Cisco IOS – Switch specifikusan

A Cisco IOS alapzozás és VLAN és Trunk után folytatódjon Szakály Attila ismertetője. A mostani téma a switch specifikus dolgokkal kapcsolatban fog folytatódni.

Eddíg leginkább a routerekről volt szó, persze a parancsok egyrésze (főleg alapbeállítások és lekérdezések) egyaránt jó routerekre és a switchekre is, de térjünk át picit most a switchek konfigurálására. A switchek konfigurálásának felépítése teljesen megegyezik a routerekben látottakkal, a konfigurációs módok ugyanazok, például ugyanúgy beléphetünk interfész konfigurációs modba ha egy interfészre vonatkozó dolgokat szeretnénk beállítani. Értelem szerűen, amit a switch nem tud pl. routing olyan konfigurációs mód nincs. Fussunk át gyorsan pár lekérdező parancsot, a „sh interfaces” parancs kiadása után egy darabig nyomogathatjuk a space-t mire a lista végére érünk, hiszen egy 48 portos switchnél mire az összes interfésznek kilistázza a tulajsonságait az nem kevés mennyiségű információ.

A „sh run” parancs kiadása után csak úgy, mint routereknél a teljes konfigurációról kapunk képet.

Szépen felsorolva az interfészek, és láthatjuk, hogy melyikhez mi van beállítva. A Vlanokól már beszéltünk de, utólag annyit megemlítenék, hogy alapértelmezetten az összes switchport az 1-es Vlanba van betéve így a switchre kötött eszközök alapértelmezetten elérik majd egymást. A portokon egyedileg állíthatunk sebességet és duplexitást fix értékre vagy auto-ra.

Ezeket a beállításokat a „speed” és a „duplex” parancsal tehetjük meg.

Gyakorlatilag ezek a switchek már anélkül is működnek, hogy bármit is beállítanánk rajtuk. A Cisco switcheket leginkább a megbízhatóságuk miatt választjuk, és természetesen azért, mert ahol szükség van a switch által nyújtott „extra” funkciókra, ezeket az extra funkciókat egy jól struktórált parancssoros felületen bekonfigurálva nagyon jól megállják a helyüket. Nyilván ha egy cég egyik telephelyének belső hálózatát nézzük, oda nem feltétlen egy ilyen switch a legjobb választás, hiszen oda egy webes management interfésszel rendelkező akár vlanokra is képes a cisco switch árának töredékébe kerülő 3com switch is megállja a helyét. Viszont, ha már olyan szerverekről beszélünk, amik valóban 7/24 be kell kiszolgáljanak, ott igen is szükség lehet a cisco eszközök tudására és megbízhatóságára.

Amennyiben egy olyan switchről beszélünk, ami egy szerverteremben üzemel, és nem kötögetjük át minden nap, ismét szeretném hangsúlyozni a már egyszer megemlített interfészhez egyedileg megadható Description mezőt! A dolog a korábbiakban leírtakhoz hasonlóképpen működik, nagyon hasznos tud lenni az amikor odaírjuk hogy a Gigabit Ethernet 5/1 es interfészhez mondjuk a xxx-file01 nevű szerver van hozzákábelezve.

Port Security

Nézzünk meg most egy elég hasznos biztonsági beállítást, képzeljük el, hogy a szervereink egy datacenterben vannak, ultra nagy a biztonság mindenki csak kártyával mehet be, de mi vagyunk olyan bizalmatlanok, hogy még az ott dolgozókban bízunk. Rugaszkodjunk el egy kicsit a valóságtól, tekintsünk el a biztonsági kameráktól, és tételezzük fel, hogy a mi gonosz hosztingos srácunk odasétál egy laptoppal kihuzza az egyik szerverünket ráköti a switchre a laptopját, adott esetben még IP címet is automatikusan kap, de ha nem legfeljebb kézzel ad magának egyet (a legtöbb datacenterben adminisztrációs szempontból felírják az eszközeink IP címét) és hipp hopp bent is van a hálózatban. Valószínűleg ilyen nem fog előfordulni, és ha meg még egy szervert is kihúz, azt meg valószínű hamar észrevesszük, de tegyük fel hogy ez történt (azért húzza ki a szervert mert feltételezi hogy vagyunk olyan okosak hogy az összes nem használt interfészt shutdownoltuk… mert ez egy ügyes hostingos)

Természetesen nem csak ilyen szélsőséges okok miatt használható a port secutiry hanem egyszerű adminisztrációs célok miatt is. Pl. mi csak távolról adminisztráljuk az eszközünket, nem megyünk sosem a helyszínre, a kábelezést a külföldi kollégáink végzik, mi meg figyeljük az egyes szervereink forgalmát a switchportokon, szépen minden porthoz fel van írva, hogy melyik szervert kötötték be és egyszerűen csak nem szeretnénk, hogy eza rendezett struktúra felboruljon és a kábelrengetegbe, adminisztráció hiányába senki se tudja hogy melyik portra mi van kötve.

Hamár ennyit beszéltünk róla mi is ez a port security? A port security beállításával, minden egyes switchporthoz hozzákapcsolható egy vagy több MAC cím, amit a switch megjegyez és amint más MAC címet érzékel azon a porton (a barátunk rákötötte a laptopját) „A” lehetőségként (protect) a switch eldobja azokat a csomagokat amik ismeretlen MAC címmel érkeznek, „B” lehetőségként (restrict) ugyanezt csinálja + még egy syslog bejegyzést csinál és megnöveli az úgynevezett violation counter értékét, „C” lehetőségként (shutdown) pedíg teljesen letiltja a portot ami egy úgynevezett error disabled down módba kerül.

Egy ilyen kis egyszerű topológia és máris kész a tesztkörnyezet. A switch fashethernet0/1 es portjához rendeljük hozzá a PC0 mac címét majd állítsunk be port securityt-és nézzük meg továbbra is elérjük e a PC1-et miután a kábelt a PC0 helyett a PC2 re kötöttük át.

Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
Switch(config-if)#switchport port-security maximum 1
Switch(config-if)#switchport port-security mac-address sticky
Switch(config-if)#switchport port-security violation restrict

Tehát PC0 van a f0/1 es interfészre kötve, először is belépünk interfész konfig módba. Át kell tegyük a switchportot „access” módba, vagyis kiadjuk a „switchport mode access” parancsot mivel a port alapesetben dynamikus módban üzemel és ebben a módban a port security nem működik. A 3adik sorban bekapcsoljuk magát a port security-t. A következő sorban állítjuk be hogy maximálisan hány MAC address mehet át ezen a porton. A mi esetünkben 1 PC van rákötve tehát ez 1. A „mac address sticky” azt jelenti, hogy a port addíg fogja dinamikusan magától megtanulni a MAC címeket, amíg nem éri a maximálisan megadott értéket. A mi esetünkben ez ugye 1, amint a PC0 valamilyen forgalmat bonyolít le, a switch megtanulja PC0 MAC címét és hozzárendeli a porthoz. És legvégül az utolsó sorban definiáljuk, hogy mit is csináljon a switch (ha már violation a parancs miért is ne) forgalmazzúnk úgy ha erőszakot tapaszttal.

Adjuk ki a „sh port-security interface f0/1” parancsot.

Ahol láthatjuk mit állítottunk be, illetve adjuk ki a „sh port-security address” parancsot.

Ahol látjuk, hogy a switchünk megtanulta PC0 mac címét (intézzünk esetleg egy pinget előtte PC1 irányába ennek elősegítése érdekében). Lássuk mit csináltunk, bontsuk le a kábelt, és kössük át ugyanerre az interfészre PC2-t. Ha mindent jól csináltunk, a tapasztalat az hogy a switchport maradt „UP” státuszba ámde mégsem érjük el PC2 ről Pc1-et. Jóóóóól kitoltunk a laptopos sráccal nem? A szép az egészben, hogy ha visszakötjük az eredeti gépünket vagyis PC0-át a kapcsolat ugyanúgy menni fog. Legyünk brutálisabbak, és a violation résznél váltsunk át „shutdown”-ra.

Switch(config-if)#switchport port-security violation shutdown

Próbáljuk ki ugyanezt a kísérletet. Látszólag az interfész „up” ban van, amikor bekötöm a drótot, de amint megpróbálok pingelni pufff már jön is a switchen az üzenet, az interfészünk lekapcsolt.

A státusznál pedig láthatjuk, hogy „down” és „err-disabled”. Nyilván itt már mind1 mit kötünk vissza, az interfész downba marad tehát itt már forgalom nem fog menni. Miután a rend helyreállt az interfész visszavarázslásánál annyi trükk van, hogy először le kell lőni kézzel (ugye ez a „shutdown” parancs) majd kapcsoljuk vissza a „no shut” parancsal és a port újra él. Remélhetőleg ebből a kis fejezetből mindenki kapott egy átfogó képet mi is az a port security és hogyan használható, valamint eme tudás birtokában már mindenki el fog tudni indulni, aki jobban el szeretne merülni ebben a témakörben.


Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük