Guia de distribuição de configuração da interface de Sensor da plataforma de segurança de rede
Última modificação: 11/07/2022
Ambiente
Resumo
A matriz a seguir define as configurações de velocidade e duplex possíveis que podem ser configuradas entre um Sensor e seu dispositivo de mesmo nível. A matriz também descreve o modo de operação resultante (isto é, se uma condição de erro ou um link falha ao estabelecer). Ao distribuir o Sensor no modo embutido, você deseja evitar qualquer forma de congestionamento no caminho de dados. Portanto, certifique-se de que essas configurações estejam consistentes em todos os pares e portas de um par de portas.
Nota: Essa regra aplica-se qualquer modo de operação que seja usado.
As portas Sensor, quando no modo na linha, são desenvolvidas para se comportarem como parte do link físico. Se uma interface única no par de portas estiver fisicamente desligada, então a outra porta no par. Dessa forma, um administrador que usa uma estrutura de abrangência ou um mecanismo de redundância de VRRP pode ter certeza de que as condições de falha em um segmento se propagam para os outros pares de rede conectados no outro segmento de Sensor anexado.
As interfaces Gigabit Ethernet de codificação sólida para full duplex podem afetar essa redundância. As diferenças nas configurações de velocidade e duplex em um par de portas Sensor ou em dispositivos pares podem fazer com que a detecção de uma falha de VRRP ou STP seja determinística. Você deve garantir a operação de velocidade e duplex consistentes no par de portas Sensor e nos dispositivos de ponto.
NOTA: Itens sombreados = interfaces de Gigabit
Sensor de configuração (Speed/duplex) |
Switch de configuração (Speed/duplex) |
Resultado Sensor velocidade/duplex |
Velocidade/duplex do switch resultante |
Comentários |
1000-AUTO |
1000-AUTO |
1000 Mbps, full-duplex |
1000 Mbps, full-duplex |
Configuração válida 3 |
1000 Mbps, full-duplex |
1000 Mbps, full-duplex |
1000 Mbps, full-duplex |
1000 Mbps, full-duplex |
Configuração manual válida2 |
1000 Mbps, full-duplex |
AUTOMÁTICO |
1000 Mbps, full-duplex |
Para baixo |
Um link não é estabelecido, embora a porta de Sensor seja vista como ativa |
AUTOMÁTICO |
1000 Mbps, full-duplex |
Para baixo |
1000 Mbps, full-duplex |
Um link não é estabelecido, embora a porta de switch seja vista como ativa |
100 Mbps, full-duplex |
AUTOMÁTICO |
100 Mbps, full-duplex |
100 Mbps, Half-duplex |
Incompatibilidade duplex 1 |
AUTOMÁTICO |
100 Mbps, full-duplex |
100 Mbps, Half-duplex |
100 Mbps, full-duplex |
Incompatibilidade duplex 1 |
100 Mbps, full-duplex |
100 Mbps, full-duplex |
100 Mbps, full-duplex |
100 Mbps, full-duplex |
Configuração manual válida2 |
100 Mbps, Half-duplex |
AUTOMÁTICO |
100 Mbps, Half-duplex |
100 Mbps, Half-duplex |
O link foi estabelecido, mas o Sensor não vê nenhuma informação de negociação automática do switch. Ele usa como padrão Half-duplex quando opera em 10/100 Mbps. |
10 Mbps, Half-duplex |
AUTOMÁTICO |
10 Mbps, Half-duplex |
10 Mbps, Half-duplex |
Um link é estabelecido, mas o switch não vê Fast link Pulse (FLP) e usa como padrão o Half-duplex de 10 Mbps. |
10 Mbps, Half-duplex |
100 Mbps, Half-duplex |
Sem link |
Sem link |
Nenhum dos lados estabelece um link, devido à incompatibilidade de velocidade. |
AUTOMÁTICO |
100 Mbps, Half-duplex |
100 Mbps, Half-duplex |
100 Mbps, Half-duplex |
Um link foi estabelecido, mas o Sensor não vê nenhuma informação de negociação automática. Ele é o padrão de 100 Mbps, Half-duplex. |
AUTOMÁTICO |
10 Mbps, Half-duplex |
10 Mbps, Half-duplex |
10 Mbps, Half-duplex |
Um link foi estabelecido, mas o Sensor não vê o FLP e usa como padrão 10 Mbps, Half-duplex. |
1 Uma incompatibilidade duplex pode resultar em problemas de desempenho, conectividade intermitente e perda de comunicação. Ao solucionar problemas de interface ou de porta, verifique se o Sensor e o switch usam uma configuração válida.
2 Algumas interfaces de switch de terceiros podem retornar ao modo de operação Half-duplex, mesmo que os Sensor e switch tenham sido configurados manualmente para 100 Mbps, full-duplex. Esse comportamento ocorre porque o switch detecção de link de negociação automática ainda opera mesmo quando a interface do switch foi configurada manualmente. O resultado é a inconsistência de duplex entre a porta switch e o Sensor. Os sintomas incluem erros de desempenho de porta deficiente e de verificação de quadros (FCS) que são incrementados na interface de switch ou na porta de Sensor. Para solucionar esse problema, configure manualmente a switch a porta e a Sensor para 100 Mbps, Half-duplex em uma base temporária. Se essa ação resolver os problemas de conectividade, essa é uma indicação forte desse problema. Recomendamos que você faça o upgrade para o software mais recente para este switch ou entre em contato com o fornecedor do switch para obter mais suporte.3 Quando possível, use uma configuração manual (velocidade fixa) na porta de monitor do sensor e no dispositivo de rede conectado. Se estiver usando um GBIC de cobre Gigabit com um kit de Fail-Open, você deverá usar a configuração de negociação automática nos dispositivos Sensor e ponto. Essa configuração garante que uma porta para baixo Force o kit de Fail-Open a entrar no modo de desvio.
Por que a velocidade e o duplex não podem ser codificados em apenas um parceiro de link?
Conforme indicado na tabela acima, a configuração manual da velocidade e do duplex para full-duplex em um parceiro de link resulta em uma incompatibilidade duplex. Esse estado é o resultado da desativação da negociação automática em um parceiro de link, enquanto o outro parceiro de link é padronizado como uma configuração Half-duplex. Uma incompatibilidade duplex resulta em desempenho lento, conectividade intermitente, erros de link de dados e outros problemas. Se a intenção não for usar a negociação automática, os dois parceiros de link deverão ser configurados manualmente para a velocidade e o duplex (Full-duplex sempre é recomendável).
Considerações sobre Gigabit e falha ao abrir
Esta seção foi configurada devido a relatos comuns em torno de Gigabit Ethernet e percepções sobre sua operação em relação às configurações de velocidade e duplex. Freqüentemente, a pressuposição feita sobre negociação de velocidade e duplex e operação é que o mesmo modelo de operação do Ethernet e Fast Ethernet é transportado para os padrões de Gigabit. Essa suposição não é o caso, e as técnicas usadas com o FLP não são mais usadas.
O Fiber Gigabit Ethernet não é compatível com as extensões para as mensagens de auto-negociação padrão, como links 10/100/1000. Ele não negocia as configurações que não sejam de velocidade de 1000 Mbit/s e, na maioria das vezes, a operação full-duplex. Apesar da maioria das portas Gigabit Ethernet, apenas negociando o Full duplex de 1000 Mbit/s, ainda há algumas diferenças significativas entre codificar as portas manualmente e usando a auto-negociação para derivar a mesma velocidade e duplex. O dispositivo, quando definido como negociar automaticamente, não estabelece um link com um ponto que tenha sido codificado manualmente.
As interfaces podem ser desconectadas sem qualquer indicação ou alteração no status da interface. O Gigabit Ethernet em execução na operação full-duplex força a porta a funcionar constantemente, a menos que o administrador a desativá-la. Esse estado é novamente uma função de auto-negociação ou, nesse caso, a falta de ti.
No Gigabit Ethernet, a auto-negociação é responsável pela detecção de determinadas condições e falhas de camada física. Se a negociação automática não estiver ativada, essas condições não poderão ser detectadas e incluirá a perda de sinal no cabeamento.
Essa falta de detecção tem implicações nas redes em que os kits externos de falha-abertura são distribuídos. Recomendamos que você sempre coloque as portas Sensor e as portas de dispositivo par em 10/100/1.000-modo automático ao usar kits externos de falha-abertura. Se as portas estiverem embutidas em código, a Sensor pode não determinar se ela perdeu a conectividade com o dispositivo de mesmo nível por meio de uma quebra de cabo entre o Sensor e o kit de falha aberta. Nesse cenário, o kit de falha ao abrir nunca ignorará o Sensor e você poderá ver a perda de pacotes.
Certos ambientes não são capazes de suportar a operação automática 1000 devido a limitações de dispositivos de ponto, em que um dispositivo de mesmo nível oferece suporte apenas à operação de código total completo de 1000 e outro dispositivo de mesmo nível é compatível com a operação automática do 1000. Esses ambientes têm configurações diferentes em uma base por ponto e porta.
Esses problemas se relacionam a mal-entendidos sobre as estruturas de comando para esses modos de operação nos dispositivos de ponto. Você espera usar comandos semelhantes
Você pode pensar que não há como definir essa opção na porta Gigabit. Mas, se você negar o comando com a
Por exemplo,
Informações relacionadas
Outras considerações
Algumas outras considerações que podem causar impacto em uma distribuição embutida quando você escolhe as configurações de velocidade e duplex são
Em determinados dispositivos Cisco, como switches Catalyst 3750,
ID do documento anterior (Secured)
Aviso de isenção de responsabilidade
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: