rrjet
Karakteristikat ndikuese ne kete kontekst jane gjatesia e kabllit, Frame, gjatesia dhe
shpejtesia e perhapjes se sinjaleve elektike ne kabllo.
Etherneti njeh 3 lloje transmetimi: Unicast, Broadcast, Multicast
Figura7: Llojet e transmetimit në Ethernet
Faik Nushi MSc.
HTL-Shkoder
8
9. LAN – Switching and Wireless
Paketa frame ne nje Ethernet ka max. 1518 Byte (18 Byte Informacionet ne Header,
max. 1500 Byte Data). Preamble dhe SFD perdoren per sinkronizimin.
Figura8:Informacionet që përmban njëFrame
Nje element i adreses eshte adresa MAC (6 Byte, 3 Bytet e pare jane OUI). Paraqitja :
00-05-9A-3C-78-00 ose 00:05:9A:3C:78:00 ose 0005.9A3C.7800.
Cilesimet e duplex
Ne punen e gjysem dupleksit mundet qe ne nje lidhje te vetme te transmetohet nga te
dy krahet e saj por jo njekohesisht. Ne punen e dupleksit te plote mund te
transmetohet nga te dy krahet njekohesisht. Neve na nevojiten dy çifte linjash dhe
perftojme nje lidhje pike per pike pa perplasje. Kur perdorim gjysem dupleks mund te
kemi edhe perplasje per kete arsye qarku i njohjes te perplasjeve tek karta e rrejtit
eshte e ndezur. Ne punen e dupleksit te plote njohesi i perplasjeve i fikur. Neqoftese
ndonje karte rrjeti punon ne modulin gjysem dupleks edhe switchi duhet te punoje ne
kete modul. Ne thelb, si ne NIC ashtu edhe ne switch kemi cilesimet auto, gjysem, e
plote. Me auto-negocim portat e zgjedhin vete modulin me te mire.
Switchat e Ciscos pas IOS 12.2 (18)SE punojne te gjithe me auto-MDIX, dhe sipas
kabllit te perdoru (straight through, crossover) zgjidhet moduli i lidhjes.
Domaini i perplasjes (Collision Domain)
Nga vet konzepti Ethernet eshte nje rrjet Broadcast, sipas te cilit kur nje stacion
transmeton, keto data shkojne ne te gjithe stacionet e tjera. Stacioni me MAC adresen
e sakte i perpunon keto te dhena ndersa stacionet e tjerai injorojne ato. Zona e nje
stacioni e cila perdoret edhe nga stacione te tjera, ne te cilen mund te ndodhin
perplasje quhet domaini i perplasjes. Ne Ethernetin klasik i gjithe rrjeti ishte nje domain
perplasjeje. Nje ritransmetues forcon sinjalin dhe mundeson transmetimin ne distanca
me te gjata, nje Hub eshte Multiport-Repeater. Ritransmetuesi dhe Hub jan paisje te
shkalles se pare, per kete arsye ata forcojne vetem sinjalet dhe analizojne
informacione te vogla. Perveq kesaj ata zmadhojn domainin e perplasjes gje e cila
normalisht nuk eshte e deshirueshme.
Ne nje Bridge ose nje Switch situata eshte ndryshe: keto paisje analizojne
informacionet dhe ruajne portin perkates dhe adresen MAC te transmetuesit ne nje
Faik Nushi MSc.
HTL-Shkoder
9
10. LAN – Switching and Wireless
tabele, tabela Bridging dhe tabela Switching, gjithashtu e quajtur tabela CAM (Content
Addressable Memory.
Kur vjen nje Frame ajo mund te ruhet me ane te nje lookup ne tabele, cila porte ka
cilen adrese MAC, dhe Frame-i mundet te niset nga kjo porte ne menyre shume
specifike. Ne rast te ndonje perplasjeje ne ate segment te linjes nuk transmetohet me
(per kete arsye zvogelohet doamini i perplasjes).
Doamini i Broadcast
Edhe pse switchat bazohen ne adresat MAC ne perpunimine datave, ato nuk
perpunojne ne broadcast. Nje rrjet i lidhur nepermjet bridges ose switches eshte
gjithmone nje domain broadcast i perbashket.
Figura9: Broadcast Domain
Domainet Broadcast zgjidhen nga paisjet e shkalles se trete (Router, Switch i shkalles
se trete).
Vonesat e rrjetit (Network Latency)
Kjo ndodh nga 3 faktore: nga NIC-u transmetues, nga shpejtesia e kufizuar e
perhapjes se sinjalit ne kabllo dhe nga paisjet e rrjetit (Hub, Switch, Router). Ne Switch
mund te kete vonesa shtese nga perdorimi i sigurise se portave, QoS dhe strategjite e
menagjimit te rrjetit.
Ne nje switch kryesor me 48 porta 1-Gbps (dupleks i plote) duhet te menaxhohet nje
mesatare prej 96 Gbps ne menyre qe te gjitha porta te furnizohen me shpejtesine e
perçuesit. Nje server me NIC 1 Gbps i cila ka 6 stacione me shpejtesi NIC 1 Gbps,
mund te transmetoje vetem167 Mbps per stacion.
Perveç kohes se voneses luan rol edhe koha e transmetimit. Ajo llogaritet si shumefish
i kohes se bitave (ne nje rrjet 10 Mbit – 100ns, ne nje rrjet lOOMbit 10 ns). Per 64 Byte
(Madhesia mesatare e nje Frame-i te Ethernet) koha e transimisionit eshte reth 50 |lis
dhe per 1518 Byte (Madhesia max. e nje Frame-i te Ethernet) eshte 1,2 ms.
Faik Nushi MSc.
HTL-Shkoder
10
11. LAN – Switching and Wireless
Segmentimi i LAN-it:
Ndertimet i domaineve te perplasjes ose domaineve broadcast e quajme segmentim te
rrjetit.
Figura10: Segmenitimi i LAN-it
2.2 Transmetimi i frameve duke perdorur switch
Metodat e transmetimit
Transmetimi i frameve mund te behet ne tre metoda te ndryshme:
store-and-forward:I gjithe frame-i merret, provohet dhe pastaj niset.
cut-through: Edhe para se te marrim proven(e cila ndodhet ne fund te frame-it) mund
te fillohet me transmetimin. Ne metoden e prerjes permes ka dy variante:
fastforward (te transmetohet menjehere pasi te merret adresa MAC) dhe fragment-free
(merren 64 bitet e para dhe pastaj transmetohet, kështu mund te shmangen edhe
„runts―(produktet e perplasjes)). Së fundi kemi edhe adaptiv-cut-through, ku normalisht
switchi perdor tekniken cut-through. Neqoftese kemi ndonje gabim perdorim tekniken
store-and-forward. Normalisht cut-through eshte me e shpejte se store-and-forward
por nuk ben kontroll per gabime. Cilesimi fillestar ne switchet Cisco eshte fragmentfree.
Permbledhje (Koka e shigjetes tregon nisjen-fillimin e frame-it)
Faik Nushi MSc.
HTL-Shkoder
11
12. LAN – Switching and Wireless
7
Figura11: Methodat e transmetimit
Switchi simetrik dhe asimetrik
Ne switchet simetrike te gjitha portat e switchit punojne me te njejten gjeresi brezi.
Ndonjehere kerkohet qe ndonje porte te kete gjeresi brezi me te madhe(psh. ne nje
server).
Ne kete rast kemi te bejme me switch asimetrik Ne nje sitate e tille kerkon gjithashtu
pretendime me te larta ne menagjimin e ruajtjes ne switch, sepse si pasoje e
shpejtesive te ndryshme frame-t duhet te ruhen nje here dhe pastaj kur te jete me e
pershtatshme te transmetohet.
Metodat e ruajtjes ne nje switch (memory buffering):
Port-based memory buffering:
o Te gjitha Frame-t ruhen ne rradhe dhe transmetimi behet sipas prinzit te
FIFO (first in, first out).
o Demet: neqoftese nje porte eshte e mbingarkuar, te gjitha portat e tjera
duhet te presin sa ajo te mbaroje transmetimin e saj dhe pastaj ato te
nisin paketat e tyre.
Shared memory buffering:Te gjitha Frame-t ruhen ne nje vend, ne menyre qe
te ndahen portat e switchit. Portat transmetuese drejtohen ne menyre dinamike.
Switchat e shkalles se dyte dhe te trete
Termi „switch i shkalles― se trete emer diçka çorientues. Nje switch i shkalles se trete
eshte router, e cila merr vendimet e saja jo me ane te softwarit po me ane te disa
paisjeve speciale shtese (ASICs). Kjo e ben ate superior ndaj nje routeri te thjeshte ne
lidhje me performancen e vazhdueshme. Switchet e shkalles se trete formojne
domaine Broadcast dhe perdoren ne rrjete te medha. Pasija standarte e Cisco eshte
Catalyst3560.
Faik Nushi MSc.
HTL-Shkoder
12
13. LAN – Switching and Wireless
Figura12: Layer-2. dhe -3. Switch
2.3 Konfigurimi i menagjimit te swichit
Switchet e Ciscos punojne si routerat IOS dhe per kete arsye konfugirmet jane te
njohur ne mase te madhe. Ne faqen e pare te switcheve cisco tregohen nje sere LEDs
(Sisteme LED, RPS LED, modulet e portave LED, statuset e portave LED) te shteteve
te ndryshme.
Figura13: LEDs per informacionet ne Cisco Switch
Ne fillim te punes se switchit (si ne PC ose Router) kemi nje POST (Power On Seif
Test) ne te cilin komponentet e brendshme testohen dhe inicializohen. Kur nje terminal
lidhet me portin konsole, informacioni mund te monitorohet ne ekran. Konsoli shfaq
kete diagrame te lidhjeve.
Faik Nushi MSc.
HTL-Shkoder
13
14. LAN – Switching and Wireless
Figura14: Lidhja e Switchit me PC’n me kabllo Konsole
Kur sistemi LED ka ngjyre te portkallinjte do te thote qe ne POST ka nje defekt dhe kur
eshte jeshile gjithçka eshte ne rregull.
Nje switch ka status LED per çdo porte dhe keto mund te kene kutime te ndryshmene
varesi te zgjedhjes se modulit (STAT-Statusi i Portes, UTIL-ngarkesa e Switch,
DUPLX – statusi dupleks i Ports, SPEED-shpejtesia e Portes).
Pas mbylljes se POST raporton switchi me komanden CLI (Command Line Interface)
Switch>. Njesoj si ne routerat e ciscos me ane te komandes „enable― mund te shkojme
ne modulin e privilegjuar ose me „help― kerkojme ndihme.
Kur duam te ri-konfigurojme nje switch duhet ne filim te fshijme konfigurimin e vjeter:
erase startup-config or
Fshin konfigurimin e ruajtur(NVRAM)
erase nvram
delete vlan.dat or
Fshin VLAN-et ( te ruajtur ne Flash )
delete flash:vlan.dat
clear vtp counters
Fshin numerimin e VTP-s
reload
Starton perseri switchin
Konfigurimi baze i switchit
hostnamehostname
enable passwordpassword
enable secretpassword
line con 0
passwordpassword
login
line vty 0 15
Emertimi i Switchit
Aktivizimi i pasvordit
Aktivizimi i sekretit
Lidhja me kabllo console
passwordpassword
Fjalkerkim per lidhjen console
Aktivizimi i fjalkerkimit
Lidhja me VTY- Nje swich
mund te kete njekohesisht 16 lidhje VTY
Fjalkerkim per lidhjen VTY
login
service password-encryption
interface vlannr
ip addressaddress subnet-mask
Aktivizimi i fjalkerkimit
Kodimi i fjalkerkimeve
Konfigurimi per VLAN-in e menaxhimit
Zgjedhja e IP-s per VLAN-in e menaxhimit
Faik Nushi MSc.
HTL-Shkoder
14
15. LAN – Switching and Wireless
ip default-gatewayaddress
interfacetype / number
duplexfull/half/auto
speed 10 /100 / auto
Menaxhimi i Default-Gateway
Switch-Interface
Zgjidhja e duplexit
Zgjidhja e shpejtis
ip http server
ip http port 80
Aktivizimi i webserverit
Zgjedhja e portit te degjimit
Vërejtje
VLAN 1është caktuar VLAN menaxhues. Kjo bëhet në mënyre që të gjitha switchet e
tjera të mund të jenë në sherbim të stacionit qendror. Për arsye sigurie duhet që VLAN
menaxhues të ketë patjeter një numer të ndryshem, pasi që të gjitha portet e switchit
janë të caktuar dhe në VLAN1.
Porter Fast Ethernet të switch janë standarte të duplex auto dhe speed auto dhe jane të
vëndosura ne VLAN1.
Shembull i konfigurimit baze
VLAN menaxhues të konfigurohet si VLAN 99, caktimi i porteve të Switch dhe vendosja
e Default gateway:
Figura15: Shembull i konfigurit baz të një Switchi
Faik Nushi MSc.
HTL-Shkoder
15
16. LAN – Switching and Wireless
Komandat e mundshme per nje pembledhje
show running-config
show version
show flash
show mac-address-table
Tregon konfigurimin aktual ne RAM
Tregon versionin e sistemit operativ IOS
Tregon dokumentat qe ndodhen Flash
Tregon MAC-Adresat qe jan regjistruar
Figura16: MAC Address Table
show interfaces
Tregon informacione perportat e switchit
Figura17: Komanda show interfaces
show post
show vlan
Tregon cilat VLAN jan aktiv dhe portat e tyre
Në Switch-at e Ciscos është gjithashtu e mundur që konfigurim dhe kontrolli të behet
prej në GUI – Graphical User Interface. Për këtë ka disa mundesi:
o Kontrollimi i switchit prej ne webserver
Figura18: Switch GUI
Faik Nushi MSc.
HTL-Shkoder
16
17. LAN – Switching and Wireless
o Cisco Network Assistant (CNA)
Figura19: CNA
o Cisco View
Figura20: Cisco View
Faik Nushi MSc.
HTL-Shkoder
17
18. LAN – Switching and Wireless
o Cisco Device Manager (CDM)
Figura21: CDM
Sekuenca Boot
Pasi që Boot të ketë inicializuar POST dhe flash, atëherë e ngarkon IOS në RAM.
Pastaj ekzekutohet konfigurimi ne NVRAM. Ne raste te( mos ekzistimit te IOS, te
fshirjes se konfigurimit, te harrimit te fjalekalimit) te gjitha keto mund te zgjidhen permes
komandave te caktuara.
Sigurimi dhe rivendosja e konfigurimit
Me komandën "S1#copy system:running-config flash:startup-config" bëhet ruajtja
e konfigurimit ne flash, ndersa me komandat:
S1#copy flash:startup-config system:running-config
S1#reload
kthehet në gjëndje te mëparshme.
Për sigurinë në serverin TFTP përdoret kjo komandë:
S1#copy system:rrunning-config tftp:[[[//location]/directory]/filename]
Faik Nushi MSc.
HTL-Shkoder
18
19. LAN – Switching and Wireless
Shembulli i detyrës:
1.
2.
3.
4.
5.
6.
7.
8.
Lidhuni me Switch duke përdorur lidhjen konsole
Navigoni përmes llojeve të ndryshme CLI
Përdorni Help Facility për të konfiguruar orën
Lidhu dhe konfiguro historinë e komandës
Konfiguroni boot sekuencën
Konfiguroni një kompjuter dhe lidheni atë me një Switch
Konfiguroni MI duplex
Menaxhoni tabelën e adresave MAC
9. Menaxhoni konfigurimin e të dhënave te Switch
Figura22: Shembull i një detyre me Switch
2.4 Konfigurimi i sigurisë së Switchit
Rimarrja e fjalekalimit për Catalyst 2950, 2960
1.
2.
3.
4.
Fikeni Switch
Pastaj shtypeni butonin MODE dhe ndizeni Switch.
Nese STAT-LED nuk funksionon atehere shtypeni përseri butoni MODE.
Shtyp komandat:
I. flashinit
II. loadhelper
III. dir flash:
IV. rename flash rconfig.text flashrconfig.old
V. boot
5. Në pyetjen e konfigurimit me dialog shtyp shkronjën: N
6. Ndryshim në mënyre të privilegjuar, kthehu dhe riemero të dhënat e konfigurimit
me komanden: rename flashrconfig.old flash:config.text
7. Aktivizimi i konfigurimit: copy flash rconfig.text systemrrunning-config
8. Riemerimi i fjalekalimit, ruajtja e konfigurimit të ri:
copy running-config startup-config
Faik Nushi MSc.
HTL-Shkoder
19
20. LAN – Switching and Wireless
Konfigurimi i Banner
Për të dhënë një mesazh para se të vendosim emrin e perdoruesit dhe fjalekalimin
perdorim këtë komandë S1(config)#banner login "text". Pas login me emrin e
përdoruesit dhe fjalëkalimit përdorim komandën S1(config)#banner motd "text" .
Konfigurimi i Telnet
Klienti Telnet dhe Sherbimi Telnet drejtohen nga Cisco Switches. Ai nuk duhet që të
përdoret për kalimin e fjalëkalimit në tekst të thjeshtë. Kur me të duhet të punohet për
qëllime testimi, atëherë janë këto komanda të nevojshmë.
S1(config)#line vty 0 15
S1(config-line)#transport input telnet
Konfigurimi SSH
Një lidhje e e largët e sigurtë arrihet me anë të Secure Shell (SSH). Në këtë rast kanë
të dy partnerët nga një çertifikatë. Serveri SSH dhe Klineti SSH Client janë të integruar
në Catalyst IOS.
Në Server kemi SSHvl dhe SSHv2, ndërsa tek Client SSHvl. Si algoritme kodimi kemi
DES (58 Bit) dhe 3DES (168 Bit). Përpara se të përdoret SSH duhet që të krijohen
RSA Keys.
S1(config)#hostname hostname
S1(config)#ip domain-namedomainname
S1(config)#user username passwordpassword
S1(config)#crypto key generate rsa
S1(config)#ip ssh version [1 | 2]
S1(config)#line vty 0 15
S1(config-line)#login local
S1(config-line)#transport input ssh
// llogari lokale
// login me llogari lokale.
Me komanden show ip ssh mundet SSH Status të kontrollojë, me show crypto key
mypubkey rsashifet Key-Paar i krijuar. Login tek faqja e kilentit bëhet me ssh -1
username IP-address.
2.5 Sulmet e mundshme ne Switch
Disa nga sulmet më të njohura të sigurisë tek Switchet janë MAC address flooding dhe
MAC address spoofing.
Sulmi kundrejt MAC adresave
Ky sulm ka si qëllim që të detyrojë Switch të bëje një lidhje direkte dhe pastaj ta
Faik Nushi MSc.
HTL-Shkoder
20
21. LAN – Switching and Wireless
detyrojë që të nisi paketa(ashtu siç bën një Hub ). Kështu munden të gjithë përdoruesit
e lidhur me Switch dhe gjithashtu Hackerat të lexojnë të dhënat. Kjo gjë arrihet pasi
Switch ka një memorie MAC adresash të kufizuar. Pasi që ndodh kjo është switch i
―sulmuar‖. Për të arritur këtë bomabardohet Switch me MAC adresa të rreme (si Psh.
Me Pajisjen Linux „macof').
Figura23: Sulmi ndaj MAC Adresave
Ky lloji sulmi tek Switch mund të parandalohet me anë të zbatimit të portit të sigurisë.
(shikoni pikën tjetër!).
MAC address spoofing (DHCP spoofing)
Në këtë rast Hacker përpiqet për të marrë informacion duke ia bashkangjitur MACAdresen e tij si destinacion, për lidhje serioze të përdoruesit. Shumicëln e rasteve
realizohet sulmi me ndihmën e DHCP, prandaj DHCP spoofinf s’është gjë tjetër
përveçse MAC address spoofing.
1. Një sulmues aktivizon një server DHCP në një segment të rrjetit.
2. Përdoruesi bën një kërkesë informacionesh
për konfigurimin e DHCP.
3. Serveri DHCP mashtrues pergjigjet duke
perkufizuar sulmin e IP.
4. Pakot Host janë ridrejtuar në adresën e
sulmuesit, ajo imiton një portë parazgjedhje
për në adresën e gabuar DHCP e cila i është
dhënë perdoruesit.
Figura24: Sulm në DHCP
Faik Nushi MSc.
HTL-Shkoder
21
22. LAN – Switching and Wireless
Për të parandaluar këto lloje sulmesh duhet që të bëhet konfigurimi i DHCP snooping .
Në këto raste te gjithë portet e Switcheve konfigurohen si porte të besuara, në mënyrë
që të mund të mund të lexojnë të gjitha kërkesat e DHCP.
Tani një pajisje në një port jo të besuar(mund të pranojë kërkesa nga DHCP; të gjitha
porte nuk mund të konsiderohen si porte të besuara, ato mund të marrin informacione
përmes porteve jo të besuara.
Konfigurimi:
1. S1(config)# ip dhcp snooping
2. S1(config)# ip dhcp snooping vlan <nr>
Aktivizohet snooping ne VLAN
3. S1(config)# interface fa0/1
S1(config-if)# ip dhcp snooping trust
deklarohet porti fa0/1 si i besueshëm
Me anë të komandës „show ip dhcp snooping
binding"
mund të shihen që të gjitha
informacionet përmes porteve jo të besuara.
Figura25: DHCP Snooping
Eleminimi i DHCP
DHCP ―I uritur‖ është një tjetër lloj sulmi në një rrjet. Me këtë sulm, Hacker kërkon
vazhdimisht IP adresën e serverit DHCP real. Në mënyrë që këto kërkesa nga DHCP
të reduktohen, kemi komandën: S1(config-if)# ip dhcp snooping limit raterate.
Sulmi i CDP
Në mënyrë që të nisi sulme DoS (Denial of Service), Hacker i mbledh informacionet
përmes Cisco Router dhe Switches. CDP është një Cisco – që punon në sektorin e
dyte , është një Protokoll, me informacione të tilla si (IP- Adresa, Versioni IOS , Emra
të Interface,...) të cilat nisen menjëhere, si një tekst i thjeshtë, me atë perdorues që
janë të lidhura drejperdrejt. Duke përdorur programe Sniffer ―nuhatëse‖, këto
informacione mund të bëhen të lexueshme.
Zgjidhja: Fik CDP me komandën: S1(config)# no cdp enable
Sulmi i Telnet
Siç u përmend dhe më lart mund të konfigurohet një hyrje në konsole me anë të një
lidhje Telnet me fjalëkalim të mbrojtur. Me metoda brutale, mund të vidhet një
fjalëkalim. Kjo ndodh lehtë kur është një i ashtuquajtur fjalor fjalëkalimi, përndyshe
programet mund të gjenerojnë fjalëkalime.
Zgjidhja: Perdorni fjalëkalime të komplikuara dhe ndryshojini ato vazhdimisht dhe mos
perdorni lidhke Telnet.
Meqë siguri e rrjeti është një çështjë e komplikuar,duhet që në bazë të zbatimit të tyre
Faik Nushi MSc.
HTL-Shkoder
22
23. LAN – Switching and Wireless
të testohet dhe fuksionaliteti. Ka disa metoda të ndryshme që mund të përdorim për
sigurinë e rrjetit. Mit Me disa mjete mund të simulohen hyrjet e Hacker dhe gjithashtu
të regjistrohen rezultatet. Nga Cisco kemi Cisco Systems Security Auditor ose tashmë
është përfshire auditimi në IOSme Komanden audit:
S1(config)#ip audit attack {action [alarm] [drop] [reset]}
Në parim këto mjete ju lejonë të:
Tërheqjen e mesazheve në chat
Tërheqjen e file nga trafiku NFS
Tërheqjen e kërkesave HTTP nga Common Log Format
Tërheqjen e mail mesazheve në formatin Berkeley mbox
Tërheqjen e fjalëkalimeve
Afishimin e URL në faqen e internetit të hapur në kohë reale
Hyrje në një switched LAN me MAC adresa të rastit
Krijimin e pergjigjeve për adresa DNS adresa
Pako interceptimit në një switched LAN
Për pikën e fundit (pako interceptimi) na ofron Cisco IOS me sigurinë e portit mundësi
të shkëlqyer.
Siguria e portit
Siguria e portit, e cila është e mundur vetëm tek portet me hyrje statike static access
ports, na lejon që të çaktivizojmë porte të caktuara në rast të shkeljes së sigurisë
(switchport port-security violation shutdown), dhe në këtë mënyrë të ndalojmë
hyrjën në rrjet. Kjo mund kufizojë numrin e adresave të sigurta MAC , të cilat janë të
lejuara për të mësuar një port (switchport port-security maximumanzahl). Shkelja e
sigurisë është gjithashtu në dispozicion nëse, një adresë mund të kunfiguroher si një
adresë e sigurtë, shfaqet në një nderfaqe të sigurtë VLAN.
Në mënyrë që të konfigurojmë 2 adresa të sigurta kemi dy mundësi:
a) MAC Adresat ti deklarojmë si statike të sigurta statisch secure deklarieren
(Tabela, Hapi 7)
b) Të përdorim opsionin sticky , i cili deklaron si të sigurta MAC Adresat dinamike ,
duke përfshirë ato që janë mësuar me konfigurimin.(Hyrje automatike në
running-config dhe tabelën- mac-address) (Tabela, Hapi 8, Hapi 9).
Nëse Porti i Sigurisë fiket përsëri, atëherë qëndrojnë adresat- sticky në runningconfig. Nëse ruhet running-config në NVRAM , atëherë qëndrojnë adresarsticky në një Switchneustart erhalten, në të kundërt jo.
Normalisht MAC adresat dinamike ruhen në tablë.
Komanda show port security na tregon statusin e portit.
Faik Nushi MSc.
HTL-Shkoder
23
24. LAN – Switching and Wireless
Komandat per Port-Security per Cisco Switch 2950 / 2950
Hapi 1
configure terminal
Jepni komandat globale të konfigurimit.
Hapi 2
interface interface-id
Jepni komandat e konfigurimit të
për portin që doni të siguroni
Hapi 3
switchport port-security
Aktivizo basic port security në interface.
Hapi 4
switchport port-security
maximum max_addrs
Vendos numrin maksimal të MAC adresave
që është i lejuar për këtë interface .Kufiri
është 1 deri në 132; default është 1.
Hapi 5
switch port port-security
violation
{shutdown | restrict |
protect}
Vendosni security violation për interface.
Default ështëshutdown.
Për mode, vendos ndonjë nga këto fjalët
kyqe:
•Shutdown: Interface është e çaktivzuar
gabim kur ndodh një security violation.
Shënim: Kur një port i sigurtë është gjëndje
çaktivizimi, ju mund ta hiqni nga ajo gjëndje
duke shkruar komandat shutdowndhe no
interface,
shutdown
• Restrict:Shkelja e sigurisë dërgon një kurth
tek stacioni i rrjetit të menaxhimit.
•Protect: Kur adresat e portit të siguruar e
arrijnë limit e lejuar në port, atëherë të gjitha
paketat me adresë të panjohur do të fshihen.
Hapi 6
switchport port-security
mac-address MAC
(Optional) Konfigurimi i një adresë statike të
sigurtë për një interface të specifikuar. Nësë
janë konfiguruar më pak MAC adresa të
sigurta se sa maksimumi, adresat e mbetura
njihen si dinamike.
Hapi 7
switchport port-security
(Optional) MAC adresat të njohura si dinamike
marrin adresë të sigurtë mac-address sticky
Step 8
switchport port-security
mac-address stickyMAC
(Optional) Vendos një MAC adresë të sigurtë
sticky, përsëriti komanda sa herë që të jetë e
nevojshmë.Nëse ju konfiguroni më pak MAC
adresa të sigurta se sa maksimumi, atëherë
MAC adresat e mbetura njihen si dinamike
dhe konvertohen në MAC adresa të sigurta
sticky, dhe vendosen në konfigurimin running.
Port security –Shembulli i konfigurimit 1:
Faik Nushi MSc.
HTL-Shkoder
24
25. LAN – Switching and Wireless
S1(config)#interface fastEthernet 0/18
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 10
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#switchport port-security violation shutdown
Shembull
Figura26: Show port-security interface
Figura27: Show port-ecurity adress
Për siguri shtesë të rrjetit, portat që nuk përdoren duhet të fiken, pasi ata janë në një
VLAN te vecantë.
Faik Nushi MSc.
HTL-Shkoder
25
26. LAN – Switching and Wireless
3 VLANs
3.1 Hyrje VLANs
Me ndihmën e VLANs(LAN Virtual) mund të realizohen në Switch shumë rrjete, të cilat
punojnë të ndarë nga njëri tjetri. Efekti është i njëjtë si ndërtimi me shumë (te palidhur)
Switch. Një ndryshim i rëndësishëm është se në rastin e VLANs, segmentet nuk duhet
të jenë të organizuar në dhoma ose kate si zakonisht, por logjikisht nga detyrat, pra
funksionet.
Ne HTL Anichstraße ka për shëmbull afer VLAN-ve të tjerë edhe VLAN për Wirelesspërdorues, të cilët i kombinojnë dhomat nëpër kate.
Shembull për Zbatimi i një VLAN-i
Figura28: Shembull i një rrjeti me VLANs
Kjo arrihet kur cdo port i Switch lidhet me një VLAN. Porte të tilla, që janë të lidhur më
një VLAN tek quhen Porta te Hyrjes.
VLAN shënohen me numra. Në përgjithesi te gjitha portet janë në VLAN 1 dhe kjo
është e ashtuquajtur Pakujdesi-VLAN.Vetëm portet që ndodhen në të njëjtin VLAN
mund të komunikojnë me njëri-tjetrin. Komunikimi me portet e tjera është përjashtuar
me Swich-et normale (Shtresa-2). Kjo i përket sigurisht edhe transmetimit, kështu një
VLAN përfaqëson një sferë-transmetimi.
Avantazhet e VLAN's
Struktura logjike e një rrjeti
E lehtë për të kontrolluar trafikun e rrjetit
I sigurtë
I lehtë caktimi ose zhvendosja brenda grupeve të njejta funksionale(fleksibel)
Performancë e mire , meqë Broadcast kufizon trafikun në Domaine
Faik Nushi MSc.
HTL-Shkoder
26
27. LAN – Switching and Wireless
VLAN ID - Fushat
Shtrirjen normale(normal range) VLANs e kanë ndërmjet 1 dhe 1005, ku 1002
deri1005 janë të rezervuara për Token Ring dhe FDDI . Ato ruhen në të dhënat e vlan.
Shtrirjen e zgjatur (extended range)VLANs IDs e kanë ndërmjet 1006 dhe 4094,
përdoren nga shpërndarësit e shërbimeve dhe ruhen në Running Config. Catalyst
2950 / 2960 mbështesin 255 VLANs.
Llojet e VLANs
Default VLAN: VLAN, të gjitha portet janë të vendosura pas inicializimit; i
parazgjedhur VLAN 1;nuk mund të riemërohet ose të fshihet.
Management VLAN: VLAN, mund të menaxhohet nga një Switch (nga http,
telnet, ssh, snmp). Prandaj i duhet Management VLAN një IP-Adresë (default
është VLAN 1).
Native VLAN: VLAN,port trunk është caktuar për të transportuar korniza të
etiketuara. Por mundet dhe që të transportojë korniza të pa etiketuara. Për arsye
siguri VLAN1 nuk mund të përdoret si VLAN native (saktësisht jo për
Management VLAN).
Data VLAN: VLAN, e cila transporton vetëm trafikun e gjeneruar të
përdoruesve. Të jenë të ndarë Trafiku i menaxhimit dhe Trafiku i zërit.
Figura29:VLAN-at e ndryshme në një rrjet
Trafiku VoIP i përket VLAN (Voice VLAN), sepse ai kishte nevojë për një Bandwidth të
garantuar dhe nevoja prioritare. Shembulli i mëposhtëm na tregon portin e IP Phone
ndërtuar në 3 Switch( një port për korniza të pa etiketuara, një tjetër port për Trafikun e
Faik Nushi MSc.
HTL-Shkoder
27
28. LAN – Switching and Wireless
Zërit të etiketuar, dhe një port si lidhje me pajisjet e tjera IP-Phone).
Figura30: Switchi me 3 Porte ne IP-Phone
VLAN Switchport - Llojet e koodrinimit dhe konfigurimit
Caktimi i Switchporteve në një VLAN mund të bëhet në mënyra të ndryshme
VLAN Statike: Detyra është bërë nga administratori ndërmjet komandave IOS CLI ose
një aplikacion me GUI.Kjo është pothuajse gjithmonë në raste normale.
Konfigurimi
S1(config)#vlannumber
S1(config-vlan)# namevlanname
//emertimi i VLAN
S1(config-vlan)#apply
S1(config)#interfacetype / number
// ruajtja e konfigurimit te VLAN-it
// tipi i fishes dhe numri
S1(config-if)#switchport mode access
//zgjedhja e modusit
S1(config-if)#switchport access vlannumber // Caktimi i Portit ne një VLAN
Dynamisches VLAN: Detyra është bërë nga një konfigurim i VLAN, me një software
server të veçantë (Psh CiscoWorks 2000) dhe me anë të MAC- oder der IP – Adrese të
marri vend në një stacion.
Kjo detyrë dinamike është e lidhur me një përpjekjë të rritur (ajo duhet të mbajë një
bazë të dhënash të adresave MAC) ose në rast të një varianti IP adrese të bazur
përmes DHCP, për shkak se janë të zbatuara dobët.
Voice VLAN: Detyra është e kryer nha administratori. Komanda të veçanta përdoren
për transportuar një port prioriteti trafiku të zërit.
S1(config)#interfacetype / number
// tipi i fishes dhe numri
S1(config-if)#mls qos trust cos
S1 (config-if)# switchport voice vlannumber1
// ndez modusin për Voice
// krijon Voice VLAN
S1(config-if)#switchport mode access
//zgjedhja e modusit
S1(config-if)#switchport access vlannumber2// Caktimi i Portit ne një VLAN
Faik Nushi MSc.
HTL-Shkoder
28
29. LAN – Switching and Wireless
VLAN Broadcast Domains
Siç u përmend më lart transmetimet e trafikut mbesin VLAN. Përdoret shtresa
3(Router) në mënyrë që të kalohen kufinjtë e VLAN.
Figura31: Layer 3 Switch
Në topologjinë mëposhtme PCI nis dokumente tek PC4. Meqë PCs janë në VLANs të
ndryshme, duhet që Shtresa 3 - Switch në fazën e parë të nisi kërkesën e ARP , nga
VLAN 10 në VLAN 20 . Secili VLAN nuk përdor Trunking në këtë fazë, por linjën e vet.
Figura32: Topologie me Layer 3 Switch
Shembulli
Fshij konfigurimet e mundshme VLAN, konfiguroni topologjinë e VLANs dhe kontrolloni
lidhjen ndërmje PCI dhe PC4 gjithashtu dhe ndërmjet PCI dhe PC6.
Figura33: Shembull i një topologie me VLANs
Faik Nushi MSc.
HTL-Shkoder
29
30. LAN – Switching and Wireless
3.2 VLAN Trunking
Në teknikat e telekomunikacionit „Trunk― është një linjë, në të cilin transmetohen
sinjale të ndryshme.
Figura34:VLAN pa Trunk dhe VLAN me Trunk
Në lidhje me VLAN-nët, me fjalën „TRUNK― kuptohet një lidhje(për shembull një lidhje
Point to Point) ndërmjet dy aparaturave(Switch,Router), ne të cilët transportohen
FRAME-t nga VLAN-në të ndryshme. Si protokoll, nga aparaturat Cisco, përdoret
vetëm IEEE 802.1q (protokolli nën pronësinë e Cisco-s ISL përdoret më
tepër!).Përparësia kryesore e një lidhje Trunk është kursimi i portave fizike. Kur kemi
10 VLAN-në duhet të krijojmë 10 lidhje fizike, kurse ne rastin e Trunk mjafton vetëm
një lidhje fizike.
802.1q Frame tagging
Që Switch-i marrës të caktojë edhe një here FRAME-in në VLAN-in e duhur, duhet që
FRAME të mbajë informacionin e VLAN-it me vete. Ky informacion është i vendosur
në Kokën (Header) e 802.1q:
Figura35:VLAN ID ne Frame
Si protokoll TAG perdoret ai me ID 0x8100, për të cilin janë 12 Bit të rezervuar dhe për
prioritetin janë 3 Bit të rezervuara.
Faik Nushi MSc.
HTL-Shkoder
30
31. LAN – Switching and Wireless
VLAN-nët Native dhe 802.1q Trunking / Konfigurimi
Kontrolli i trafikut në VLAN-nët Native duhet të dërgohet i pa etiketuar, përdryshe do të
hidhet nga portat trunk. Prandaj gjatë konfigurimit të një switch-i Cisco, duhet të kemi
kujdes. Paisje të prodhuesve të tjerë mund të lejojnë frame-t e pa etiketuar ne VLAN
Native. Kur një switch Cisco merr një frame të pa etiketuar në një portë trunk do të
niset tek VLAN Native.
DTP, mënyrat e Trunk-ut
Switch-at Cisco punojnë protokollin DTP(Dynamic Trunking Protokoll). Ky protokoll
përdor disa mënyra.
Mënyra ―Trunk‖ ose ―ON‖: në këtë mënyrë ndryshon një Switch Port remote
automatikisht në statusin trunk, kur porta lokale është e konfiguruar me
switchport mode trunk.
Mënyra ―Dynamic auto‖ : kur një portë është e konfiguruar me switchport
mode dynamic auto , ndryshon porta vetëm nën disa kushte në statusin e
portës trunk. Në qoftë se portat lokale dhe remote janë të konfiguruara
dinamike dhe automatike,trunk rri inaktiv.
Mënyra „Desirable auto―: kur një portë është e konfiguruar me switchport
mode dynamic desirable, kështu bëhet ajo bëhet një portë trunk, nëse porta
remote është e ndezur, është e konfiguruar dinamik auto(dynamic auto) ose
dëshirueshme (desirable).
Ne konfigurimin e portave trunk me switchport nonegotiate, DPT mund te fiket. Kjo
duhet të bëhet për disa arsye sigurie, ku asnjë frame DTP nuk do të niset, të cilat
mund të krijohen në një interface hackeri një portë trunk.
3.3 Konfigurimi i VLAN-ve dhe Trunks
Konfigurimi i një porte trunk:
S1(config)#interface F0/1
S1(config-if)#switchport trunk encapsulation dot1q
S1(config-if)#switchport mode trunk
S1(config-if)#switchport trunk native vlan 99
(pa rreshtin e fundit të konfigurimit do të ishte VLAN 1)
S1(config-if)#switchport trunk allowed vlan add 10,20,30
Kontrolli:
S1#show interfaces F0/1 switchport
Faik Nushi MSc.
HTL-Shkoder
31
32. LAN – Switching and Wireless
Konfigurimi i një VLAN-ni dhe Portat e aksesimit
S1(config)#vlan 20
S1(config)#name Student
S1(config-if)#interface fa0/18
S1(config-if)#switchport mode access
S1(config-if)#interface access vlan 20
Komandat e kontrollit
S1#show vlan
S1#show interface name switchport
S1#show vlan summary
S1#show vlan brief
S1#show vlan brief
VLAN
Name
Status
Ports
1
default
active
Fa0/1,
Fa0/2,
Fa0/3,
Fa0/4,
Fa0/5,
Fa0/6, Fa0/7, Fa0/8, Fa0/9,Fa0/10,
Fa0/11, Fa0/12, Fa0/13, Fa0/14, Fa0/15,
Fa0/16, Fa0/17, Fa0/19, Fa0/20, Fa0/21,
Fa0/22, Fa0/23, FaO/24, Gi0/1, Gi0/2
20
Student
active
Fa0/18
1002
fddi-default
act/unsup
1003
token-ring-de fault
act/unsup
1004
fddinet-default
act/unsup
1005
trnet-default
act/unsup
Ky informacion tregon që të gjitha portat ne gjëndje fillestare janë në VLAN 1.Është
krijuar VLAN 20 në të cilën është e caktuar porta Fa0/18.
Me no switchport access vlan mundet një Port të hiqet nga një VLAN.
Me no vlan number fshihet vetë një VLAN.
Portat mbeten derisa bëhet një renditje e re e VLAN-ve të fshirë dhe nuk dalin kur
shkruajmë komandën ―sh vlan‖.
Faik Nushi MSc.
HTL-Shkoder
32
33. LAN – Switching and Wireless
Problemet ne VLAN dhe Trunks
Nga problemet më të shumta janë: mospërputhja e VLAN-i native, mospërputhja e
portave trunk dhe morpërpudhja e VLAN-ve të lejuar që janë në trunk. Vendosja e
adresës IP gabim.
Faik Nushi MSc.
HTL-Shkoder
33
34. LAN – Switching and Wireless
4 VTP – Protokolli Virtual Trunk
4.1 Konceptet e VTP
VLAN-nët operojnë në rrjete të mëdha dhe në disa switch. Kjo do të thotë që
konfigurimi i VLAN-it duhet te behet te secili switch dhe gjithashtu te mirmbahet.
Keshtu qe mund te ndodhin disa gabime, që janë shumë të vështira për tu lokalizuar.
Një zgjidhje të këtij problem ofron VTP(VLAN Trunking Protocol). VTP është një
protokoll mesazhimi i shtresës 2, me të cilin informacionet e VLAN-nit centralizohen
për një rang normal VLAN-nësh (ID 1 deri 1005) në shumë switch, të cilët mund të
riemërohen ose fshihen. Me këtë qëllim do të krijohet një VTP Domain dhe do të ruhet
me një password me kuptim.
VTP - Switch - Modi
VTP Server: mund të krijojë VLAN-në, ti riemërojë dhe ti fshijë. Ai i ruan
konfigurimet e VLAN-nit ne NVRAM.
VTP Client: mund të marrë informacionet vetëm nga një server dhe ti dërgojë
në të gjitha portat trunk.
Transparent-Mode: transmeton ofertën VTP më tej, por injoron informacionet e
VTP.
Paraqitja e mëposhtme tregon që nga serveri VTP transmetohen informacinet e VLAN
në klientat VTP S2 dhe S3.
Figura36: VTP-Switch-Modi
VTP Operimi
Konfigurimi fillestar i VTP në Cisco Catalyst 2950/2960 është vendosur në mënyrën
server, në Version l (ka edhe versionet 2 dhe 3) dhe numri i persëritjes së konfigurimit
është 0. Me komandën show vtp Status merr të gjitha informacionet e rëndësishme të
VTP-së.
Faik Nushi MSc.
HTL-Shkoder
34
35. LAN – Switching and Wireless
Figura37: Show vtp status
Në konfigurimin e switch-it me VTP ―Configuration Revision Number‖luan një rrol të
rëndësishëm. Ç’do herë kur ç’konfigurohet një switch, ku numër do të rritet. Nga kjo
ç’do switch në ç’do kohë mund të vërtetojë në qoftë së ai ka konfigurimin aktual të VTPsë ose ka nevojë për një update(në qëftë se numri i tij është më i ulët se ai switchit
pranë). Kjo mënyrë është e rrezikshme, kështu që domaini VTP duhet siguruar me nje
fjalëkalim.
Grafika në vijim tregon rritjen e numrit të përsëritjes në domain VTP majtas më 1, dhe
më pas këtë ndryshim e merr edhe switchi C. Në domain VTP djathtas nuk ka
ndryshuar, kështu që numri i përsëritjes ka qëndruar njësoj.
Figura38: Informimi i switchave me VTP
Siç përmendur edhe më sipër, ofertat VTP, që janë të paketuara në framet e shtresës
2, do të transmetohen në fushën e saj të datave. Ofertat janë në tre lloje:
përmbledhje, nëngrup dhe kërkesë.
VTP pruning
Kjo do të vendosë, që broadcast-tët e një VLAN do të nisen vetëm në atë trunks që në
fundet portave ka ende porta të këtij VLAN. Në këtë rast të gjithë switch-ët e dinë se
cilat VLAN janë të konfiguruar në switch-ët e tjerë. Në shembullin më poshtë është
konfiguruar VTP pruning në switch-in S1 ma anë të kësaj komande:
S1(config)# vtp pruning
Faik Nushi MSc.
HTL-Shkoder
35
36. LAN – Switching and Wireless
Figura39: VTP rregullon fllod traffic
4.2 Konfigurimi VTP
S1(config)#vtp versionnumber
S1(config)#vtp domaindomain-name
S1(config)#vtp passwordpasswort
S1(config)#vtp mode[server / client / transparent]
// cakton versionin e vtp
// dhënia e emrit të domainit
// dhënia e fjalëkalimit
// caktimi i mënyrës së vtp
S1# show vtp status
S2#show vtp status
VTP Version
1
Configuration Revision
0
Maximu- VLANs supported localiy
64
Number of existing VLANs
5
VTP Operating Mode
Client
VTP Domain Name
VTP Pruning Mode
S2# show vtp counters
Faik Nushi MSc.
Disabled
// tregon statistikat e Advertisements.
HTL-Shkoder
36
37. LAN – Switching and Wireless
5 STP - Spanning Tree Protokoll
5.1 Redundant Layer 2 Topologies
Principi i STP (Spanning Tree Protocol) është i lehtë: Ndërtohen një rrjet redundant, i
tillë që rrugët e tepërta me anë të STP të fiken. Kështu rrjeti ka rrugë të kuptimta. Në
qoftë se një rrugë bie poshtë STP aktivizon një ose më shumë rrugë të tjera edhe një
herë, në mënyrë që të gjitha pjesët e rrjetit të jenë të arritshme. Në shembull tregohet
që pas rënies së Trunk1 aktivizohet Trunk2.
Figura40: Rrjet Redundant
Principi është i thjeshtë, por realizimi është i vështirë. Nuk bëhet fjalë për një lidhje
nëpërmjet dy pikave, por zgjedhja e rrugës më të shpejtë në rrjet. STP duhet të
analizojë rrjetin, që për çdo dy nyje duhet zgjidh lidhjen më të shpejtë, dhe rrjeti i
krijuar duhet të jetë pa përsëritje (loops).
Në topologjinë e mëposhtme LED e gjelbërt tregojn linke kaluese(forwarding links) dhe
ato portokallët, janë linket e bllokuara (blocking links). Kështu qëndron një rrjet pa
pësëritje(loop) (funksionon STP).
Figura41:STP bllokon Loops
Në rastin kur STP fiket ose shtirja e kabllove është gabim, pasohet zakonisht me
përsëritje (loops). Kur frame ethernet nuk ka Time to live (TTL), pasohet në një
Faik Nushi MSc.
HTL-Shkoder
37
38. LAN – Switching and Wireless
Broadcast Storm (stuhi broadcasti), ku switch-ët nisin në të gjitha portat Broadcast për
të treguar tabelën e tyre MAC (switching table).
Figura42:Broadcast storm
Në rastin kur duhet të nisen frame unicast në një rrjet
me përsëritje (loops), pasohet me nisjen e frame në
destinacion e tyre dy herë.
Persëritjet (loops) nëpër switch-ët mund dalin edhe në
rrjetet e vogla, kur një kabëll është lidhur në dy porta
të ndryshme të të njëjtit switch. Por përsëritjet krijohen
edhe nga përdorimi i ―Hub‖ në rrjet.
Figura43:Loops
5.2 Hyrja në STP
Që të përdoret rruga më e mirë pa përsëritje (loops), switch-ët nisin BPDUs (Bridge
Protocol Data Units), që ngjasojnë me me paketat hello të protokollit OSPF dhe nisen
çdo 2 sekonda.
Nga disa shkaqe historike përshkrimi i STP mund të zëvëndësohet edhe me fjalën
„Bridge‖. E menduar gjithmonë për switch-ët e sotëm.
STA - Algoritmi Spanning Tree
Zgjithja e Root-Bridge
Çdo switch i aftë më STP merr një Bridge-ID (BID). Kjo përbëhet nga Bridge Priority
(16 Bit, vlera standarte -32768) dhe adresa MAC e switch-it.
Switch me vlerën më të ulët të Bridge - ID do të zgjidhet Root Bridge. Pa konfigurime
tjera në switch, kur kanë të njëtin Bridge Priority, do të zgjidhet switchi me adresën më
të ulët MAC si Root Bridge (për disa shkaqe të performances nuk është gjithmonë e
kuptimtë). Prandaj duhet të vendoset me kuptim Bridge Priority për Root Bridge.
Kërkimi i rrugës
Faik Nushi MSc.
HTL-Shkoder
38
39. LAN – Switching and Wireless
Zgjidhja e rruges më të „mirë― bëhet nëpërmjet
shikimit të kostove „Costs― të rrugëve. Çdo
segment i rrugës ka një vlerë kostoje në bazë të
Bandwidth-it:
S1, për shkak të prioritetit më të ulët (priority
27577), do të zgjidhet Root-Bridge. Trunk 1 me
kosto 19 ëshë rruga më e shpejtë tek Root Bridge.
Shpejtsia e Linkut
Kosti
10 Gbps
2
1 Gbps
4
100 Mbps
19
10 Mbps
100
Figura44: Loogaritva e kosteve
Figura45: Rruga më e mirë për ne Root-Bridge
Kostot e portave mund të vendosen me anë të komandës
S3(config-if)# spanning-tree costs value
Caktimi i rrolit të Switchport-it
Çdo portë switchi ka një rrol të caktuar tek Spanning Tree:
Root Port: Port në një Jo-Root-Bridge me rrugën më të shpejtë në Root Bridge
Designated Port: jo-root-port në çdo segment të rrjetit, një të cilin kalimi i
datave është i lejuar. Zgjidhja e Designated Port caktohet nga prioriteti i portës
(0...255, parazgjedhur: 128, zgjidhet vlera më e ulët); komanda:
S1(config-if)# spanning-tree port-prioritynumber // vlera e STP
Non-Designated Ports (Blocking Ports): Janë porta të bllokuara për të
parandaluar përsëritjet (loops).
Faik Nushi MSc.
HTL-Shkoder
39
40. LAN – Switching and Wireless
Shembulli më poshtë tregon situatën mbasi vepron STP
Figura46: Rrolet e porteve në STP
Koment
Në rastin kur zbatohen VLAN-nët është BID i lidhur me VLAN duke e realizuar me anë
të kësaj komande: „S1(config-if)# spanning-tree vlanvlan-idpriorityvlera ". Me
„Sl(config-if)# spanning-tree vlan vlan-id root primary " mund të zgjidhet një switch
në funksionit Root-Bridge.
Kontrolli i Spanning Tree
Komanda „show spanning-tree" tregon informacionet me te duhura të STP.
Figura47: Show spanning-tree
Komanda „show spanning-tree detail" tregon informacione të detajuara dhe „show
spanning-tree vlan" tregon gjëndjen e STP në lidhje me VLAN-nët.
Faik Nushi MSc.
HTL-Shkoder
40
41. LAN – Switching and Wireless
Port-Status
Kur startohet procesi i STP çdo port vendoset në gjëndjen e dëgjimit (listening) dhe
mësimit (learning). Në listening Status porta merr BPDUs e tjerëve dhe jep BPDU e saj
tek komshinjtë. Në learning Status ai fillon të mbushë tabelën i tij MAC. Pastaj porta
vendoset në gjëndjen kalo (forwarding) ose blloko(blocking /merr vetëm BPDUs).
Përjashtuar që një Port mund fiket (disabled) nga Administrator. Gjëndjet Listening dhe
learning zgjasin çdo 15 Sekonda („vonesa e kalimit―/„forward delay"),kështu aktivizimi i
një porte në një switch me STP zgjat 30 sekonda.5 gjëndjet i tregon grafika e
mëposhtme.
Figura48: ndryshimi i statusit të një porti
Forwarding
Komanda „show spanning-tree summary" tregon gjëndjet e ndryshme.
Kur je i sigurt që në port nuk është i lidhur asnjë switch, por një aparatur e fundit(si
p.sh. PC), mund ti vendosësh këto porta në „port-fast", ku procesi i nisjen është i
përshpejtuar (S1(config-if)# spanning-tree portfast). Kur nuk ka asnje paket BPDU
për 20 sekonda („max-age-time"), Bridge e merr këtë rrugë si të dështuar, dhe proçesi
i STP do të ristartojë.
Konvergjenca e STP
Për të arritur kovergjencën janë këto hapa të nevojshme:
Zgjedhja e një Root Bridge
Zgjedhja e një Root Ports
Zgjedhja e portat e dedikuara dhe jo të dedikuara (Designated and NonDesignated ports)
Sikurse e thënë më sipër, show spanning-tree tregon gjëndjet e ndryshme.
Faik Nushi MSc.
HTL-Shkoder
41
42. LAN – Switching and Wireless
S1#show spanning-tree
Figura49: Informacionet ne Show STP
PVST ,PVST+, RSTP dhe Rapid PVST+
PVST (Per VLAN Spanning Tree) është pronë e Ciscos dhe përmban një instancë
Spanning-Tree për çdo VLAN (për Cisco-IOS aktualet është protokolli i parazgjedhur).
„show spanning-tree" tregon gjëndjen aktuale të një VLAN.Në këtë mënyrë është „Load
Balancing― në shtresën e dytë i mundur.PVST+ përdor gjithashtu protokollet trunk IEEE
802.11 dhe ISL dhe bën të mundur konfigurimin e BPDU guard gjithashtu root guard.
Rapid Spanning Tree Protocol (RSTP) mundëson konvergjencë të shpejtë dhe Rapid
per VLAN Spanning Tree (PVST+) përdor zgjerimet si prona të Ciscos. Në rastin e
RSTP do të vihen edhe përshkrime të reja të Linkëve.
Faik Nushi MSc.
HTL-Shkoder
42
43. LAN – Switching and Wireless
Figura50: Shmebull i një rrjeti me STP
Konfigurimi PVST+
Figura51: PVST+
S1(config)# spanning-tree vlan 10 root primary
S1(config)# spanning-tree vlan 20 root secondary
S1(config)# spanning-tree vlan 20 priority 4096
S1(config)# spanning-tree vlan 10 priority 4096
Komentet e fundit
mos e fikni asnjeherë STP edhe në qoftë se nuk është i nevojshm
STP protokoll nuk është shume e rëndë
BPDUs nuk e zvogëlojnë Bandwidth-in
Një rrjet me shumë Switch pa STP del menjëherë jashtë kontrolli
Trafiku i përdoruesve nuk humb në VLAN administrativ
VLAN 1 është VLAN-i i parazgjedhur dhe VLAN-i administrativ dhe Bridging –
Loop në ketë VLAN takon të gjithë Trunk
Faik Nushi MSc.
HTL-Shkoder
43
44. LAN – Switching and Wireless
6 Inter - VLAN Routing
6.1 Hyrja - Inter-VLAN Routing
Me Inter-VLAN Routing është e menduar rruga ndërmjet VLAN-ëve. Siç e përmendëm
tek kapitulli 3,VLAN-ët krijojnë Broadcast – Domains dhe lidhin komunikimin ndërmjet
tyre.
Kur dy ose më shumë rrjete duhet të lidhen ndërmjet tyre (fizikisht) me një Router,
Routeri ka nevojë nga një Interface për çdo Rrjet.Kjo Interface e Routerit mban një
adresë IP të rrjetit që është lidhur dhe vendos për Hostët i këtij rrjeti StandardGareway.Gjidhashtu në Router mund të merren masa sigurie si për shembull Access
Control List.
Si pricip rruga ndërmjet VLAN mund të realizohet krejtësisht. Në qoftë se VLAN janë të
lidhur me një router, atëherë komunikimi është i mundur.Në qoftë se nuk përdoret trunk
ka nevojë çdo VLAN një lidhje tek një interface e routerit. Me rritjen e numrit të VLAN
bëhet më e vështirë.
Figura52: Inter VLAN Routing në mënyren tradicionale
Në këtë shembull nevojiten dy porta të routerit për komunikimin nëpërmjet dy VLAN-ëve.
Interfacet logjike (Subinterfaces)
Për të ulur numrin e interface-ve të lidhur ndërmjet routerit dhe switch-it, do të lidhet
switch dhe routeri nëpërmjet një TRUNK-u.Edhe protokolli ISL edhe protokolli IEEE
802.1q mundësojnë një trunk në portat Fast Ethernet.
Për ti dhënë routerit nga një adresë IP për çdo rrjet VLAN, duhet që Interface-t e
routerit të ndahen në disa Subinterfaces (logjike). Kjo zgjidhje, lidhja routerit dhe
switchit vetëm me një kabëll quhet „Router-on-a-Stick".
Paraqitja e mëposhtme tregon: një Trunk transporton të dy VLAN-ët dhe Subinterfaces
mundësojnë dhënien e adresave IP.
Faik Nushi MSc.
HTL-Shkoder
44
45. LAN – Switching and Wireless
Figura53: Inter-VLAN-Routing
Por ruotimi i paketave mund të bëhet edhe me një switch të shtresës së 3. Bëhet fjalë
për routim me bazë switchin (Switch-based Routing).
Figura54: Switch-based Routing
6.2 Konfigurimi i Inter-VLANRouting
Rasti 1: asnjë lidhje trunk, VLAN1 (172.17.10.0/24) dhe VLAN2 (172.17.30.0/24) janë
të lidhura portat e Routerit F0/0 dhe F0/1 (shiko Topoghinë S32 sipër)
R1#configure terminal
Enter configuration cammands, one per line.
End with CNTL/Z.
R1(config)#Interface f0/0
R1(config-if)#ip address 172.17.10.1 255.255.255.0
R1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPR0T0-5-UPDOWN: Line protocol on Interface FastEthernet0/0,changed
State to up
R1(config-if)#interface f0/1
R1(config-if}#ip address 172.17.30.1 255.255.255.0
R1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernetO/L, changed State to up
%LINEPROTO-5-UPDOWN:
Line
protocol
on
Faik Nushi MSc.
HTL-Shkoder
Interface
45
46. LAN – Switching and Wireless
FastEthernet0/1,changedState
to up
R1(config-if)#end
%SYS-5-CONFIG_I: Configured from console by console
R1#
Tabela Routing tregon rrjetet e të dy VLAN-ëve si të lidhur direkt.
R1#show ip route
Codes:
C - connected, S - static, R - RIP, M - mobile, E - BGP
D - EIGRF, EX - EIGRP externa!, 0 - OSFF, IA - 03PF inter area
Nl - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
El - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, Li - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U – per-user
static route
o - 0DR, P - periodic downloaded static route
Gateway of last resort is not set
172.17.0.0/24 is subnetted, 2 subnets
C
172.17.30.0 is directly connected, FastEthernet0/1
C
172.17.10.0 is directly connected, FastEthernet0/0
Rasti 2: lidhje trunk, VLANl (172.17.10.0/24) dhe VLAN2 (172.17.30.0/24) do të
caktohen në Subinterfacet e portës fizike të routerit F0/0 (shiko Topoligjinë S32).
Subinterfacet do të konfigurohen me Punkt-Notation.Është me kuptim që Subinterfacat
duhet emëruar me të njëjtin numër si çdo VLAN dhe numrin VLAN gjithashtu për të
bashkuar IP adresat.
Shembull:VLAN 10, SubinterfaceF0/0.10, adresa IP: 192.168.10.x/24
Përdor protokollin trunk dhe lidh VLAN me portat.
Konfigurohet me këtë komandë: „R1(config-subif)#encapsulation protocolvlan-id
R1#configure terminal
R1(config)#interface fa0/0.10
R1(config-subif)#encapsulation dot1q 10
R1(config-subif)#ip address 172.17.10.1 255.255.255.0
R1(config-subif)#interface fa0/0.30
R1(config-subif)#encapsulation dotlq 30
R1(config-subif)#ip address 172.17.30.1 255.255.255.0
R1(config-subif)#interface fa0/0
R1(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernetO/0, changed State to up
%LIHK-5-CHANGED: Interface FastEthernetO/0.10, changed State to up
%LINK-5-CHANGED: Interface FastEthernetO/0.30, changed State to up
Faik Nushi MSc.
HTL-Shkoder
46
47. LAN – Switching and Wireless
R1(config-if)#end
R1#
Tabela Routing(Routingtable) tregon, që të dy rrjetet VLAN janë njohur.
R1#show ip route
...
172.17.0.0/24 is subnetted, 2 subnets
C
172.17.10.0 is directly connected, FastEthernet0/0.10
C
172.17.30.0 is directly connected, FastEthernet0/0.30
Duhet bërë kujdes që gjatë konfigurimit të Subinterfacet të mos harrohet të shkruhet
„no shutdown― sepse ajo nuk do të ndizet.
Switchport , që është i lidhur fizikisht me Routerportin , duhet konfiguruar si portë trunk.
S1#configure terminal
S1(config)#vlan 10
S1(config-vlan)#vlan 30
S1(config-vlan)#exit
S1(config)#interface f0/5
S1(config-if)#switchport mode trunk
S1(config-if)#end
S1#
Rasti 3: lidhje trunk, VLAN1 (172.17.10.0/24) dhe VLAN2 (172.17.30.0/24) do të
rutohetme një switch të shresës së 3. Në këtë rast adresat e IP do të caktohen në çdo
VLAN dhe VLAN vetë do të aktivizohet. Më përpara duhet që porta trunk e switchit së
shtresës 3 të jetë gati për routim (ip routing).
S3(config)#interface f0/0
S3(config-if)#ip routing
S3(config-if)#exit
S3(config)#interface vlan 10
S3(config-if)#no shutdown
S3(config-if)#ip address 172.17.10.1 255.255.255.0
S3(config-if)#interface vlan 30
S3(config-if)#no shutdown
S3(config-if)#ip address 172.17.30.1 255.255.255.0
S3(config-if)#exit
Komente
Edhe në këtë rast është me kuptim që emërimi i adresave IP dhe numrave
VLAN të jenë konform.
Faik Nushi MSc.
HTL-Shkoder
47
48. LAN – Switching and Wireless
Natyrisht në këtë rast duhet që në switchin e shtresës 3 të jetë një protokoll
routimi i konfiguruar dhe duhet rregjistrohen rrjetet e lidhura VLAN.
Switchporti i përshtatshëm, i switchit të shtresës 2 Sl duhet konfiguruar si trunk.
Kujdes
Një lidhje trunk, në të cilën i gjithë trafiku i rutimit lundron në të, duhet te ndergjoj te gjith
Rrjetin se cfar behet. Atëherë është e nevojshme që Subinterfacet të veprojnë në më
shumë interface fizike.
6.3 Troubleshooting Inter-VLANRouting
Gabime të mundshme në konfigurim:
Janë subinterfacet në router, por switchi nuk ka trunk
mungesa e trunk në shumë switch në seri pa redundancë
rënditja jokorrekte e VLAN-ëve në portat fizike:
mund të kontrollohet me komandat show interfaceinterface-idswitchport
S1#show interfaces fastEthernet 0/4 switchport
Rënditja jë korrekte të ID të VLAN-it me Subinterfacet:kontrollohet me
komandën show interfaceose show run
Falsche Adresse beim Host: Kontrolle mit ipconfig/all
Falscher Gateway beim Host: Kontrolle mit ipconfig/all
Faik Nushi MSc.
HTL-Shkoder
48
49. LAN – Switching and Wireless
7 Konceptet bazë të Wireless dhe konfigurimi
7.1 Wireless LAN
Transmetimi i Wirelessit mund të përdoret nga përmasat më të vogla (PAN) deri në ato
përmasa botërore(WAN).
Figura55: Teknologjitë dhe rrjetet e ndryshme në Wireless
Në zonën LAN interesante për ne janë përmbajtja e simboleve të reja në topologji:
Figura56:Wireless - Router dhe Wireless - Access Point
Fillimet e standarteve Wireless ishin vendosur me IEEE 802.11.Ato përputhen me
standartet IEEE 802.3 në zonën e LAN-it. Mediumi i transmetimit janë valët e radios
(RF) me karakteristikat: ska kufi, pambrojtur nga ndikimet e jashtme, nganjëherë
humbje të lidhjes, emra të ndryshëm në vënde të ndryshme.
Një krahasim ndërmjet WLAN dhe LAN tregohen më poshtë:
CharacCChateristic
802.11 Wireless LAN
802.3 Ethernet LANs
Physical Layer
Radio Frequency (RF)
Cable
Media Access
Collision Avoidance
Collision Detection
Availability
Anyone with a radio NIC in ränge of an access
Cable connection required
point
Signal Interference
Yes
Inconsequential
Regulation
Additional regulation by local authorities
IEEE Standard dictates
Figura57: Krahasimi i WLAN me LAN
Faik Nushi MSc.
HTL-Shkoder
49
50. LAN – Switching and Wireless
Standartet WLAN
Standarti i shpejtësisë së transmetimit filloi me shpikjen 1Mbps (IEEE 802.11) dhe
pason me standartin aktual IEEE 802.11n në një shpejtësi prej 300Mbps. Standarti më
i përdorur sot është ai IEEE 802.11g me shpejtësi maksimale 54Mbps. Këtë shkallë e
arrin edhe IEEE 802.11a, mirëpo ky protokoll nuk mund te bashkpunoj me protokollin e
vjeter IEEE 802.11b.
IEEE802.11hështë një shpikje e mëtejshme e 802.2a, por mund të zgjedhë zonën e
frekuencave dinamikisht dhe mund te regullohet fuqia e transmetimit te rrezeve (TPCTransmission Power Control). Figura e mëposhtme tregon standardet kryesore te
Wirelesit.
Figura58: Standartet e ndryshme në WLAN
Zhvillimin i frekuencave për një perjudhë kohore është trguar më tabelën më poshtë:
Figura59: Zhvillimi i WLAN-it
MIMO (Multiple Input Multiple Output): Punon me shumë antena (max. 8); në praktik 3
antena përdoren për më nisë të dhëna dhe 2 antena për të marrë të dhëna, ku ka një
Faik Nushi MSc.
HTL-Shkoder
50
51. LAN – Switching and Wireless
rritje më të madhe të fuqisë.
Në qoftë se një paisje është e çertifikuar, në faqen e saj të internetit është e shkruar
WI-FI Alliance. Kjo logo gjendet edhe në shumë paisje.
Që të marrim dhe nisim sinjal radioje(RF-Signal), paisja ka nevojë të ketë një Wireless
NIC(kartë Wireless).
Në laptopë është zakonisht e inkorporuar brënda, por ka edhe karta Wireless të
jashtme gjithashtu:
Figura60:Pajisje për WLAN
Access Points bën të mundur lidhjen e një klienti me WLAN e një ndërrmarrje.
Figura61: Access Points
Sikurse punon Ethernet-LAN me CSMA/CD (CD-Collision Detect / Gjetja e gabimit),
në WLAN përdoret mënyra CSMA/CA (CA-Collision Avoidance / Devijimi i gabimit) që
të mos ket përplasje(collision) në rrjet.
Wireless
Router
është
një
paisje
multifunksionale (Router, Access Point,
Switch), i cili krijon një rrjet LAN dhe bën
lidhjen me një rrjet tjetër.
Figura62:Wireless Router
Faik Nushi MSc.
HTL-Shkoder
51
52. LAN – Switching and Wireless
7.2 Konfigurimi i AP
Hapat bazë të konfigurimit të Access Point
Zgjidhja e mënyrës (802.1 la, b, g, n)
Vendosja e SSID (Service Set Identifier, indentifikon një sinjal radioje, shkronja
dhe numra deri tek 32 karaktere)
Zgjedja e kanalit (në Europë me b- dhe g- janë 13 kanale në dispozicion,me një
diferancë prej 5 hapësirash p.sh. 1, 6, 11, 3, 8, 13, ...). Banda 2,4 GHz është e
gjërë 80MHz, ku çdo kanal përfshin 22 MHz.
Figura63: Frekuencat që përdoren për Kanalet e WLAN-it
Në standartin a- janë 19 dhe 23 kanale të lira për përdorim,
standarti n- është i gjërë ndërmjet bandave 20MHz dhe
40MHz për kanal. Një kanal 40MHz përbëhet me dy kanle
20MHz(i pari dhe i dyti). Në 2,4 GHz-Band mund të perdoret
vetem një herë Kanali n Kanal 40-MHz. Nga numri madh i
antenve është e mundur të përdorësh një kanal në të njëjtin
rang frekuencash.
Në kanalet me gjërësi 40MHz duhet të përdoren vetëm
bandat 5GHz, për të zdukur shqetësimet e valëve të tjera .
Figura64:MIMO-AP
Zgjidhje me kuptim
Lidhja e dy rrjeteve valor: një paisje e vjetër 802.11 b/g, dhe një rrjet i rri me band 5GHz
802.11n. Me zgjidhjen e paisjes së vjetër b ose g, nëdrrohet edhe kanali i paisjes së re
në sistemin e vjetër dhe kshtu humb shpejtsin që mund të ket. Që te mos ndodh kjo
mund të bëhet që Access Pointi të punoj vetëm më standartin e ri 802.11n, atëher do të
keni edhe shpejtsinë më të madhe në rrjetin tuaj.
Faik Nushi MSc.
HTL-Shkoder
52
53. LAN – Switching and Wireless
Dhënia e emrit SSID
Figura65:Konfigurimi i ne Access Pointi
Topologjitë Wireless
Ad hoc: klientat komunikojnë pa AP me njëri-tjetrin; mund të themi se
përdorimIBSS (Independent Service Set)
Figura66: Rrjeti Ad-hoc në Wireles
Infrastrujtura e rrjetit: klientat komunikojnë nëpërmjet AP me njëri-tjetrin; kur
bëhet fjalë për një AP të vetëm thuhet BSS (Basic Service Set). Në qoftë se
qasja bëhet nëpërmjet disa AP, që frekuencat e radiove përputhen, kemi të
bëjmë me ESS (Extended Service Set). Një sistem shpërndarje (Distribution
System) rregullon komunikimin mes AP dhe është baza për Roaming.
Komunikimi i Klientit dhe AP: Që të krijohet një lidhje ndërmjet tyre do të
zbatohen disa hapa. Nëpërmjet Beacon Frames (beacon = Leuchtfeuer bzw.
Funkfeuer) do nisen ngë AP rregullisht FRAME me informacionet si largesa me
SSID, shpejtësia e transferimit e përdorur, konfigurimet e sigurisë,. .... Lidhje e
tyre përbëhet nga tre hapa:
Faik Nushi MSc.
HTL-Shkoder
53
54. LAN – Switching and Wireless
Prova request/response: Klienti nis SSID e tij në të gjitha kanalet, AP
përgjigjet (unicast), kur një kient kërkon një AP, nis prova pa SSID dhe të gjithë
AP përgjigjen.
Authentication request/response: Hapi i dytë bën fjalë për indentifikimin.
NëOpen Authentication AP pranon çdo kërkesë, në Shared Key AP pranon
vetëm ato që kanë atë qelës.
Assoziation request/response: Në hapin 3 ndrërrohen parametrat e sigurisë
dhe shpejtësia e transmetimit, klienti mëson adresën MAC të AP dhe AP i
përgjigjet klientit në një rast poritiv me AID (Assoziation Identifier). AP ruan
adresënMAC (= BSS ID) të klientit në tabelën e tij MAC-tabe.
WLAN është një medium i ndarë, kështu që duhet tia ndajë çdo klienti të njëtën
shpejtësi transmetimi. Për te pasur nje lidhje stabile kur përdoren më shumë Access
Points, duhet që APs të jen në përdorim në kanale të ndryshme. Gjithashtu duhet te
kontrollohet fuqia e valëve(transmitted power).
Zona e mbulimit - Wireless Plan
Kur duhet mbuluar një zonë me AP optimalisht, duke marrë rrezen e një vale RF 15m 2
(gjatësia e anës z = 21,5m) mbulohet afërsisht 450m2. Për të nbuluar një zonë më të
madhe pa humbje sinjali, duhet një ndëthurje të valëve RF nga 10% - 15%..
Figura67:Planifikimi i një WLAN
Për një ndërtesë si e treguar djathtas (sipëfaqja = 1000m2) nevojiten 4 AP.
7.3 Sigurimi i Wireless LAN-it
Mund të klasifikojmë tri lloje sulmesh të një WLAN:
War Driving
Sulmuesit hulumtojnë ne një program Sniffing (kismet, netstumbler,) dhe kërkojnë për vrima
sigurie të WLAN.
Hakerat (Crackers)
Thuhet për njerëzit, për njerëzit që zotërojnë mirë njohuritë e Informatikës dhe me një
Faik Nushi MSc.
HTL-Shkoder
54
55. LAN – Switching and Wireless
program Sniffer bëjnë të mundur hyrjen në sisteme të huaja dhe ilegalisht të vjedhin të
dhënat. Një shembull klasik është sulmi man-in-the-middle (MITM).
Edhe sulmet DoS (Denial of Service) janë një fushë e hapur veprimi për hakerat.
MITM
Hakeri e bën të mundur hyrjen në një rrjet me paisjen e tij dhe vjedh të dhënat, që janë
për paisje tjera dhe transmetohen me anë paisjen së tij. Në këtë rast merr karta e tij
wireless (NIC) çdo gjë që shperndan një Access Point në të njëtën frekuenc me të. Në
qëftë se hakeri vendos si destinacion adresën e tij MAC ai mund të spionojë të gjithë
trafikun.
DoS
Janë ato njërëz që prishin një paisje, që më pas nuk është më në gjëndje të zbatojë
punën e saj të rregullt. Në rastin e bandës të frekuencës 2,4 GHz është e lehtë të
thyhet nga paisje tjera të së njëjtës frekuenc (furrat me mikrovalë, Baby
Phones, telefonat pa tela, ...). Laptopi i hakerit mund të prishë lidhjen e klientave tjerë
me AP ose nga nisja e përsëritur e paketave CTS ta zhdukë faqe login
Punonjësit
Janë atë njerëz që instalojnë AP (për të huaj ose ndonjë firmë), i thyejnë të gjitha
ndalesat e sigurisë dhe përdorin internetin më të shpejtë.
Wireless Security Protocols
Që Wireless të jetë i sigurt, prej një periudhe 10 vjeçare është krijuar WEP më pas
WPA dhe WPA2/802.11i. Një shpjegim të shkurtër na jep grafika e mëposhtme:
Figura68:Zhvillimi i sigurisë ne rjetin Wireles
Faik Nushi MSc.
HTL-Shkoder
55
56. LAN – Switching and Wireless
WEP (Wired Equivalent Privacy)
Protokoll me algoritëm enkriptimi RC4 (ka edhe më të mirë), dhënia manuale e
qelësave WEP (shpesh janë shumë të dhjeshtë), përhapet çdo 16 million paketa dhe
nuk esh tmir i ruajtur.Edhe transferimi i të dhnënave nuk është i sigurt (vetëm CRC - 32
Bit).Ky protokoll quhet si protokolli më pak i sigurt, sepse me programet si WEP-keys
mund ta krakosh në nje kohë të shkurtër shumë lehtë.
WPA (WiFI Protected Access)
Si përgjigje nga siguria e keqe e WEP u krijua standarti 802.1 li për WLAN i bazuar në
IEEE 802.1x. Ket Standart e kan modifikuar disa kompani (p.sh. Cisco) për të rritur
sigurin e identifikimit.Bazuar nga enkriptimi i WEP do të riitet IV në 48 Bit (përsëritje
vetëm pas 280 bilion paketave), TKIP (Temporary Key Integrity Protokoll) me shume
veçori të tjera sigurie (kriptimi i Layer2 Payload, përdor vjera HASH dhe kontrollon me
MIC origjinalitetin e paketave) të vendosura dhe identifimikimi do të ndryshohet
thelbësisht(preshared key për përdorim përsonal dhe RADIUS-Server për
ndërrmarrje). Si strukturë e 802,1x vje në përdorim EAP (Extensible Authentication
Protocol.
Figura69: Identifikimi për hyrjen në WLAN
Siç e treguar në grafikën e mësipërme, paketat EAP të 802.x do të transportohen nga
një Access Point tek një Server AAA,i cili nga konfigurimi i tij e lejon klientin të futet. Me
disa tipe të ndryshme EAP (EAP-MD5, LEAP, PEAP, TLS, EAP-FAST, ...) arrihen
nivele të ndryshme sigurie.
Faik Nushi MSc.
HTL-Shkoder
56
57. LAN – Switching and Wireless
Figura70: Autorizimi në WLAN nëpermjet RADIUS Server
WPA2 (802.11i)
WPA2 përdor një kriptim më të mirë me AES (Advanced Encryption Standard) i cili nuk
është i pa krakueshëm, dhe punon me baza të TKIP. Me emrin CCMP (Countermode
Cipher Block Chaining Message Authentication Mode) do të përshkuhen karakteristikat
e sigurisl. Për WPA2 duhet Hardware i nevojshëm (entsprechender Chip), sepse një
update të si për WPA nuk është e mundur.
Për një konfigurim normal të Access Pointit duhen ndiqur këto hapa:
Fikja e SSID-Broadcasten
Konfigurimi i adresave MAC, që lejojnë hyrjen në AP (kur AP ka pak karakteristika të
sigurise,adresat MAC mund të fallsifikohen lehtë)
Përdorimi i WPA2 (të gjithë klientat duhet të përdorinn gjithashtu këtë krotokoll)
7.4 Konfigurimi i aksesit në Wireless LAN
Vështrim i hapave të konfigurimit:
Step 1: Verify local wired Operation—DHCP and Internet access
Step 2: Install the access point
Step 3: Configure the access point—SSID, (no security yet)
Step 4: Install one wireless dient (no security yet)
Step 5: Verify wireless network Operation
Step 6: Configure wireless security—WPA2 with PSK
Step 7: Verify wireless network Operation
Faik Nushi MSc.
HTL-Shkoder
57
58. LAN – Switching and Wireless
Konfigurimi do të demostrohet në një shembull Linksys WRT300N. Në fillim duhet që
AP të lidhet me kabëll të shkurtër me Laptopin, dhe të dy të jenë në të njëjtin rrjet
192.168.1.x (aktivico DHCP, kur AP punon me një DHCP-Server), ku AP shpesh përdor
adresën ip 192.168.1.1, për konfigurimin me browser. Tek faqja e logimit username
duhet lënë bosh dhe si fjalëkalim përdoret admin. Pasi identifikohesh me sukses, më
pas duhet dhënë fjlëkalimi i ri.
Figura71: Fajlkerkimi për konfigurimin e ruterit
Konfigurimi bazë i opsioneve të Wireless:
Figura72: Konfigurimi bazë i Access Pointit prej ne GUI
Faik Nushi MSc.
HTL-Shkoder
58
59. LAN – Switching and Wireless
Opsionet e konfigurimit të sigurisë:
Figura73: Zgjidhja e sigurise
Duke plotësuar „Personal― kuptohet që AP do të punojë pa një Server AAA, por po të
plotësosh ―Enterprise‖ duhet një server AAA. Në këtë rast AP do të lidhet sipas adresës
IP të serverit dhe portës. Në vënd të WPA dhe WPA2 mund të quhet edhe PSK dhe
PSK2.
Figura74: Fjalkërkesa e rrjetit Wireless
Si enkriptim ndërmjet WEP, TKIP, AES është e varur se në cfarë Mode është i
zgjedhur enkriptimi.
Çelësi për identifikim mund të jetë me shenja WEP 10 dhe 26 HEX, në rastin e WPA
dhe mund të jetë nga 8 deri 63 shenja ASCII i gjatë.
Por mund të lihet edhe i hapur.
Klienti konfiguron parametrat e tij të sigurisë sipas AP.
Faik Nushi MSc.
HTL-Shkoder
59
60. LAN – Switching and Wireless
7.5 Zgjidhja e problemeve në WLAN
Klienti nuk është i lidhur me AP
Jeni larg nga AP? Kontrolloni gjëndjen fizike të AP me një lidhje fizike.
Firmware në versionin më të ri? - Update
Figura75: Firmware update prej ne Webbrowser
Zgjidhje e papështatshme e kanalit? – ndërrimi i kanalit
Figura76: Problemet me frekuencen e gabuar
Identifikimi dhe enkriptimi i konfigurimeve? – të bëjmë korrigjimin
Faik Nushi MSc.
HTL-Shkoder
60
61. LAN – Switching and Wireless
8 Detyrat në Labor
8.1 Konfigurimi baze i Switchit
Figura77:Diagrama e topologjise
Device
Interface
IP Address
Subnet Mask
Default Gateway
PC1
NIC
172.17.99.21
255.255.255.0
172.17.99.11
PC2
NIC
172.17.99.22
255.255.255.0
172.17.99.11
S1
VLAN99
172.17.99.11
255.255.255.0
172.17.99.1
Tabela1:IP-Adresat
Te mesojme objektivat
Te fshijme konfigurimin ekzistues te switchit
Te verifikojme konfigurimin e switchit
Te krijojme nje konfigurim baze te switchit
Te menagjojme tabelen e adresave MAC
Te konfigurojm sigurine e portave
Hyrja
Ne kete detyre do te ekzaminojme dhe konfigurojme nje switch standart per rrjete LAN. Edhe
pse nje switch i kryen funksionet e tija baze ne gjendje fillestare, jane nje sere parametrash te
cilat duhet te konfigurohen nga administratori i rrjetit ne menyre qe te kemi nje rrjet LAN
optimal dhe te sigurte. Kjo detyre ju prezanton juve me konfigurimet baze te switchit.
Detyra 1: Te fshijme konfigurimin ekzistues te switchit
Faik Nushi MSc.
HTL-Shkoder
61
62. LAN – Switching and Wireless
Hapi 1. Te hyjme ne modulin e privilegjuar EXEC duke shtypur komanden enable.
Kliko ne S1 dhe pastaj ne butonin CLI. Shkruaj komanden enable per te hyre ne modulin e
privilegjuar EXEC.
Switch>enable
Switch#
Hapi 2. Fshij informacionet e bazes se te dhenave te VLAN.
Baza e te dhenave te informacionit ne VLAN ruhet e ndare nga dokumenti i konfigurimit ne
vlan.dat ne flash memory. Per te fshire dokumentin e VLAN, perdorim komanden delete
flash:vlan.dat.
Switch#delete flash:vlan.dat
Delete filename [vlan.dat]? [Enter]
Delete flash:vlan.dat? [confirm] [Enter]
Hapi 3. Fshini dokumentin e konfigurimit te “startup” te switchit ne NVRAM.
Switch#erase startup-config
Erasing the nvram filesystem will remove all configuration files!
Continue? [confirm] [Enter]
[OK]
Erase of nvram: complete
Hapi 4. Te verikohet fshirja e informcionit te VLAN
Verifiko qe konfigurimii VLAN eshte fshire me ane te komandes show vlan.
Switch#show vlan brief
VLAN Name
Status
Ports
---- ----------------------------------------------------1
default
active
Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20
Fa0/21, Fa0/22, Fa0/23, Fa0/24
10
VLAN10
active
30
VLAN30
active
1002 fddi-default
active
1002 fddi-default
active
1003 token-ring-default
active
1004 fddinet-default
active
1005 trnet-default
active
Konfigurimi i VLAN eshte akoma i ruajtur ne switch. Ndiqi hapat e meposhtem per te fshire
ate.
Hapi 5. Ristartoje edhe nje here switchin.
Shkruani komanden reload ne modulin e privilegjuar EXEC per te filluar procesin.
Switch#reload
Proceed with reload? [confirm] [Enter]
%SYS-5-RELOAD: Reload requested by console. Reload Reason:
Command.
<output omitted>
Press RETURN to get started! [Enter]
Faik Nushi MSc.
HTL-Shkoder
Reload
62
63. LAN – Switching and Wireless
Switch>
Detyra 2: Te verifikojme konfigurimin e switchit.
Hapi 1. Futemi ne modulin e privilegjuar.
Ju mund te keni akses ne te gjithe komandat e switchit ne modulin e privilegjuar. Megjithate,
per shkak se shume nga komandat e privilegjuara kofigurojne parametrat operative, aksesi ne
keto komanda duhet te jete i mbrojtur nga nje fjalekalim per te parandaluar perdorimin e
paautorizuar. Komandat e privilegjuara perfshijne ato komanda te modulit EXEC dhe te
konfigurimit me ane te te cilave fitojme akses ne komandat e mbetura te moduleve.
Switch>enable
Switch#
Hapi 2. Te ekzaminojme konfigurimin aktual te swichit.
Te ekzaminohet konfigurimi aktual i switchit duke perdorur komanden show running-config.
Sa FastEthernet interface ka switchi? ___________________________________________
Sa GigabitEthernet interface ka switchi? ________________________________________
Sa eshte vargu i vlerave te treguar ne rreshtin vty?___________________________________
Te ekzaminojme permbajtjen aktuale te NVRAM duke perdorur komanden show startupconfig.
Pse switchi jep kete pergjigje? _________________________________________________
Asnje konfiurim nuk eshte ruajtur ne NVRAM. Neqoftese switchi eshte konfiguruar dhe nuk
eshte fshire atehere konfigurimi do te tregohet. A switch fresh out of the box would not have
been pre-configured.?
Ekzamino karakteristikat e interfejsit virtual VLAN1 duke perdorur komanden showinterface
vlan1.
A kemi aty ndonje adrese IP te te ruajtur ne switch? _________________________________
Sa eshte MAC adresa e interfejsit virtual te switchit? _________________________________
A eshte i ndezuar interfejsi? ____________________________________________________
Tani te shofhim vetite e IP adreses te interfejsit duke perdorur komanden show ip interface
vlan1,Çfare shikoni? ___________________________________________________
Hapi 3. Paraqitja e informacioneve te Cisco IOS
Paraqit informacionet e Cisco IOS duke perdorur komaden show version.
Çfare versioni eshte Cisco IOS-i i perdorur ne switch? ________________________________
Cili eshte emri i imazhit te sisitemit? _____________________________________________
Cila eshte MAC adresa bazee switchit? ___________________________________________
Hapi 4. Ekzamino intefejsin Fast Ethernet
Ekzamino vetite e interfejsit Fast Ethernet te perdorura nga PC1 duke perdorur komanden
show interface fastethernet 0/18.
Switch#show interface fastethernet 0/18
FastEthernet0/18 is up, line protocol is up (connected)
Hardware is Lance, address is 0060.5c36.4412 (bia 0060.5c36.4412)
MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s
Faik Nushi MSc.
HTL-Shkoder
63
64. LAN – Switching and Wireless
Eshte interfejsi i fikur apo i ndezur ? ______________________________________________
Çfare do ta ndizte interfejsin? ___________________________________________________
Cila eshte adresa MAC e interfejsit? ______________________________________________
Cila eshte shpejtesia dhe cilesimet duplex te interfejsit? ______________________________
Hapi 5. Ekzamino informacionet VLAN.
Ekzamino cilesimet e VLAN-it te switchit duke perdorur komanden show vlan.
Cili eshte emri i VLAN1?_______________________________________________________
Cilat porta ka ky VLAN? ___________________________________________________
A eshte VLAN1 aktiv? _________________________________________________ __
Çfare lloj VLAN-i eshte ky VLAN?________________________________________________
Hapi 6. Ekzamino memorien flash.
Ka dy komanda per te ekzaminuar memorien flash, dir flash: or show flash. Perdor njeren
nga keto dy komanda per te ekzaminuar permbajtjen e memories flash.
Cilat dokumente ose udhezues gjenden?
___________________________________________________________________________
Hapi 7. Ekzamino dhe ruaj dokumentin e konfigurimit te fillimit.
Me pare ne hapin e dyte ne kemi qe dokumenti i konfigurimit te fillimit nuk ekzistonte. Bej nje
ndryshim ne konfigurimin e switchit dhe pastaj ruaje ate. Shkruaj komandat e meposhtme:
Switch#configure terminal
Switch(config)#hostname S1
S1(config)#exit
Per te ruajtur permbajtjen e konfigurimit ne NVRAM, perdor komanden copy running-config
startup-config.
Switch#copy running-config startup-config
Destination filename [startup-config]? [enter]
Building configuration...[OK]
Konfigurimi aktual eshte ruajtur ne NVRAM.
Deyra 3: Krijo nje konfigurim baze te switchit
Hapi 1. Vendosi switchit nje emer
Futu ne modulin global te konfigurimit. Ky modul ju lejon juve te menagjoni switchin. Shkruani
komandat e konfigurimit, nga nje per çdo rresht. Vini re se rreshtat e komandave ndryshojne
duke na reflektuar komanden aktuale dhe emrin e switchit. Ne hapin e fundit te detyres se me
arshme, ju konfiguruat emrin e hostit. Ketu mund te rishikojme edhe nje here komandat e
perdorura.
S1#configure terminal
S1(config)#hostname S1
S1(config)#exit
Faik Nushi MSc.
HTL-Shkoder
64
65. LAN – Switching and Wireless
Hapi 2. Vendos paswordet e aksesit.
Futu ne linjen e konfigurimit. Vendos paswordin e fjalekalimit cisco. Konfiguro rreshtat vty nga
0 deri 15 me paswordin cisco.
S1#configure terminal
S1(config)#line console 0
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#line vty 0 15
S1(config-line)#password cisco
S1(config-line)#login
S1(config-line)#exit
S1(config)#
Perse na kerkohet komanda e fjalekalimit? ________________________________________
Hapi 3. Vendos password per modulin e komandave
Vendosi paswordin enable secret klases.
S1(config)#enable secret class
Hapi 4. Konfiguro adresat e shtreses se 3.
Vendos adresen IP te switchit 172.17.99.11 dhe masken subnet 255.255.255.0 ne interfejsin
VLAN 99. Para te vendosim adresat duhet te krijojme njehere interfejsin.
S1(config)#vlan 99
S1(config-vlan)#exit
S1(config)#interface vlan99
S1(config-if)#ip address 172.17.99.11 255.255.255.0
S1(config-if)#no shutdown
S1(config-if)#exit
Hapi 5. Assign portsto the switch VLAN.
Caktojm portat Fastethernet 0/1,0/8 dhe 0/18 te VLAN 99.
S1(config)#interface fa0/1
S1(config-if)#switchport access vlan 99
S1(config-if)#exit
Hapi 6. Caktojm default gateway-n e switchit
S1 eshte switch i shkalles se dyte, keshtu qe merr vendime bazuar ne header-in e shkalles se
dyte. Neqoftese disa rrjetet jane te lidhura ne switch, ju duhet te specifikoni se si switchi I
percjell me tej paketat e frame-it te rrjetit sepse rruga duhet te percaktohet ne shkallen e trete.
Kjo gje behet duke specifikuar ne adres gateway qe tregon nje router ose switch te shkalles se
trete. Edhe pse kjo gje nuk perfshin nje adres IP te jashtme gateway, do supozojme se ju do e
lidhni rrjetin LAN me router per akses te jashtem. Duke supozuar se interfejsi i LAN-it ne router
eshte 172.17.99.1, vendose ate default gateway per switchin.
S1(config)#ip default-gateway 172.17.99.1
S1(config)#exit
Hapi 7. Verifiko cilesimet e menagjimit te LAN-it
Verifiko cilesimet e interfejsit te VLAN 99 me komanden show interface vlan 99.
S1#show interface vlan 99
Vlan99 is up, line protocol is up
Hardware is CPU Interface, address is 0060.47ac.1eb8 (bia
0060.47ac.1eb8)
Internet address is 172.17.99.11/24
Faik Nushi MSc.
HTL-Shkoder
65
66. LAN – Switching and Wireless
MTU 1500 bytes, BW 100000 Kbit, DLY 1000000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
Last input 21:40:21, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0(size/max/drops/flushes);Total output drops: 0
Queueing strategy: fifo
<Output Omitted>
Sa eshte gjeresia e brezit ne kete interejs? ________________________________________
Cila eshte strategjia e queuing? _________________________________________________
Hapi 8. Konfiguro adresen IP dhe default gateway per PC1.
Vendos adresen IP 172.17.99.21 ne PC1, me subnetmask 255.255.255.0. Konfiguro default
gateway me adrese 172.17.99.11. Kliko PC1-shin, tab-in e desktopit dhe pastaj konfigurimi i
IP per te vendosur parametrat e adresave.
Hapi 9. Verifiko lidhjen
Per te verifikuar qe hosti dhe switchi jane te konfiguruar ne rregull, i bejme switchit ping nga
PC1.
If the ping is not successful, troubleshoot the switch and host configuration. Note that this may
take a couple of tries for the pings to succeed.
Neqoftese Ping-u nuk eshte I suksesshem, troubleshoot? konfigurimin e swichit dhe te hostit.
Te keni kujdes pasi do te duhet te beni ping disa here qe ai te jete i suksesshem.
Hapi 10. Konfiguro shpejtesine e portave dhe cilesimet e dupleksit per nje interfejs Fast
Ethernet.
Konfiguro dupleksin dhe cilesimet e shpejtesise ne Fast Ethernet 0/18. Pasi te keni mbaruar
perdorni komanden end per tu kthyer ne modulin e privilegjuar EXEC.
S1#configure terminal
S1(config)#interface fastethernet 0/18
S1(config-if)#speed 100
S1(config-if)#duplex full
S1(config-if)#end
Parazgjedhja ne interfejsin Ethernet te switchit eshte auto-sensing, keshtu qe ai mund te
negocioje automatikisht parametrat optimale.
You duhet te vendosni dupleksin dhe
shpejtesine manualisht vetem nese doni qe nje porte te operoje ne nje shpejtesite dhe modul
dupleksi te caktuar. Konfigurimi manual I portave mund te na çoje ne nje mosperputhje te
dupleksave, e cila ul performancen e portes.
Vini re se si fiket lidhja ndermjet PC1 dhe S1. Fshij komanden e shpejtesise 100 dhe
dupleksit te plote. Tani verifikoni cilesimet e interfejsit Fast Ethernet me komanden show
interface fa0/18.
S1#show interface fastethernet 0/18
FastEthernet0/18 is up, line protocol is up (connected)
Hardware is Lance, address is 0060.5c36.4412 (bia 0060.5c36.4412)
MTU 1500 bytes, BW 100000 Kbit, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s
<Output omitted>
Faik Nushi MSc.
HTL-Shkoder
66
67. LAN – Switching and Wireless
Hapi 11. Ruaj konfigurimin
Ju keni perfunduar konfigurimin bze te switchit. Tani krijoni nje kopje rezerve te konfigurimit ne
NVRAM per t’u siguruar qe ndryshimet e bera nuk do te humbasin neqoftese sistemi
restartohet ose shkeputet energjia.
S1#copy running-config startup-config
Destination filename [startup-config]?[Enter]
Building configuration...
[OK]
S1#
Hapi 12. Ekzaminojme dokumentin e filimt te konfigurimit.
Per te pare konfigurimin e ruajtur ne NVRAM perdor komanden show startup-config nga
moduli i privilegjuar EXEC (enable mode).
A jane te ruajtura ne kete dokument te gjitha ndryshimet e bera?
Detyra 4: Menaxhimi i tabeles se adresave MAC
Hapi 1. Regjistro adresat MAC te hostave
Percaktoni dhe regjistroni adresat e shkalles se dyte te kartave te rrjetit te PC-ve duke ndjekur
keto hapa:
Klikoni te PC.
Zgjidhni butonin e Desktopit.
Klikoni Command Prompt.
Shkruani ipconfig /all
Hapi 2. Percaktoni adresat MAC qe ka mesuar switchi.
Paraqitni adresat MAC duke perdorur komanden show mac-address-table ne modulin e
privilegjuar EXEC. Neqoftese nuk ka MAC adresa beni ping nga PC1 tek S1 dhe kontrollojeni
edhe nje here.
S1#show mac-address-table
Hapi 3. Fshij tabelen e adresave MAC.
Per te fshire MAC adresat ekzistuese perdor komanden clear mac-address-table dynamic
nga moduli i privilegjuar EXEC.
S1#clear mac-address-table dynamic
Hapi 4. Verifikoni rezultatet
Verifikoni qe tabela e adresave MAC eshte fshire.
S1#show mac-address-table
Hapi 5. Ekzamino tabelen MAC edhe nje here.
Shikoni edhe nje here tabelen e adresave MAC ne modulin e privilegjuar EXEC. Tabela nuk
ka ndryshuar, beni ping nga S1 tek PC1 dhe kontrollojeni perseri.
Step 6. Krijo nje adrese statike MAC
Per te specifikuar se necilat porta nje host mund te lidhet, nje opsion eshte te krijojme ne nje
porte nje harte statike te adreses MAC te hostit.
Krijo nje adrese statike MAC ne Fast Ethernet interfejs 0/18 duke perdorur adresen e ruajtur
per PC1 ne hapin e pare te kesaj detyre, 0002.16E8.C285.
S1(config)#mac-address-table static 0002.16E8.C285 interface
fastethernet 0/18vlan 99
Faik Nushi MSc.
HTL-Shkoder
67
68. LAN – Switching and Wireless
Hapi 7. Verifiko rezultatet
Verifiko tabelen e adresave MAC.
S1#show mac-address-table
Hapi 8. Fshij adresen statike MAC
Hyr ne modulin e konfigurimit dhe fshij adresen statike MAC duke shut no perpara komandes.
S1(config)#no mac-address-table static 0002.16E8.C285 interface
fastethernet 0/18vlan 99
Hapi 9. Verifiko resultatet.
Verifikoni qe adresa statike MAC eshte fshire duke perdorur komanden show mac-addresstable static.
Detyra 5: Konfigurimi i sigurise se portave
Hapi 1. Konfiguro nje host te dyte.
A second host is needed for this task. Set the IP address of PC2 to 172.17.99.22, with a
subnet mask of 255.255.255.0 and a default gateway of 172.17.99.11. Do not connect this PC
to the switch yet.
Per kete detyre na nevojitet nje host i dyte. Vendosim adresen IP te PC2 172.17.99.22 me
subnetmask 255.255.255.0 dhe default gateway 172.17.99.11. Nuk duhet t’a lidhim akoma
kete PC me switchin.
Hapi 2. Verifiko lidhjen.
Verifiko qe PC1 dhe switchi jane te konfiguruar ne menyre te rregullt duke bere ping nga hosti
adresen e VLAN 99 te switchit. Neqoftese ping-u nuk funksionon, kontrollokonfigurimin e
switchit dhe te hostit.
Hapi 3. Percakto cilen adrese MAC ka mesuar switchi.
Trego MAC adresat e mesuar duke perdorur komanden show mac-address-table ne modulin
e privilegjuar EXEC.
Hapi 4. Listo opsionet e sigurise se portave.
Eksploro opsionet per cilesimet e sigurise se portave ne interfejsin Fast Ethernet 0/18.
S1# configure terminal
S1(config)#interface fastethernet 0/18
S1(config-if)#switchport port-security ?
mac-address Secure mac address
maximum
Max secure addresses
violation
Security violation mode
<cr>
Hapi 5. Konfiguro sigurine e portave ne nje porte aksesi.
Konfiguro ne switch porten Fast Ethernet 0/18 per te pranuar vetem 2 paisje, per te njohur
adresen MAC te ketyre paisjeve nemenyre dinamike dhe te fiket porta neqoftese ndodh
ndonje shkelje.
S1(config-if)#switchport mode access
S1(config-if)#switchport port-security
S1(config-if)#switchport port-security maximum 2
S1(config-if)#switchport port-security mac-address sticky
S1(config-if)#switchport port-security violation shutdown
S1(config-if)#exit
Faik Nushi MSc.
HTL-Shkoder
68
69. LAN – Switching and Wireless
Hapi 6. Verifiko rezultatet.
Trego cilesimet e sigurise se portave me komanden show port-security interface fa0/18.
Sa
adresa
te
sigurta
lejohen
ne
Fast
Ethernet
0/18
Cila eshte masa e sigurise per kete porte?
Hapi 7. Ekzamino dokumentin e konfigurimit.
S1#show running-config
A shohim te listuar ndonje deklarate e cila reflekton drejtperdrejte ne zbatimin e sigurise te
konfigurimit?
Hapi 8. Modifiko cilesimet e sigurise se portes.
Ne interfejsin Fast Ethernet 0/18, ndrysho ne sigurine e portes maximumin e MAC adresave te
lejuara dhe vendose deri n 1.
S1(config-if)#switchport port-security maximum 1
Hapi 9. Verifiko rezultatin.
Trego cilesimet e sigurise se portes me komanden show port-security interface fa0/18.
A kane ndryshuar cilesimet e sigurise sipas modifikimeve te bera ne hapin 8?
Bej ping nga PC1 adresen e VLAN 99 te switchit per te verifikuar lidhjen dhe per te rifreskuar
tabelen e adresave MAC.
Hapi 10. Prezanto nje host mashtrues.
Shkeput PC e lidhur ne Fast Ethernet 0/18 ne switch. Lidh PC2 me adres IP 172.17.99.22 me
porten Fast Ethernet 0/18. Bej ping adresen 172.17.99.11 te VLAN 99 nga hosti i ri.
What happened when you tried to ping S1?
Vini re: Konvergjenca mund te zgjase me shume se nje minute. Kaloni nga menyra e simulimit
ne ate te kohes reale per te pershpejtuar konvergjencen.
Hapi 11. Riaktivizo porten.
Per sa kohe qe hosti mashtrues eshte i lidhur me Fast Ethernet 0/18, asnje trafik nuk do kaloje
midis hostit dhe switchit. Rilidhim PC1 me Fast Ethernet 0/18, dhe shkruajme komandat e
meposhtme per te riaktivizuar porten:
S1#configure terminal
S1(config)#interface fastethernet 0/18
S1(config-if)#no shutdown
S1(config-if)#exit
Hapi 12. Verifikojme lidhjen.
Pas konvergjences, PC1 duhet te jete perseri i afte te bej ping ne S1.
Faik Nushi MSc.
HTL-Shkoder
69
70. LAN – Switching and Wireless
8.2 Konfigurmi baze i VTP
Figura78:Diagrama e topologjise
Device
Interface
IP Address
Subnet Mask
Default Gateway
S1
VLAN 99
172.17.99.11
255.255.255.0
N/A
S2
VLAN 99
172.17.99.12
255.255.255.0
N/A
S3
VLAN 99
172.17.99.13
255.255.255.0
N/A
PC1
NIC
172.17.10.21
255.255.255.0
172.17.10.1
PC2
NIC
172.17.20.22
255.255.255.0
172.17.20.1
PC3
NIC
172.17.30.23
255.255.255.0
172.17.30.1
PC4
NIC
172.17.10.24
255.255.255.0
172.17.10.1
PC5
NIC
172.17.20.25
255.255.255.0
172.17.20.1
PC6
NIC
172.17.30.26
Tabela2:IP-Adresat
255.255.255.0
172.17.30.1
Ports
Assignment
Network
Fa0/1 - 0/5
802.1q Trunks (Native VLAN 99)
172.17.99.0 /24
Fa0/6 - 0/10
VLAN 30 - Guest (Default)
172.17.30.0 /24
Fa0/11 - 0/17
VLAN 10 - Faculty/Staff
172.17.10.0 /24
Fa0/18 - 0/24
VLAN 20 - Students
Tabela3:Detyrat e portave (S2 dhe S3)
172.17.20.0 /24
Te mesojme objektivat
Bej konfigurimin baze te switchit.
Konfiguro interfejsat Ethernet ne PC-te.
Konfiguro VTP-n dhe sigurine ne switch.
Faik Nushi MSc.
HTL-Shkoder
70