Aquí você poderá ver todas ás perguntas feitas e respondidas durante o evento ao vivo realizado dia 22 de maio de 2019 sobre o tema em questão.
Especialista convidado
Catalyst 2960, configuração, troubleshooting e melhores práticas
P: Quantos switches 2960x posso colocar em um único stack?
R: Pode-se colocar até 8 switches 2960x em uma única.
P: Posso fazer um stack com switch 2960x de 24 e 48 portas?
R: Sim, a Cisco menciona que as feature (ip based ou lan based) devem ser as mesmas.
P: A linha X e XR tem data para EOS/EOL?
R: Conforme informado abaixo, a Cisco não anunciou EOS e/ou EOL para esta serie. 2960x Status Orderable Buy End-of-Sale Date None Announced End-of-Support Date None Announced https://www.cisco.com/c/en/us/support/switches/catalyst-2960-xr-series-switches/tsd-products-support-series-home.html Switches - Cisco Catalyst 2960-XR Series Switches Status Orderable Buy End-of-Sale Date None Announced End-of-Support Date www.cisco.com
2960xr Status Orderable Buy End-of-Sale Date None Announced End-of-Support Date None Announced https://www.cisco.com/c/en/us/support/switches/catalyst-2960-x-series-switches/tsd-products-support-series-home.html Switches - Cisco Catalyst 2960-X Series Switches Status Orderable Buy End-of-Sale Date None Announced End-of-Support Date www.cisco.com
P: IP Based ou Lan Based?
R: Vai depender da necessidade, pois o IP Based pode ser utilizado na camada 3, fazendo processos de roteamento básico. Já o Lan Based, opera somente na camada 2.
P:Pelo que eu entendi o 2960XR ele lê camada 3?
R: A série 2960XE tem em todos seus modelos a feature: IP Based, logo, todos operam na camada 3 caso haja nessidade, basa executar o comando ip routing em modo global e o switch passará a ser um switch de camada L3, mas isso não quer dizer que ele não pode operar em L2.
P:Posso colocar em stack modelos diferentes de 2960x?
R: Essas são as únicas restrições para realizar stackes na série 2960x 1. O empilhamento não é suportado em switches que executam a imagem da LAN Lite. Todos os comutadores na pilha devem estar executando a imagem da LAN Base. 2. Em uma pilha mista de switches Catalyst 2960-X e Catalyst 2960-S, o número de membros da pilha suportados é reduzido de oito para quatro. 3. Em uma pilha mista de switches Catalyst 2960-X e Catalyst 2960-S, a largura de banda de pilha completa é reduzida de 80 Gbps para 40 Gbps. 4. Em uma pilha mista de switches Catalyst 2960-X e Catalyst 2960-S, o tempo de convergência da pilha é aumentado de milissegundos para 1 a 2 segundos.
P: Consigo fazer um stack entre o 2960X e 2960XR?
R: Não, pois eles não compartilham o mesmo modelo de licença IOS. LAN Base and IP Lite não podem ser empilhados, visto que 2960x usa LAN Based e 2960xr utiliza IP Lite.
P: SFP de 1 ou 10Giga?
R: Isso é uma questão de análise de sua infraestrutura. Se sua arquitetura possui alta taxas de transferência, pode-se utilizar 10Gb, sem problemas ou simplesmente 1Gb. Mas tudo é questão de analisar o fluxo de tráfego de sua infraestrutura para definir quais velocidades utilizar, já que os valores de investimentos podem variar de acordo com a solução aplicada.
P: Há modelos 10G?
R: Sim, a cisco em sua série 2960x e 2960xr possui modelos que suportam em suas interfaces de transportas (normalmente utilizadas para conectar nos dispositivos de distribuição).
Caso tenha mais curiosidade a respeito: https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-2960-x-series-switches/datasheet_c78-728232.html Cisco Catalyst 2960-X and 2960-XR Series Switches Data Sheet Cisco Catalyst 2960-X Series Switches. Product Highlights. Cisco Catalyst 2960-X and 2960-XR Series Switches feature: 24 or 48 Gigabit Ethernet ports with line-rate forwarding performance 4 fixed 1 Gigabit Ethernet Small Form-Factor Pluggable (SFP) uplinks or 2 fixed 10 Gigabit Ethernet SFP+ uplinks PoE+ support with a power budget of up to 740W and Perpetual PoE www.cisco.com
P: O serviço de NTP é essencial para auditoria (logs)?
R: Manter as informações com com data e horá correta é de extrema valia para uma auditoria e até mesmo administração. Então, sim, com certeza é essencial tanto para administração quanto para auditoria.
P: Qual a diferenca de tempo entre o PVST e o RAPID PVST?
R: Estes modelos possuem diferentes estados de portas, logo o tempo de convergência entre eles é considerável.
PVST: disabled, listening, learning, blocking e forwarding. RPVST: discarding, learning, forwarding (alternate & backup port).
P: Para que usar STP, se hoje em dia se quiser resiliência, utiliza-se a configuração de Port-Channels?
R: Uma boa prática para conexão de backbone para evitar-se loops e ter uma maior resiliência é a utilização de PORT-CHANNELS, visto que o STP não irá reconhecer a quantidades de interfaces separadamente e sim como uma única virtual. Porém, o stp não atua somente nas interfaces de transportes, ele irá proteger sua topologia de rede como um todo.
Ex simples: Um usuário mal intencionado ou não, acabou plugando um cabo utp em um switch na porta 1 e a outra extremidade na porta 2 do mesmo switch. Isso é suficiente para fazer com que sua rede sofra lentidão até chegar o ponto de não conseguir transferir nenhum quadro. Com o STP, isso seria evitado.
P: Posso utilizar o STP para criar redundancia de uplink (trunk entre 2 switchs)?
R: Sim pode, mas se houver a possibilidade, crie LAGs (Port-channels) entre esses trunks, visto que para o STP será apenas um unico link virtual, então a resiliência do mesmo será transparente para o usuário final em caso de falhas.
P: Jaderson, alguns servidores enviam BPDU, se eu ativar esse comando, nao vou perder a comunicacao com eles?
R: Se algum dispositivo gerar BPDU em uma porta que tem a proteção para o mesmo, com certeza a mesma será desabilitada. Mas se você tiver certeza que o que está enviando BPDU não é um possível indicio de LOOP em camada 2, você pode desabilitar o BPDU Guard nesta interface.
P: Habilitar BPDU filter na interface quer dizer que ela não enviará BPDU para eleição da root port do STP?
R: Temos duas maneiras de configurar o BPDU filter, em modo global ou por interfaces, em ambos os casos tempos comportamentos diferentes.
Interface: A porta não irá participar do STP e loops podem ocorrer Global: Isso habilitará o bpdu filter nas interfaces que tem o port-fast configurado. Normalmente é utilizado este recurso quando não há necessidade de que este dispositivo participe do processo do STP.
Obs: A cisco recomenda que sempre habilite o STP em seus dispositivos para prevenir loops.
P: Qual a finalidade do spantree root guard?
R: Este recurso irá garantir que os root bride que foram predefinidos pelo administrador ou calculados pelo STP automáticamentes, não sejam alterados caso um novo dispositivo sejam inserido em sua infraestrutura. Em resumo, irá assegurar que um outro switch vire root de sua rede.
P: Por defeito o comando transport input ssh, usa sshv1 ou sshv2?
R: Este comando irá apenas definir qual o metódo as suas interfaces receberam conexões remotas, ssh ou telnet; Quando se habilita o ssh em dispositivos Cisco, eles utilizam a versão 1, caso queria alterar a versão do mesmo, execute o comando em modo global: ip ssh version 2.
P: Jaderson, posso utilizar o port-security para bloquear rougue hubs e switches, atraves do numero de macs na porta?
R: O port-security com certeza irá auxiliar na questão de possíveis dispositivos como (switches e hubs), sejam inseridos em sua infraestrutura, visto que ele irá permitir somente um a quantidade de macs definidas pelo administrador. Porém ele não irá detectar que é um hub que está sendo utilizado em determinada interface, mas caso a quantidade de macs apreendidas ultrapasse o permitido, a mesma irá ser desabilitada.
Aconselho utilizar tanto o bpud guard e port-security afim de diminuir ocorrências como estas.
P: Quais melhores praticas para configurar o dhcp snooping?
R: Sempre incluir suas vlans no processo do dhcp snooping e definir quais portas são confiáveis para receber e enviar pacotes DHCP, no caso, as portas de transportes.
P: Nesse LAB, voce tem apenas um Server? É possivel usar dois SW Core como VTP server para alta disponibilidade?
R: Neste lab eu apenas utilizei um servidor VTP. Mas sim, é possível e aconselhável que utilize no mínimo dois servidores VTP, caso um venha falhar, o secundário irá garantir que as vlans continuem a ser gerenciadas.
P: O backup do VTP não poderia ser carregado do startup-config?¬
R: Não, as configurações do VTP não ficam armazenados no arquivo STARTUP-CONFIG, ele fica armazenado na flash em um arquivo chamado vlan.dat.
P: Jaderson, caso eu queria inserir um novo switch, e se minha revisão for menor, qual seria o passo?¬
R: Boas práticas, segurança e recomendação é: Sempre que for inserir um switch na rede, coloque o mesmo em VTP MODE TRANSPARENT, assim o revision id irá ser zerado.
P: STP ainda é ideal para estruturas mais robustas?
R: Em arquiteturas mais robustas é comum encontrar MSTP e RPVST+, STP funciona, porém não recomendado.
P: IP Base faz roteamento com OSPF, EIGRP e BGP?
R: A série 2960x e 2960xr, possui algumas limitações para questões de roteamento, porém suportas os protocolos: OSPF, RIP e STATIC.
Mais informações: https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-2960-x-series-switches/datasheet_c78-728232.html#FeaturesandBenefits Cisco Catalyst 2960-X and 2960-XR Series Switches Data Sheet Cisco Catalyst 2960-X Series Switches. Product Highlights. Cisco Catalyst 2960-X and 2960-XR Series Switches feature: 24 or 48 Gigabit Ethernet ports with line-rate forwarding performance 4 fixed 1 Gigabit Ethernet Small Form-Factor Pluggable (SFP) uplinks or 2 fixed 10 Gigabit Ethernet SFP+ uplinks PoE+ support with a power budget of up to 740W and Perpetual PoE www.cisco.com
P: STP pode ser usado para proteção de anel?
R: Não aconselhável, visto que o STP irá bloquear uma as pontas e a idéia de TOPOLOGIA EM ANEL, se pede. Caso haja necessidade de tal topologia, aconselho utilizar a mesma em L3.
P: Como posso configurar o acesso do ssh via ISE?
R: Por ser um processo um pouco diferente, lhe deixo aqui o manual dispoibilizado no site da cisco para realizar tal operação. https://www.cisco.com/c/en/us/td/docs/security/ise/2-1/cli_ref_guide/b_ise_CLIReferenceGuide_21/b_ise_CLIReferenceGuide_21_chapter_01.html#wp4131017829 Cisco Identity Services Engine CLI Reference Guide, Release 2.1 - Cisco ISE CLI Commands in EXEC Mode [Cisco Identity Services Engine] - Cisco Book Title. Cisco Identity Services Engine CLI Reference Guide, Release 2.1 . Chapter Title. Cisco ISE CLI Commands in EXEC Mode. PDF - Complete Book (4.41 MB) PDF - This Chapter (2.09 MB) View with Adobe Reader on a variety of devices www.cisco.com
P: Se possivel, favor compartilhar o arquivo do Packet Tracer utilizado?
R: Pendente
P: Pode explicar um pouco mais sobre FlexStack?
R: FlexStack é um modúlo que você adquire aparte do switch que pode ser inserido na parte traseira do switch cisco, no qual irá habilitar automaticamente a capacidade de fazer empilhamento. https://www.cisco.com/c/pt_br/support/interfaces-modules/catalyst-2960-x-flexstack-plus-stack-module/model.html Cisco Catalyst 2960-X Flexstack-Plus Stack Module - Produtos e Serviços Catalyst 2960-X Flexstack-Plus Stack Module: Access product specifications, documents, downloads, Visio stencils, product images, and community content. www.cisco.com
P: Posso rodar diferentes versões do STP?
R: A cisco recomenda que utilize sempre a mesma versão. Mas sim algumas versões são compatíveis.
P: Como configurar o VTP?
R: Defina o versão, Domínio, mode e senha.
P: Posso usar SSH ou TELNET nos dispositivos?
R: Com certeza, preferível ssh.
P: O que se pode configurar em uma interface de acesso?
R: Recursos de segurança como port-security, bpduguard, port-fast e etc.
P: O quê se pode filtrar nas Interfaces de transportes?
R:Tráfegos desnecessários utilizando prunning de vlans, dhcp snooping e etc.
