M02-konfigurace a bezpečnost switchů

český studijní text - viz Dokumenty - modul Exploration3.pdf, kapitola 2

Teoretické pojmy:

• • IOS

  • flash

  • SVI 

  • útoky na síť (L2=switche) - MAC flooding, DHCP spoofing, CDP, ...

Praktické dovednosti

• • switch boot recovery - řešení problémů při startu switche ... zapomenuté heslo, smazaný IOS

  • konfigurace IP adresace pro správu switche (VLAN 99)

  • správa MAC address table

  • konfigurace portů switche - duplex, rychlost, mdix

  • konfigurace SSH - bezpečné připojení k zařízení

  • zabezpečení portů switche - MAC, DHCP

Příkazy (příklady)

Start switche

Switch(config)# boot system flash:/c2960-lanbasek9-mz.150-2.SE/c2960-lanbasek9-mz.150-2.SE.bin

Ověření

Switch# show bootvar

Switch# dir flash:

Konfigurace portu - fyzické parametry

Switch(config)# int fa0/1

Switch(config-if)# speed 100

Switch(config-if)# duplex full

Switch(config-if)# mdix auto

Ověření

Switch# show controllers

Switch# dir flash:

SSH

Switch(config)#ip domain-name firma.cz

Switch(config)#crypto key generate rsa

How many bits in the modulus [512]: 1024

Switch(config)#username Bob secret cisco

Switch(config)#line vty 0 15

Switch(config-line)#login local

Switch(config-line)#transport input ssh

Switch(config-line)#exit

Switch(config)#ip ssh version 2

Switch(config)#crypto key zeroize rsa

Ověření

Switch# show ip ssh

Switch# show ssh

Ochrana před útoky - DTP

Switch(config-if)#switchport nonegotiate

Switch(config-if)#shutdown

Ochrana před útoky - CDP

Switch(config)#no cdp run

Switch(config-if)#no cdp enable

Switch(config)#interface range fa0/15 - 22

Switch(config-if-range)#shutdown

Switch# show cdp

Switch# show cdp neighbors

Ochrana před útoky - DHCP

Switch(config)#ip dhcp snooping

Switch(config)#ip dhcp snooping vlan 10,20

Switch(config)#interface fa0/1

Switch(config-if)#ip dhcp snooping trust

Switch(config)#interface fa0/5

Switch(config-if)#ip dhcp snooping limit rate 5

Ověření

Switch# show ip dhcp snooping

Switch# show ip dhcp snooping binding

Ochrana před útoky - DAI

Poznámka - vyžaduje snooping!

Switch(config)#ip dhcp snooping

Switch(config)#ip dhcp snooping vlan 10,20

Switch(config)#ip arp inspection vlan 10,20

Switch(config)#ip arp inspection validate src-mac dst-mac ip

Switch(config)#interface fa0/1

Switch(config-if)#ip arp inspection trust

Ochrana před útoky - STP

Switch(config)# spanning-tree portfast default

Switch(config)# spanning-tree portfast bpduguard default

Switch(config-if)# spanning-tree portfast

Switch(config-if)# spanning-tree bpduguard enable

Port security

S1(config)#interface fastEthernet 0/18

S1(config-if)#switchport mode access

S1(config-if)#switchport port-security

S1(config-if)#switchport port-security maximum 50

S1(config-if)#switchport port-security violation protect

S1(config-if)# switchport port-security mac-address abcd.1234.ef56

S1(config-if)# switchport port-security mac-address sticky

S1(config-if)# switchport port-security aging static

S1(config-if)# switchport port-security aging time 10

S1(config-if)# switchport port-security aging type inactivity

Poznámka: 

S1(config)#interface range fastEthernet 0/1 - 12

Ověření

Switch# show port-security

Switch# show port-security interface fa0/18

Switch# show port-security address

NTP

R1(config)# ntp master 1

R2(config)# ntp server 192.168.1.1

Ověření

R1# show ntp associations

R1# show ntp status