Guide de déploiement de la configuration de l’interface Sensor Network Security Platform
Date de la dernière modification : 2022-07-11 12:41:28 Etc/GMT
Environnement
Synthèse
La matrice suivante définit les paramètres de vitesse et de mode duplex possibles qui peuvent être configurés entre un Sensor et son équipement homologue. La matrice décrit également le mode de fonctionnement qui en résulte (en cas d’échec de l’établissement d’une condition d’erreur ou d’un lien). Lorsque vous déployez le Sensor en mode en ligne, vous souhaitez empêcher toute forme de congestion dans le chemin d’accès aux données. Par conséquent, assurez-vous que ces paramètres sont cohérents entre tous les homologues et tous les ports d’une paire de ports.
Remarque : Cette règle applique le mode d’opération utilisé.
Les ports Sensor, en mode en ligne, sont conçus pour se comporter dans le cadre du lien physique. Si une seule interface de la paire de ports est physiquement hors tension, c’est donc l’autre port de la paire. De cette manière, un administrateur utilisant un mécanisme de redondance Spanning Tree ou VRRP peut être certain que les conditions d’échec sur un segment se propagent aux autres homologues du réseau connecté sur l’autre Sensor segment joint.
Le codage en dur des interfaces Gigabit Ethernet en duplex intégral peut avoir un impact sur cette redondance. Les différences de paramètres de vitesse et de duplex sur une paire de ports Sensor ou sur les équipements homologues peuvent rendre difficile la détection de défaillances VRRP ou STP. Vous devez garantir une vitesse et un duplex cohérents sur la paire de ports Sensor et les équipements homologues.
REMARQUE : Eléments ombrés = interfaces Gigabit
Sensor de configuration (vitesse/duplex) |
Commutateur de configuration (vitesse/duplex) |
Vitesse/duplex en résultant Sensor |
Vitesse/duplex de commutation qui en résulte |
Commentaires |
1000-AUTOMATIQUE |
1000-AUTOMATIQUE |
1000 Mbps, duplex intégral |
1000 Mbps, duplex intégral |
Configuration valide3 |
1000 Mbps, duplex intégral |
1000 Mbps, duplex intégral |
1000 Mbps, duplex intégral |
1000 Mbps, duplex intégral |
Configuration manuelle2 valide |
1000 Mbps, duplex intégral |
AUTO |
1000 Mbps, duplex intégral |
Vers le bas |
Un lien n’est pas établi, bien que le port Sensor soit considéré comme actif |
AUTO |
1000 Mbps, duplex intégral |
Vers le bas |
1000 Mbps, duplex intégral |
Un lien n’est pas établi, bien que le port de commutateur soit considéré comme actif |
100 Mbps, duplex intégral |
AUTO |
100 Mbps, duplex intégral |
100 Mbps, semi-duplex |
Non-concordance du duplex1 |
AUTO |
100 Mbps, duplex intégral |
100 Mbps, semi-duplex |
100 Mbps, duplex intégral |
Non-concordance du duplex1 |
100 Mbps, duplex intégral |
100 Mbps, duplex intégral |
100 Mbps, duplex intégral |
100 Mbps, duplex intégral |
Configuration manuelle2 valide |
100 Mbps, semi-duplex |
AUTO |
100 Mbps, semi-duplex |
100 Mbps, semi-duplex |
Le lien est établi, mais Sensor ne voit pas les informations de négociation automatique du commutateur. Il est défini par défaut sur le mode semi-duplex en cas d’utilisation à 10/100 Mbps. |
10 Mbps, semi-duplex |
AUTO |
10 Mbps, semi-duplex |
10 Mbps, semi-duplex |
Un lien est établi, mais le commutateur ne voit pas l’impulsion de liaison rapide (FLP) et est défini par défaut sur 10 Mbit/s semi-duplex. |
10 Mbps, semi-duplex |
100 Mbps, semi-duplex |
Aucun lien |
Aucun lien |
Aucun des deux côtés n’établit un lien en raison d’une non-concordance de vitesse. |
AUTO |
100 Mbps, semi-duplex |
100 Mbps, semi-duplex |
100 Mbps, semi-duplex |
Un lien est établi, mais le Sensor ne voit pas d’informations de négociation automatique. La valeur par défaut est 100 Mbps, semi-duplex. |
AUTO |
10 Mbps, semi-duplex |
10 Mbps, semi-duplex |
10 Mbps, semi-duplex |
Un lien est établi, mais le Sensor ne voit pas les paramètres FLP et par défaut à 10 Mbits/s, semi-duplex. |
1 Une non-concordance de duplex peut entraîner des problèmes de performances, une connectivité intermittente et une perte de communication. Lors de la résolution de problèmes d’interface ou de port, vérifiez que le Sensor et le commutateur utilisent une configuration valide.
2 Certaines interfaces de commutateurs tiers peuvent revenir en mode de fonctionnement semi-duplex, même si le Sensor et le commutateur ont été configurés manuellement pour 100 Mbps, duplex intégral. Ce comportement est dû au fait que la détection de lien de négociation automatique de commutateur fonctionne toujours même si l’interface du commutateur a été configurée manuellement. Le résultat est un incohérence en duplex entre le port de commutateur et le Sensor. Les symptômes incluent les erreurs de performances de port et les erreurs de séquence de vérification d’image (FCS) qui s’incrémentent sur l’interface de commutateur ou sur le port ou le port Sensor. Pour résoudre ce problème, configurez manuellement le port de commutateur et Sensor à 100 Mbps, semi-duplex de manière temporaire. Si cette action résout les problèmes de connectivité, c’est une bonne indication de ce problème. Nous vous recommandons d’effectuer une mise à niveau vers le logiciel le plus récent pour ce commutateur ou de contacter le fournisseur du commutateur pour plus de support.3 Lorsque cela est possible, utilisez un paramètre manuel (vitesse fixe) sur le port du moniteur du capteur et sur le périphérique réseau connecté. Si vous utilisez un GBIC cuivre Gigabit avec un kit de secours, vous devez utiliser la configuration de négociation automatique à la fois sur le Sensor et l’équipement homologue. Ce paramètre permet de s’assurer qu’une condition de port vers le bas force le kit d’ouverture de secours à passer en mode de contournement.
Pourquoi la vitesse et le duplex ne sont-ils pas codés en dur sur un seul partenaire de liaison ?
Comme indiqué dans le tableau ci-dessus, le fait de définir manuellement la vitesse et le duplex sur Full-duplex sur un partenaire de liaison entraîne une non-concordance du duplex. Cet État est le résultat de la désactivation de la négociation automatique sur un partenaire de liaison, tandis que l’autre partenaire de liaison passe par défaut à une configuration semi-duplex. Un duplex non-concordance entraîne un ralentissement des performances, une connectivité intermittente, des erreurs de liaison de données et d’autres problèmes. Si le but n’est pas d’utiliser la négociation automatique, les deux partenaires de liaison doivent être configurés manuellement pour la vitesse et le duplex (Full-duplex est toujours recommandé).
Considérations relatives à la technologie Gigabit et à l’ouverture de panne
Cette section a été réservée en raison de fausses idées liées à la technologie Gigabit Ethernet et de ses préjugés sur le fonctionnement des paramètres de vitesse et de duplex. Souvent, l’hypothèse d’une négociation et d’un fonctionnement en mode duplex et de vitesse est que le même modèle d’opération à partir d’Ethernet et Fast Ethernet est reporté dans les normes Gigabit. Cette supposition n’est pas le cas et les techniques utilisées avec FLP ne sont plus utilisées.
Fibre Ethernet Gigabit ne prend pas en charge les extensions des messages de négociation automatique standard, par exemple les liens 10/100/1000. Il ne négocie pas les paramètres autres que la vitesse de 1000 Mbit/s et, dans la plupart des cas, l’utilisation du duplex intégral. Malgré la plupart des ports Gigabit Ethernet qui négocient uniquement 1000 Mbit/s en duplex intégral, il existe toujours des différences importantes entre le codage manuel des ports et l’utilisation de la négociation automatique pour dériver la même vitesse et le même duplex. L’équipement, lorsqu’il est configuré pour la négociation automatique, n’établit pas de lien avec un homologue qui a été codé manuellement.
Les interfaces peuvent être déconnectées sans indication ni modification de l’état de l’interface. Le Gigabit Ethernet en mode Full-duplex force le port à fonctionner en permanence, sauf si l’administrateur le désactive. Cet État est à nouveau une fonction de négociation automatique ou, dans ce cas, l’absence de celui-ci.
Dans la technologie Gigabit Ethernet, la négociation automatique est responsable de la détection de certaines erreurs et conditions de la couche physique. Si la négociation automatique n’est pas activée, ces conditions ne peuvent pas être détectées et incluent la perte de signal sur les câbles.
Cette absence de détection a des répercussions sur les réseaux sur lesquels des kits de panne externes sont déployés. Il est conseillé de toujours placer les ports de Sensor et les ports homologues homologue en mode automatique 10/100/1000, lors de l’utilisation de kits Fail-open externes. Si les ports sont codés en dur, le Sensor peut ne pas déterminer s’il a perdu la connectivité à l’équipement homologue à l’aide d’une coupure de câble entre le Sensor et le kit de secours. Dans ce cas de figure, le kit de prévention de défaillance ne contournerait jamais le Sensor et vous pourrez voir la perte de paquets.
Certains environnements ne sont pas en mesure de prendre en charge l’opération automatique 1000 en raison des limitations de l’équipement homologue, où un équipement homologue prend uniquement en charge l’opération d’encodage codé en dur 1000 complète et un autre équipement homologue prend en charge l’opération automatique 1000. Ces environnements ont différents paramètres par homologue et par port.
Ces problèmes concernent les erreurs de compréhension des structures de commande pour ces modes de fonctionnement sur les équipements homologues. Vous vous attendez à utiliser des commandes similaires à
Vous pensez peut-être qu’il n’existe aucun moyen de définir cette option sur le port Gigabit. Toutefois, si vous annulez la commande avec le mot clé, vous pouvez activer la
Par exemple,
Informations connexes
Autres considérations
D’autres considérations qui peuvent avoir un impact sur un déploiement en ligne lorsque vous choisissez les paramètres de vitesse et de duplex sont
Sur certains équipements Cisco, tels que les commutateurs Catalyst 3750,
ID du document précédent (Secured)
Clause d'exclusion de responsabilité
Produits affectés
Langues :
Cet article est disponible dans les langues suivantes :