Cisco IOS 3 - nastavení interface/portu - access, trunk, port security

Podobné dokumenty
Základy IOS, Přepínače: Spanning Tree

Cisco IOS 1 - úvod, příkaz show

Virtální lokální sítě (VLAN)

VLSM Statické směrování

Vysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky. Projekt do SPS

Konfigurace sítě s WLAN controllerem

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

DHCP snooping na přepínači Cisco Catalyst C rozšíření a přepracování projektu z minulého roku.

Přepínače: VLANy, Spanning Tree

12. VLAN, inter VLAN routing, VTP

Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560

Cisco IOS 8 - ACL - Access Control List

Projekt VRF LITE. Jiří Otisk, Filip Frank

Přepínaný Ethernet. Virtuální sítě.

Možnosti ochranného mechanismu Loop Guard v implementaci Spanning Tree firmy Cisco

Technologie počítačových sítí

uvysoká škola báňská Technická univerzita Ostrava Fakulta elektrotechniky a informatiky Projekt do SPS

VLSM Statické směrování

Počítačové sítě 1 Přednáška č.7 Přepínané LAN sítě

SMĚROVANÉ A PŘEPÍNANÉ SÍTĚ semestrální projekt. DHCP snooping. Petr Gurecký gur020

JAK ČÍST TUTO PREZENTACI

Konfigurace směrovače, CDP

L2 multicast v doméně s přepínači CISCO

Switch - příklady. Příklady konfigurací pro switch.

Příkazy Cisco IOS. 1 Přehled módů. 1.2 Uživatelský mód (User Mode) 1.3 Privilegovaný mód (Privileged Mode) 1.1 Klávesové zkratky

Nezávislé unicast a multicast topologie s využitím MBGP

Popis zapojení jednotlivých provozních režimů WELL WRC3500_V2 WiFi GW/AP/klient/repeater/switch, 54 Mb/s, R-SMA

Propojování sítí,, aktivní prvky a jejich principy

Implementace redundance pomocí virtuálních přepínačů a multichassis link aggregation na aktuálních platformách významných výrobců síťových prvků

1. Cisco směrovače (routery) a Cisco Internetwork Operating System. Zadání: Úkolem je vyzkoušet základní funkce systému IOS.

Případová studie datové sítě

Semestrální projekt do předmětu SPS

Zařízení komunikující pomocí technologie HCNA/HPNA

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

Základní příkazy Cisco IOS pro správu směrovačů a přepínačů

Protokoly úrovně 3 nad ATM

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Podsíťování. Počítačové sítě. 7. cvičení

Jak funguje SH Síť. Ondřej Caletka

DHCP. Martin Jiřička,

FSD-804PS. 8-Portů 10/100Mbps s 4-Port PoE Web Smart Ethernet Switch. Uživatelský manuál

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Podpora QoS (L2, L3) na DSLAM Zyxel IP Express IES 1000

Rapid Spanning Tree Protocol (802.1w) Roman Kubín - kub348 Michal Roháč - roh035 FEI VŠB TU Ostrava

Uživatelský manuál WEB SERVICE V3.0 IP kamer Dahua

DHCP - kickstart Jiri Kubina jiri.kubina@osu.cz Ver. 1.0 unor 2006

L2 multicast v doméně s přepínači CISCO

VLAN Membership Policy Server a protokol VQP Dynamické přiřazování do VLANů.

Praktikum WIFI. Cíl cvičení:

Vítáme Vás 1 COPYRIGHT 2011 ALCATEL-LUCENT. ALL RIGHTS RESERVED.

Quido - Telnet. Popis konfigurace modulů Quido protokolem Telnet. 3. srpna 2007 w w w. p a p o u c h. c o m

Hlas. Robert Elbl COPYRIGHT 2011 ALCATEL-LUCENT ENTERPRISE. ALL RIGHTS RESERVED.

BEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2

Možnosti DHCP snoopingu, relayingu a podpora multicastingu na DSLAM Zyxel IES-1000

Konfigurace Cisco směrovače

User based tunneling (UBT) a downloadable role

TCP2RTU. Transparentní převodník protokolu MODBUS TCP na MODBUS RTU/ASCII. Tři varianty: pro RS422, RS485 a RS232

Základní příkazy Cisco IOS pro správu směrovačů a přepínačů

LAN/RS232 (VERZE 3) LAN/RS232-V3 katalogový list. Charakteristika. Technické údaje

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

Vyvažování zátěže na topologii přepínačů s redundandními linkami

Úkoly: 1. Zapojte a nakonfigurujte bezdrátové připojení podle následujícího schématu:

VŠB - Technická univerzita Ostrava

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Model: Mbps Wireless 11G+ Access Point UŽIVATELSKÝ MANUÁL

FAKULTA INFORMAČNÍCH TECHNOLOGIÍ. CCNA3 Modul č. 5, Pavel Bartoš, Radek Matula

STRUČNÝ NÁVOD K POUŽITÍ

Popis zapojení jednotlivých provozních režimů WELL WRC7000N WiFi GW/AP/klient/repeater/switch, 300 Mb/s, R-SMA

Směrovací protokol OSPF s využitím systému Mikrotom. Ing. Libor Michalek, Ph.D.

Topologie počítačových sítí Topologie = popisuje způsob zapojení sítí, jejich architekturu adt 1) Sběrnicová topologie (BUS)

Podstatou služby je přenos dat účastníka ve formě Ethernet rámců mezi rozhraními Ethernet/Fast Ethernet, event. Gigabit Ethernet, účastníka.

Automatizace konfigurace v síti Cisco

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

T-MOBILE DSL MANAGER UŽIVATELSKÁ PŘÍRUČKA

Super Hot Multiplayer vzdálené sledování finančních dat. Konfigurace sítě. Strana: 1 / 8

Aktivní prvky: přepínače

NWA Příručka k rychlé instalaci. Dvoupásmový bezdrátový přístupový bod N třídy business

Autentizace bezdrátových klientů jejich přiřazování do VLAN podle databáze FreeRADIUS

BackBone switche podporují standard SNMPv1, 2, 3**.

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

CON-LAN. Komunikační převodník tf hit <-> Ethernet. Kompletní příručka

SPARKLAN WX-7615A - návod k obsluze. Verze i4 Portfolio s.r.o.

Budování sítě v datových centrech

Tunelování VLAN a servisních protokolů 2. vrstvy v síti poskytovatele

Stručný návod pro nastavení routeru COMPEX NP15-C

LAN/RS-Port (VERZE 2)

T-Mobile DSL Manager Uživatelská příručka

Počítačové sítě Zadání semestrálních projektů

Konfigurace směrovačů a přepínačů s Cisco IOS

Přijímací modul ECA-4

Část l«rozbočovače, přepínače a přepínání

LAN adaptér. Návod k použití

TP-LINK TL-WR741N. Zapojení routeru. LED indikace

2N EasyRoute UMTS datová a hlasová brána

Inovace bakalářského studijního oboru Aplikovaná chemie

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Obsah. Úvod 13. Věnování 11 Poděkování 11

Ing. Michal Martin. Spojení PLC CLICK s NA-9289

Transkript:

Cisco IOS 3 - nastavení interface/portu - access, trunk, port security Vložil/a Samuraj [1], 17 Září, 2007-14:20 Networks & Protocols [2] V pokračování popisu operačního systému Cisco Switchů se věnuji asi nejpoužívanější oblasti, nastavování parametrů pro porty a interfacy. Od základních vlastností, přes používání VLAN, nastavení IP adresy až po zabezpečení portu pomocí Port security. Popis je pouze stručný a v závěru se nachází praktické příklady. Značení portů Rozhranní na switchi - interfaces, jsou hlavně fyzické porty a VLANy. Vedle toho však existuje celá řada dalších, např. sériová linka (serial), konzole (console), asynchronní linka (TTY), síťový terminál (VTY) - telnet. Fyzické porty switche se označují (adresují) typem, dnes hlavně fastethernet (stačí f) a gigabitethernet (stačí g), a číslem portu. Číslo portu je řetězec, který má tvar podle typu switche. Nejčastější je {slot}/{port} nebo {stack}/{slot}/{port}. Běžné (nemodulární) switche jsou brány, jako by byli ve slotu 0, takže příklad adresace (třeba pro switch C2690) je f0/1 a je jím označen fastethernetový (10/100Mbit/s) port číslo 1. Stohovatelné switche, jako je třeba C3750, adresujeme například g1/0/1, což označuje gigabitový port, který je na prvním switchi ve stacku (nebo samostatně), slot 0 a port 1. Konfigurace portů Výběr portu Když chceme konfigurovat nějaký interface/port, tak se z privilegovaného módu přepneme do konfigurace daného portu. Pro zjednodušení můžeme konfigurovat i více portů naráz. SWITCH(config)#interface f0/5 // p?epneme se na kofiguraci portu 5 SWITCH(config)#interface range f0/1-5,g0/1 // vybereme porty 1 až 5 (fast) a 1 (gigabit) Stav portu, vypínání Port může být v několika stavech (mohli bychom dělit fyzicky stav portu a stav linky): * vypnutý - down/disabled - nejde přes něj žádná komunikace * vypnutý chybou - error-disabled - nejde přes něj žádná komunikace, informuje o chybě * zapnutý nespojený - notconnect - fyzicky nepřipojený, po zapojení komunikuje * zapnutý spojený - up/connected - funkční a komunikující Pro přepínání stavu mezi vypnutým a zapnutým slouží příkazy SWITCH(config-if)#shutdown // vypnutí portu SWITCH(config-if)#no shutdown // zapnutí portu Pokud je port v error-disabled stavu, kam se může dostat díky chybě v spanning tree nebo port Strana 1 z 6

security, je třeba jej nejprve vypnout a pak teprve zapnout. Uvádí se, že ve výchozím stavu jsou interface vypnuté (shutdown), ale není to pravda úplně vždy. Doporučuji nepoužívané porty vypínat (nejlépe globálně při úvodní konfiguraci) a při konfiguraci portu jej vždy zapnout. Základní vlastnosti portu Pro port můžeme nastavovat obecné vlastnosti jako je duplex, rychlost, popis, MDIX a další. SWITCH(config-if)#duplex full SWITCH(config-if)#speed 100 SWITCH(config-if)#description 3.14 SWITCH(config-if)#mdix auto Switchport Parametry, které se týkají charakteristik přepínání, jsou pod příkazem switchport. Port může pracovat ve třech módech: * access - typicky pro PC, přijímá netagované pakety (bez určení VLANy) a zařazuje je do jedné VLANy * trunk - jiný switch či aktivní prvek, komunikace je tagována a přenáší se vybrané VLANy * dynamic - vyjednává o stavu portu SWITCH(config-if)#switchport mode access Access mode Pokud je port v přístupovém módu, měli bychom jej zařadit do správné VLANy. Ve výchozím stavu jsou všechny porty ve VLAN 1. SWITCH(config-if)#switchport access vlan 100 Trunk mode Trunk mode slouží primárně k tomu, abychom více switchů propojili mezi sebou a komunikace zůstala ve správné VLANě. Pokud bychom switche propojili access portem, tak by se přenášela pouze komunikace ve VLANě, ve které by byl nastaven daný port a na druhém switchi by byl paket ve VLANě tohoto portu. Pokud je port v trunk módu, je bodů pro konfiguraci více. U vyšších modelů switchů (obecně L3 switchů a výše) volíme metodu, kterou se k paketům dopňuje informace o zařazení do VLANy. K dispozici máme * IEEE 802.1q - standardizovaná metoda, kterou podporují všechny switche. Funguje na principu tzv. tagování, do hlavičky paketu přidá 4B informaci (2B - 0x8100 = je to 802.1q/802.1p, 2B - priorita + číslo VLANy) a přepočítá CRC. Používá se také pro QoS. * Cisco ISL - Cisco proprietární metoda, kterou podporují pouze vyšší řady switchů. Vezme celý původní paket a zabalí jej (encapsulate) jako obsah nového paketu. Přidává tedy 30B k obsahu. SWITCH(config-if)#switchport trunk encapsulation dot1q Následně musíme určit, které VLANy chceme, aby se přenášeli v daném trunku. Zadáním čísla VLANy (nebo čísel oddělených čárkou) provedem nastavení a předchozí hodnoty se smažou. Můžeme využít také pomocná klíčová slova add, remove, all, none, except. SWITCH(config-if)#switchport trunk allowed vlan 100,200 Strana 2 z 6

SWITCH(config-if)#switchport trunk allowed vlan add 300 Souvisejícím údajem je nastavení nativní VLANy, ta slouží k přenosu paketů, které nebyly zařazeny do žádné VLANy. Jinak řečeno, pokud do portu, který je nakonfigurován jako trunk, připojíme normální stanici (která nepodporuje trunk), tak bude komunikovat v této VLANě. Ve výchozím nastavení je to VLAN 1. Důležité je, aby na obou stranách trunku byla nastavena stejná nativní VLANa. SWITCH(config-if)#switchport trunk native vlan 1 Port security Port security je jednoduchá a zajímavá metoda zabezpečení přístupu do sítě. Na portu, kde je nastavena, kontroluje, zda pakety přichází z povolené MAC adresy. Pokud tedy uživatel připojí do zásuvky jiné zařízení, nebude moci komunikovat. Pro nastavení Port security musí být port ve statickém módu (ne dynamic). Zapnutí port security pro daný port: SWITCH(config-if)#switchport port-security Můžeme nastavit kolik MAC adres pro port (nebo VLANu) je povoleno (například pokud je do portu připojen switch), maximum je 132. SWITCH(config-if)#switchport port-security maximum 1 Pokud nezadáme žádné povolené MAC adresy, tak se používají adresy dynamicky (dočasně se ukládají pro aktuální komunikaci až do maxima). Nebo můžeme MAC adresy zadat ručně jako statické adresy. U dynamických adres můžeme nastavit, aby se tyto adresy ukládaly jako statické. SWITCH(config-if)#switchport port-security mac-address 0018.DEDA.2990 // pevná adresa SWITCH(config-if)#switchport port-security mac-address sticky // ukládat dynamické adresy Dále volíme, co se děje při porušení pravidel, tedy pokud přijde komunikace z MAC adresy, která není povolena (a dosáhlo se maxima). Možnosti jsou: * protect - nepovolená komunikace je zahazována, povolené MAC adresy stále komunikují * restrict - pošle informativní SNMP trap * shutdown - port se zablokuje, přepne do stavu Error-disabled (připomínám, že pro opětovné zapnutí je třeba jej nejprve vypnout) SWITCH(config-if)#switchport port-security violation shutdown Pozn.: K porušení pravidel dojde také v případě, kdy je MAC adresa zadaná pro určitý port a tato adresa se objeví na jiném portu tohoto switche. Pokud se port přepne do Error-disabled stavu, tak je třeba zásah administrátora, aby jej opět zapnul. Je však možno nastavit i automatické znovuzapnutí portu po určité době: SWITCH(config)# errdisable recovery cause psecure-violation SWITCH(config)# errdisable recovery interval 60 //?as v sekundách, 60-86400 Pokud chceme, aby se MAC adresy pro port po určité době automaticky smazaly, můžeme použít klíčové slovo aging v řadě variant. Například pokud chceme, aby dynamické adresy měly platnost 10 minut: SWITCH(config-if)#switchport port-security aging time 10 Ve výchozím stavu po zapnutí Port security, je povolena jedna MAC adresa, která se používá dynamicky, tedy první zařízení, které začne komunikovat. Pokud se pokusí komunikovat další Strana 3 z 6

zařízení, dojde k zablokování portu. Hlavní příkazy pro zobrazení informací o Port security jsou SWITCH#show port-security // info pro všechny interface SWITCH#show port-security address // tabulka MAC adres a související info SWITCH#show port-security interface f0/1 // detailní info pro ur?itý interface Protected port Mezi porty, které jsou nastaveny jako Protected se neposílá žádná komunikace na Layer 2 (broadcast, multicast, unicast), pouze komunikace na Layer 3 (tedy s IP adresou). SWITCH(config-if)#switchport protected Spanning-tree Protokol SPT - Spanning Tree Protocol slouží k zabránění vzniku smyček v síti, například u redundantní topologie nebo při chybném propojení switchů. Jedná se o standardizovaný protokol IEEE 802.1d, ke kterému existuje řada vylepšených verzí. Funguje na principu nalezení nejkratší cesty v ohodnoceném grafu a nepotřebné porty zablokuje. Nebudu se zde hlouběji zabývat SPT, pouze zmíním jedno nastavení pro port, jelikož SPT i bez konfigurace běží a je výhodnější jej nechat spuštěný. Pokud je k danému portu switche připojeno zařízení jako server či pracovní stanice a tudíž na tomto portu nemůže vzniknout smyčka, tak můžeme tento port nastavit do módu portfast, který zabrání úvodnímu blokování portu. SWITCH(config-if)#spanning-tree portfast Nastavení IP adresy a brány Některým interfacům můžeme nastavit IP adresu, hlavně se jedná o VLANy. Tato adresa slouží primárně ke komunikaci se switchem, ale také pro další služby, jako je routování nebo DHCP server. Zjednodušeně můžeme říct, že nastavujeme adresu switchi. Pokud nepoužíváme VLANy, tak ji musíme nastavit na VLANu 1. V opačném případě je vhodné mít speciální VLANu pro správu a zde nastavit IP adresu. Adresu můžeme nastavit napevno nebo ji nechat přiřazovat DHCP serverem. Pokud nastavujeme adresu napevno, musíme ji zadat spolu s maskou sítě, v které je tato adresa platná (to je z důvodu dalších služeb). SWITCH(config)#interface vlan 1 SWITCH(config-if)#ip address 192.168.190.2 255.255.255.0 V některých případech potřebujeme nastavit adresu brány (gateway address). Pokud budeme se switchem komunikovat pouze z lokálního subnetu, tak to není třeba. V opačném případě musíme adresu nastavit, aby switch věděl kam posílat odpovědi. Brána se nastavuje pro celý switch. SWITCH(config)#ip default-gateway 192.168.190.1 Na závěr - ukládání konfigurace Důležité upozornění. Na závěr konfigurace je třeba provedené změny uložit do startup konfigurace, abychom o ně při restartu nepřišli. SWITCH#copy running-config startup-config // uložit Strana 4 z 6

Destination filename [startup-config]? // dotaz na jméno, stiskn?te ENTER Příklady nastavení Nastavení portu pro uživatele // p?epnutí do privilegovaného módu SWITCH(config)#interface f0/1 // konfigurace daného portu switche SWITCH(config-if)#shutdown // doporu?eno nejprve vypnout port, m?l již být vypnutý SWITCH(config-if)#switchport mode access // port do p?ístupového módu SWITCH(config-if)#switchport access vlan 100 // za?adit do pat?i?né VLANy SWITCH(config-if)#description 3.14 // popis portu SWITCH(config-if)#spanning-tree portfast // do zásuvky je zapojen po?íta?, rychlý náb?h SWITCH(config-if)#no shutdown // zapnutí portu SWITCH#copy running-config startup-config // uložit Destination filename [startup-config]? // dotaz na jméno, stiskn?te ENTER Zrušení nastavení portu Tímto postupem se vrátí zpět úvodní konfigurace portu. V řadě případů stačí port zablokovat (shutdown) a ostatní hodnoty nechat nastavené. // p?epnutí do privilegovaného módu SWITCH(config)#interface f0/1 // konfigurace daného portu switche SWITCH(config-if)#shutdown // vypnutí portu SWITCH(config-if)#no switchport mode access // zrušení p?ístupového módu SWITCH(config-if)#switchport access vlan 1 // za?adit do defaultní VLAN SWITCH(config-if)#no description // zrušit popis portu SWITCH(config-if)#no spanning-tree portfast // zrušení portfastu SWITCH#copy running-config startup-config // uložit Destination filename [startup-config]? // dotaz na jméno, stiskn?te ENTER pozn. redakce: nebo také SWITCH(config)#default interface... Nastavení portu pro propojení mezi switchi - trunk // p?epnutí do privilegovaného módu SWITCH(config)#interface g1/0/25 // konfigurace daného portu switche SWITCH(config-if)#shutdown // doporu?eno nejprve vypnout port, m?l již být vypnutý SWITCH(config-if)#switchport trunk encapsulation dot1q // nastavení metody Strana 5 z 6

dopl?ování informací o VLAN, norma 802.1q, nastavuje se pouze na vyšších modelech switch? SWITCH(config-if)#switchport trunk allowed vlan 2-200 // které VLANy se p?enáší SWITCH(config-if)#switchport trunk native vlan 1 // rámce bez VLANy se p?enáší p?es trunk v Native VLAN SWITCH(config-if)#switchport mode trunk // port do TRUNK módu SWITCH(config-if)#switchport nonegotiate // nevyjednává se trunk protokolem DTP SWITCH(config-if)#description 3.14 // popis portu SWITCH(config-if)#no shutdown // zapnutí portu SWITCH#copy running-config startup-config // ložit Destination filename [startup-config]? // dotaz na jméno, stiskn?te ENTER Stejnou konfiguraci je třeba provést na druhé straně, tedy na druhém switchi a portu, kterým jsou propojeny. Nastavení Port Security // p?epnutí do privilegovaného módu SWITCH(config)#interface f0/5 // konfigurace daného portu switche SWITCH(config-if)#switchport port-security // zapneme port security SWITCH(config-if)#switchport port-security maximum 1 // po?et MAC adres SWITCH(config-if)#switchport port-security violation shutdown // p?i porušení zablokovat port SWITCH(config-if)#switchport port-security mac-address sticky // napevno uložit dynamickou MAC adresu SWITCH#copy running-config startup-config // uložit Destination filename [startup-config]? // dotaz na jméno, stiskn?te ENTER Samuraj, http://www.samuraj-cz.com/ [3] URL článku: https://www.security-portal.cz/clanky/cisco-ios-3-nastaven%c3%ad-interfaceportu-access-trunk-portsecurity Odkazy: [1] https://www.security-portal.cz/users/samuraj [2] https://www.security-portal.cz/category/tagy/networks-protocols [3] http://www.samuraj-cz.com/ Strana 6 z 6

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář