Il processo di connessione alla CLI di uno switch catalyst e la configurazione iniziale sono stati trattati in dettaglio nel Capitolo 3. Suggerirei di leggere di nuovo quel capitolo per acquisire familiarità con la CLI di uno switch. L’elenco seguente copre brevemente alcuni passaggi di configurazione iniziale per iniziare.
- Nome host: è possibile impostare il nome del dispositivo con il comando hostname nella modalità di configurazione globale. L’impostazione del nome del dispositivo non ha alcun impatto sulle funzioni dell’interruttore. Continuerà a funzionare normalmente rispettivo del nome, ma è più facile gestire e risolvere i problemi della rete quando dai ai dispositivi un nome significativo. L’esempio seguente mostra come modificare il nome host. Notare l’immediata modifica del prompt dopo l’esecuzione del comando.
Switch (config) #hostname SwitchA
SwitchA (config) #hostname SwitchB
SwitchB (config) #
- Orologio: è possibile impostare la data e l’ora sullo switch con il comando clock nella modalità di esecuzione privilegiata. L’impostazione della data e dell’ora corrette è un requisito per alcune configurazioni avanzate, ma aiuta durante la risoluzione dei problemi del dispositivo. La sintassi del comando è clock set hh: mm: ss day month . Di seguito è riportato un esempio:
SwitchB#clock set 14:12:00 7 June 2011
Impostazione del segreto di abilitazione – Il segreto di abilitazione consente di impostare una password per l’accesso alla modalità privilegiata. Come sapete, la modalità privilegiata è quella in cui è possibile apportare la maggior parte delle modifiche alla configurazione. Può essere impostato utilizzando il comando segreto abilitato nella modalità di configurazione globale come mostrato di seguito:
SwitchB (config) #enable secret letmeinÂ
Protezione dell’accesso alla CLI – Come già sapete, è possibile accedere alla CLI dello switch utilizzando le linee console, vty o aux. Questi possono essere protetti impostando una password in modo che solo gli utenti autorizzati possano connettersi. La password può essere impostata utilizzando il comando password in modalità linea come mostrato di seguito:
SwitchB (config) #line con 0
SwitchB (config-line) #password mypass
SwitchB (config-line) #exit
SwitchB (config-line) #line vty 0 4
SwitchB (config-line) #password mypassÂ
Una cosa da ricordare è che la configurazione dell’interfaccia su uno switch differisce notevolmente dalla configurazione dell’interfaccia di un router perché le interfacce dello switch sono interfacce di livello 2 (chiamate switchport) a differenza delle interfacce del router che sono interfacce di livello 3. Il Capitolo 6 e il Capitolo 7 trattano vari livelli di configurazione dell’interfaccia per lo Switch. Il comando per accedere alla modalità di configurazione dell’interfaccia rimane lo stesso sul router come mostrato di seguito:SwitchB (config) #interface fa0 / 1
SwitchB (config-if) #
Sicurezza del porto
In genere, lo Switch apprende l’indirizzo MAC del dispositivo collegato direttamente a una determinata porta e consente il passaggio del traffico. Questo comportamento può rappresentare un enorme rischio per la sicurezza se un intruso riesce a connettere un host al tuo switchport. Ad un certo punto (e in CCNA!) Dovrai limitare chi può connettersi alla rete commutata. È qui che la sicurezza del porto può aiutarci. Gli switch Cisco ci consentono di controllare quali dispositivi possono connettersi a una porta dello switch o quanti di essi possono connettersi ad essa (ad esempio quando un hub o un altro switch è connesso alla porta).
La sicurezza della porta è disabilitata per impostazione predefinita. Prima di configurare il Port Security, dobbiamo abilitarlo. Può essere abilitato utilizzando il comando switchport port-security . Ecco come farlo:Switch # config terminal
Switch (config) #interface fa0 / 1
Switch (config-if) #switchport port-security
Non appena la sicurezza della porta è abilitata, applicherà i valori predefiniti, ovvero un host autorizzato a connettersi alla volta. Se questa regola viene violata, la porta verrà chiusa.
Utilizzando la funzionalità di sicurezza della porta possiamo specificare:
- Chi può connettersi a Switchport
- Quanti possono connettersi a Switchport
- Azione di violazione
Diamo un’occhiata a tutte e tre le opzioni:
Chi può connettersi : se sai che solo un determinato host dovrebbe connettersi a una porta switch, puoi limitare l’accesso su quella porta all’indirizzo MAC di quell’host. Ciò garantirà che nessuno possa scollegare l’host autorizzato e collegarne un altro. Questa è una buona opzione per posizioni sicure. Questo viene fatto usando il seguente comando:switchport port-security indirizzo mac <HHH>
Esempio: se vogliamo che solo l’host con indirizzo MAC 0001.14ac.3298 si connetta alla porta fa0 / 10 del nostro switch, i comandi richiesti saranno:Switch # config terminal
Switch (config) #interface fa0 / 1
Switch (config-if) #switchport port-security
Switch (config-if) #switchport port-security indirizzo mac 0001.14ac.3298
Devi ricordare che questo comando non aggiungerà l’indirizzo MAC alla tabella CAM. Quando un host si connette a questa porta e invia il primo frame, l’indirizzo di origine del frame viene confrontato con l’indirizzo MAC configurato. Se viene trovata una corrispondenza, l’indirizzo viene aggiunto alla tabella CAM.
Quindi dobbiamo fornire manualmente l’indirizzo MAC di ogni host? È un compito enorme considerando migliaia di host che una rete può avere! Beh, non proprio. La sicurezza del porto fornisce qualcosa chiamato indirizzo permanente. Lo Switch utilizzerà l’indirizzo MAC del primo host connesso alla porta come indirizzo MAC statico e solo quell’host sarà in grado di connettersi alla porta successivamente. Il comando richiesto è:switchport port-security indirizzo mac fisso
Quanti possono connettersi – Diciamo che abbiamo solo uno switchport lasciato libero e dobbiamo connettere 5 host ad esso. Cosa possiamo fare? Collega un Hub o uno Switch alla porta libera! Il collegamento di uno switch o di un hub a una porta ha delle implicazioni. Significa che la rete avrà più traffico. Se un utente invece di un amministratore collega uno switch o un hub, è probabile che vengano creati loop. Quindi è meglio che il numero di host autorizzati a connettersi sia limitato a livello di switch. Questa operazione può essere eseguita utilizzando il comando ” switchport port-security maximum “. Questo comando configura il numero massimo di indirizzi MAC che possono generare traffico attraverso una porta. Considera i seguenti esempi:
- Esempio 1 : consentire a un solo host di connettersi alla porta. Impara automaticamente l’indirizzo MAC dell’host consentito.
Switch (config-if) #switchport port-security maximum 1
Switch (config-if) #switchport port-security indirizzo mac fissoÂ
- Esempio 2 : consentire a 3 host di connettersi contemporaneamente, di cui 1 indirizzo MAC è statico e gli altri due possono variare.
Switch (config-if) #switchport port-security maximum 3
Switch (config-if) #switchport port-security indirizzo mac 001a.14e9.8a7dÂ
- Esempio 3 : consentire a un massimo di 5 host di connettersi contemporaneamente. Gli host possono variare.
Switch (config-if) #switchport port-security massimo 5
Azione di violazione : cosa succede se si verifica una violazione della sicurezza su uno switchport? Cosa succede se 5 host sono consentiti su una porta ma 6 si connettono ad essa? Lo switch può eseguire una delle tre azioni configurate:
- Chiudi la porta.
- Tenere la porta attiva ma non consentire all’host incriminato di inviare / ricevere dati (protezione).
- Mantenere la porta attiva ma non consentire all’host incriminato di inviare / ricevere dati e avvisare l’amministratore tramite SNMP e / o syslog. (limitare).
Le tre modalità possono essere configurate utilizzando i seguenti comandi:
switchport port-security violazione shutdown | protect | limit
Verifichiamo la nostra configurazione di sicurezza della porta utilizzando il comando ” show port-security interface “:
Switch # show port-security interface fastethernet0 / 1
Sicurezza della porta: Abilitata
Stato della porta: ModalitÃ
violazione SecureUp : Arresto
Indirizzi MAC massimi: 5
Indirizzi MAC totali: 5
Indirizzi MAC configurati: 3
Tempo di invecchiamento: 20 minuti
Tipo di invecchiamento: InattivitÃ
Invecchiamento indirizzo SecureStatic:
Conteggio violazioni di sicurezza abilitate : 0Â
Quanto sopra mostra che Fa0 / 1 è stato configurato con 3 indirizzi MAC statici e consentirà a un massimo di 5 host di connettersi ad esso. Se viene rilevata una violazione, la porta (per impostazione predefinita) andrà in modalità di disabilitazione degli errori e spegnerà la porta (interfaccia dello switch). Puoi vedere che questo accade sullo switch sottostante dove un indirizzo MAC non autorizzato entra nella porta Fast Ethernet 0/2.
 Switch #
00:55:59:% PM-4-ERR_DISABLE: errore di violazione della sicurezza rilevato su Fa0 / 2, mettendo Fa0 / 2 in stato di disabilitazione err
Switch #
00:55:59:% PORT_SECURITY-2-PSECURE_VIOLATION: Security si è verificata una violazione, causata dall’indirizzo MAC 1234.5678.489d sulla porta FastEthernet0 / 2.
Switch #
00:56:00:% LINEPROTO-5-UPDOWN: protocollo di linea sull’interfaccia FastEthernet0 / 2, stato modificato in down
00:56:01:% LINK-3-UPDOWN: interfaccia FastEthernet0 / 2, stato modificato in dow
Un altro comando importante è il comando ” show port-security “. Questo comando fornisce una panoramica di tutte le porte che hanno configurato la sicurezza delle porte:
Switch # show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
————————————————————————————————— –
Fa0 / 1 8 7 0 Spegnimento
Fa0 / 2 15 5 0 Limita
Fa0 / 3 5 4 0 Proteggi
——————————————————————————— ——————–
About Author
