KOMPENDIUM na podstawie CCNP BCMSN Official Exam ... BCMSN Kompendium.pdf · Konfiguracja VLAN-ów ( VLANy statyczne –przybite do portu, Dynamiczne-przybite do MACa, wymaga serwera

642-812 BCMSN – Kompendium

642-812 BCMSN - Building Converged Multilayer Switched Networks. (2/4 CCNP)KOMPENDIUM na podstawie CCNP BCMSN Official Exam Certification Guide

Copyright by www.andrzejdoniczka.net Gliwice, sierpień 2007

Spis Treści:

Chapter 1+2 Overview and design of Campus Network str.2Chapter 3 Switch operation str.3Chapter 4 Switch port configuration + technologie ethernetowe str.5Chapter 5 VLAN and Trunks str.7Chapter 6 VTP str.9Chapter 7 Agregating switch links str.11Chapter 8+9 Spanning Tree str.13Chapter 10 Protecting STP str.16Chapter 11 Advanced Spanning Tree Protocol str.18Chapter 12 Multilayer Switching+ InterVLAN Routing s tr.20Chapter 13 Router, Supervisor and Power Redundancy str.21Chapter 14 IP Telephony str.25Chapter 15 Securing Switch Access str.28Chapter 16 Securing witch VLANs str.31

2007 Copyright by www.andrzejdoniczka.net 1


Chapter 1 + 2 Overview and design of Campus Network

Jak działa switch to na ogół wiadomo ;) Generalnie switch L2 i L3 wykonuje hardware-based-bridging. Ramki przychodzące na port wejściowy, są forwardowane do portuwyjściowego – SPRZĘTOWO, przez ASIC-i po „look-up-ie” do odpowiedniej tablicy.W switchach L2 jest tablica CAM a w switchach L3 / L4 TCAM.Switche L3 / L4 forwardują ramki tak jak router. Ramki mogą być forwardowane po wykonaniusecurity control (ACL) i QoS-aCampus Network Model Struktura sieci w tym modelu składa się z następujących bloków funkcjonalnych:- Core Block (backbone) - Switch Block (połączone switche Access Layer i Distribution Layer, do AL dołączone są hosty)- Server Farm Block ( tak jak switch block tylko zamiast zwykłych hostów serwery)- Enterprise Edge Block- Management Block- Service Provider Edge Block

Switche w sieci pracują w takich warstwach:- Access Layer (AL.) – L2- Distribution Layer (DL) L3/L4 (MLS)- Core Layer (CL) – L3

Switche Access Layer AL:Do switchy AL są podłączone hosty userów. Switche AL są switchami L2, powinny mieć duŜągęstość portów i niski koszt portu. Odbywa się tu VLAN membership, filtrowanie ruchu,podstawowy QoSSwitche Distribution Layer DL:Switche DL są switchami MLS. Do switchy dystrybucyjnych DL są podłączone switche ALlinkami redundantnymi. KaŜdy switch AL ma osobny link do kaŜdego switcha DL.Wykorzystując podwójne linki moŜna np. zaimplementować per-VLAN load balancing.W switchach DL odbywa się routing między VLAN-ami oraz Security i QoS. Switche DL musząbyć zdolne przetworzyć cały wolumen ruchu ze switchy AL. Na switchach DL kończy się ruchbroadcastowy userów.

Switch Block tworzą połączone switche AL i DL. Typowy Switch Block składa się ze 2 switchyDL do których są podłączone podwójnymi linkami switche AL.VLANy powinny być takzaprojektowane Ŝeby Ŝaden ruch między VLANami nie odbywał się poza warstwę dystrybucji

Switche Core Layer CL:W warstwie CL pracuje 1 lub 2 switche L3 (dual Core). W CL Ŝadnych operacji na pakietach( ACL, filtry itp.)Do switchy warstwy CL są podłączone za pomocą podwójnych linków:- Switch Blocki - Server Farm Blocki ( tak jak switch block tylko zamiast zwykłych hostów serwery)- Enterprise Edge Block- Management Block- Service Provider Edge Block

W mniejszych sieciach 3-warstwowa struktura moŜe być uproszczona do struktury 2 warstwowej.Warstwa dystrybucji i core-u moŜe stanowić jedną warstwę – nazywa się to Colapsed Core. Czyli struktura sieci wygląda tak Ŝe wszystkie Switch Blocki są połączone ze sobą linkamiredundantymi.



Chapter 3 – switch operation

czas trzymania MACa w CAM ( do pakietu przychodzącego jest przybijany time stamp)sw(config)# mac address-table aging-time 300 (default)

statyczne przybicie MACa do VLANu i portusw(config)# mac address-table static 00:02:a2:c0:fa:b0 vlan 10 interface fe0/5

pokaŜ zawartość CAMsw# sh mac address-table dynamic [ address 00:02:a2:c0:fa:b0 | interface fe0/5 | vlan 10]

rozmiar CAMsw# sh mac address-table count

wyczyść zawartość CAMsw# clear mac address-table dynamic [ address 00:02:a2:c0:fa:b0 | interface fe0/5 | vlan 10]

Trochę teorii:W switchu L2 ramka przychodząca na port, trafia do jednej z IngressQue a następnie jest przetwarzana sprzętowo (ASIC) jednocześnie przez:− L2 forwarding table ( MAC->Egress port->VLAN)− Security ACLs (TCAM)− QoS ACLs (TCAM)a następnie trafia do EgressQue i dalej na port wychodzący

Switche L2 / L3 – Multilayer Switches (MLS) Catalyst 3560/4500/6500Typy MLS:− Route Caching (Route Processor + Switch Engine)=”route one switch many”, Netflow Lan Sw.− Topology-based=Cisco Express Forwarding->routing proces przetwarza sprzętowo Forwarding

Information Base (FIB)W switchu MLS ramka przychodząca na port, trafia do jednej z IngressQue a następnie jest przetwarzana sprzętowo (ASIC) jednocześnie przez :− L2 forwarding table ( MAC->Egress port->VLAN)− L3 forwarding Information Base (FIB)− Security ACLs (TCAM)− QoS ACLs (TCAM)a następnie następuje L3 packet rewrite ( bo zmieniły sie MAC-i ( jak w routerze), TTL i FCSy L2 i L3 ), i dalej trafia do EgressQue i dalej na port wychodzącyNie wszystkie pakiety są przetwarzane przez CEF. Niektóre rodzaje pakietów są przetwarzane przez CPU process switching. Są to:− ARP Req /Rep− pakiety wymagające odpowiedzi routera np. TTL expired, MTU exceed− broadcasty relay-owane jako unicast ( ustawiony ip helper address do relayowania DHCP req)− routing protocol updaty− pakiety CDP− pakiety IPX , non IP

Flapping – MAC widziany na jednym porcie, pojawił się na innym porcie, a CAM nie zostałupdatowanyTCAM – to skompilowana ACL-ka – przetwarzanie odbywa się sprzętowo w pojedynczym „look-up-ie”TCAM składa sie z:



- Feature Manager-a (kompiluje wszystkie ACL matching statements)i Switching Database Managera (SDM) – partycjonuje TCAM ( nie we wszystkich switchach)RóŜnica między CAM a TCAM – w CAM – matching MAC->Port to 1 lub 0w TCAM ( poniewaŜ jest maska to matching jest 1, 0 lub X - ( don't care) czyli 3 wartości=ternaryTCAM entries składają sie z Value, Mask, Results (VMR)Values – 134 bity – wartość składająca się ze „sklejonego” adresu SRC i DST oraz innych pólprotokołuMasks – zbudowana tak jak Values, ale wybrane są tylko bity które stanowią wzorzec dopasowaniaResults – wynik porównania Value z Maską, decyduje jak zforwardować pakiet– permit lub deny,lub index do QoS policera itd.JeŜeli w ACLu jest operator warstwy L4, lub logiczny gt, lt, neq, range to Feature Managercompiluje do TCAM entry, rejestr Logical Operation Unit.TCAM generalnie nie wymaga Ŝadnej obsługi – naleŜy jedynie pilnować Ŝeby nie było overflowjak rozbudowuje sie ACLki



chapter 4 – switch port configuration + technologie ethernetowe

pojedynczy port do konfiguracjisw(config)# interface fe 0/10

kilka portów do konfiguracji (spacje są istotne ! )sw(config)# interface range fe 0/10 , fe 1/11 , fe 1/15

zakres portów do konfiguracjisw(config)# interface range fe 0/1 - 48

definicja macrosw(config)# define interface-range nazwa_macro gig 2/1 , gig 2/3 – 2/5 , gig 3/0 – 3/48... i uŜycie macrosw(config)# interface range macro nazwa_macro

...następnie konfiguracja duplexu, nazwy i szybkości interfejsusw(config-if)# description serwer POP3sw(config-if)# duplex { auto | full | half }sw(config-if)# speed { 10 | 100 | 1000 | auto }

zarządzanie wykrywaniem errorów na portach ( konfiguracja dotyczy WSZYSTKICH portów)sw(config)# [no] errdisable detect [ all | typ erroru ] - defaultowo all

typy errorów:all – wszystkie przyczyny są wykrywanearp-inspection - wiadomobpduguard – gdy na porcie Portfast zostanie wykryty BPDU (a oczywiście nie powinno go tam być)channel-misconfig – dotyczy EtherChanneldhcp-rate-limit - DHCP snoopingdtp-flap – zmienił sie typ trunkingugbic-invalid - wiadomoilpower - wiadomol2ptguard – L2 protocol tunnelingloopback - coś sie zapętliłolink-flap – wiadomo link up/downpagp-flap – EtherChannelpsecure-violation – naruszenie zasad securityrootguard – BPDU z root bridge-a wykryte na niedozwolonym porciesecurity-violation - naruszenie zasad securitystorm-control - wiadomoudld – link stał sie jednokierunkowyunicast-flood – wiadomovmps – error przy przypisaniu do dynamicznego VLAN-u przez serwer VMPS

JeŜeli port znajdzie sie w stanie errdisable to musi być ręcznie włączony przez:

sw(config)# interface gig0/1sw(config-if)# shutdownsw(config-if)# no shutdown

moŜe sie teŜ włączyć automatycznie jeŜeli:



sw(config)# errdisable recovery cause [ all | typ erroru ]

automatyczne recovery jest co 300 sec defaultowo, moŜna to zmienić przez:sw(config)# errdisable recovery interval 30 – 86400

Troche teorii o technologii PHY:Format ramki we wszystkich rodzajach ethernetu jest taki sam, róŜnica jest tylko w sygnalizacjiwarstwy PHYFastEthernet 802.3u – 100BASE-TX UTP cat.5 – 100m

100BASE-FX fiber MMF 62.5/125 – 400m half duplex/2000m full duplex fiber SMF – 10 km

Gigabit Ethernet 802.3ab – 1000BASE-T UTP cat5+ – 100m 4 pary 802.3z – 1000BASE-SX fiber MMF 62.5/125 850nm laser – 275m

fiber MMF 50 850 laser – 550m 1000BASE-LX/LH fiber MMF 62.5 1300nm laser – 550m

fiber SMF 50 1300nm laser – 550m fiber SMF 9 1300nm laser – 10km

1000BASE-ZX fiber SMF 9 1550nm laser – 70km fiber SMF 8 1550nm laser – 100km

10Gigabit Ethernet 802.3ae – 10GBASE – x1x2

x1x2 – znaczy: x1->S-850nm, L-1310nm, E-1550n,; x2->R-LAN PHY, W-WAN PHY np. LW4 znaczy – laser 1310nm, WAN interface, 4-transmisja na 4 długościach fali WWDM

SR/SW – MMF 50 i 62.5 – 33 do 300m, LR/LW – SMF 9 – 10kmER/EW – SMF 9 – 40kmLX4/LW4 – SMF/MMF 50 – 62.5 - 9 – 300m do 10 km



chapter 5 VLAN and Trunks

Konfiguracja VLAN-ów ( VLANy statyczne –przybite do portu, Dynamiczne-przybite do MACa, wymaga serwera VMPS)

…tworzymy i nazywamy VLANsw(config)# vlan 10 (1-1005, 1002-1005 automat., extend VLAN 1-4094 tylko vtp modetransparent) sw(config-vlan)# name marketing_dept ( 32 znaki max bez spacji)

…a następnie przybijamy go do portusw(config)# interface fe 0/1sw(config-if)# switchport - włączamy L2 operationsw(config-if)# switchport mode accesssw(config-if)# switchport access vlan 10

…konfigurujemy trunk linkasw(config)# interface gig 1/0sw(config-if)# switchportsw(config-if)# switchport trunk encapsulation { isl | dot1q | negotiate} (negotiate-default)sw(config-if)# switchport trunk native vlan 1 (default – native vlan nie jest tagowana)sw(config-if)# switchport trunk allowed vlan { lista | all | { add | except | remove} lista }(default all)JeŜeli ustawia sie allowed vlan – to zrobić to na obu końcach trunka

sw(config-if)# switchport mode { trunk | dynamic { desirable | all } ( dynamic-desirable - default)

…i sprawdzamysw# show interface gig 1/0 trunksw# show interface gig 1/0 switchportsw# show interface status

Trochę teorii:VLAN-y projektować tak Ŝeby nie sięgały poza domenę L2 switcha warstwy dystrybucji(End-to-End VLAN) VLAN-y powinny siedzieć jedynie w switch bloku ( switche dostępowe i dystrybucyjne. śadnegoruchu między VLAN-ami przez Core !)

Dynamiczna negocjacja trunka ( DTP – Cisco proprietary)DTP naleŜy wyłączyć gdy switch ma łącze trunkowe podłączone do nontrunking routera, firewallaetc, Trunk ling moŜe być ustanowiony przez DTP tylko gdy switche naleŜą do tej samej domenyVTP. JeŜeli swiche naleŜą do róŜnych domen VTP a ma być trunk miedzy nimi to ustawićnonegotiate mode. Ramki DTP są wysyłane co 30 sek.Jeśli ona końce trunka mają ustawione fixed trunk , to wyłączyć DTPSw(config-if) # switchport nonegotiate

switchport mode trunk – (łącze permanentnie trunkowe)Dynamic Trunking jeŜeli switch na końcu jest: trunk lub dynamic desirable lub dynamic auto

switchport mode dynamic desirable – ( tryb defaultowy na switchu, port aktywnie próbujewynegocjować łącze jako trunkowe)Dynamic Trunking jeŜeli switch na końcu jest: trunk lub dynamic desirable lub dynamic auto



switchport mode auto – ( port stanie się trunkowy jeśli switch na drugim końcu o to poprosi ☺ )Dynamic Trunking jeŜeli switch na końcu jest: trunk lub dynamic desirable

Podczas trunkingu port wyjściowy łącza trunkowego dodaje taga do ramki kaŜdego VLAN-ua port wejściowy zdejmuje taga.

ISL – ramka ethernetowa jest enkapsulowana wewnątrz ramki ISL przez dodatnie 26 bajtówheadera, 4 bajty trailera (CRC) , 15bit VLAN ID jest w headerze

dot1q – 801.1Q – ramki L2 są tagowane tagiem 4 bajtowym, 12bit VLAN IDStruktura ramki wygląda tak:Dst-MAC | Src-MAC | 802.1Q tag | DATA | FCS

802.1Q tag (4bajty)wygląda tak:TPID (8bit) | TPID (8bit) | Priority (4bit) | VLAN ID 12 bit

- TPID zawsze ma wart. 0x8100- Priority słuŜy do implementacji CoS IEEE 802.1p- VLAN ID wart 0 – 4095

Native VLAN – ramki naleŜące na native vlan, na łączu trunkowym nie są tagowane Ŝadnymi Informacjami. Na obu końcach trunka musi być ustawiony ten sam Native VLANNative VLAN mismatch jest odkrywany przez CDP

Narzut na informacji trunku na ramkę moŜe spowodować ze ramka przekroczy max MTU=1518bajtów dla ramki Ethernetowej. Taka rameczka to „baby giant frame” ☺ i jest raportowane przezswitch jako error



chapter 6 – VTP

UWAGA : Przed wpięciem switcha do Ŝywej sieci wyzerować VTP Rev Nr !!!!!bo jest zapisywany w NVRAM. Najprościej zmienić nazwę domeny na nieistniejącą i spowrotem na właściwą. Po wyzerowaniu sprawadzić:sw# show vtp status - Rev musibyć =0

Konfiguracja VTP

sw(config)# vtp domain cisco_the_bestsw(config)# vtp mode {server | client | transparent } ( server – default)sw(config)# vtp password haselkosw(config)# vtp version { 1 | 2 } ( ver.1 – default) ( w domenie musza być ust. te same vtp ver)

Pruning – wycina z trunka niepotrzebne VLANy, zamiast tego uŜywać #switchport trun allowed vlan

sw(config)# vtp pruning ( disabled – default, gdy enable-to prune eligible wszystkie VLANy )sw(config)# interface gig 0/1sw(config-if)# switchport trunk pruning vlan { add | except | none | remove } 2 , 3

Troubleshooting;sw # show vtp statussw # show vtp counterssw # show vlan briefsw # show interface gig 0/1 switchportsw # show interface gig 0/1 pruning

Troche teorii:Switch moŜe naleŜeć do 1 domeny, ale domen moŜe być kilka – są one niezaleŜneDla redundancji powinien być >1 switch w trybie serwerWszystkie switche muszą mieć ten sam VTP ver nr Server mode – pełna kontrola nad tworzeniem i modyfikacją VLANów w domenie, wszystkieinformacje VTP są ogłaszane innym switchom, informacje przychodzące są synchronizowaneClient mode – nasłuchuje komunikatów VTP i modyfikuje swoją konfigurację VLANówOdebrane inf VTP są forwardowane przez trunk link do sąsiadówTransparent mode – nie uczestniczy w VTP, VTP ver 1 nawet nie relayuje info VTP jeśli tenswitch nie ma ustawionej domeny VTP takiej jak reszta.VTP ver 2 relayuje VTP info niezaleŜnie od nazwy domeny

Przed wpięciem switcha do Ŝywej sieci wyzerować VTP rev nr !!!! ( jest zapisany w NVRAM)po to Ŝeby np. client mode switch z wyŜszym Rev nr nie rozwaliłkonfiguracji w całej domenieNajprościej wyzerować przez zmianę nazwy domeny na nieistniejącą i spowrotem na właściwą

VTP advertisements są wysyłane jako ramki multicastowe VLANy muszą być tworzone i konfigurowane tylko na VTP serwerzeW domenie musza być ustawione te same wersje vtp VTP ver 2 ma takie dodatkowe ficzersy ☺ :Version dependent transparent mode – transparent mode switch forwarduje VTP adv niezaleŜnie



od nazwy domeny i bez sprawdzania ver nrConsistency check – sprawdza parametry VTP i VLAN wklepane przez CLI lub z SNMPToken Ring support (kto to jeszcze stosuje ????)Unrecognized TLV support -

Dla bezpieczeństwa ustawiać hasło w domenie VTP

Formy ogłoszeń VTP : Ogłoszenia VTP są wysyłane tylko na linkach trunkowych ! Summary advertisements – wysyłane przez VTP servers co 300 sek lub przy kaŜdej zmianie bazydanych VLAN, Format summary adv.:Ver. (1 bajt) | Type (1 bajt) | nr of adv (1bajt) | Domain name length (1 bajt)Domain name ( wypełnione zerami do 32 bajtów)Config Rev nr (4 bajty)Updater Identity (originating IP address 4 bajty)Update time stamp (12 bajtów)MD5 hash (16 bajtów)

Subset advertisements – serwery VTP wysyłają po zmianie konfiguracji VLANZawiera informacje o utworzeniu/skasowaniu, zmianie nazwy, zmianie MTU VLANuStatusie i typie VLANu

Advertisements request from clients – zapytania od klientów o informacje brakującePo zapytaniu klienta, serwery odpowiadają przez wysłąnie Summary adv i subset adv

VTP Pruning – defaultowo trunk link transportuje ruch z wszystkich VLANówPo włączeniu pruningu switch nie wysyła broadcastów na linku trunkowym który nie wymaga tego broadcastu – czyli następuje poprawa wykorzystania pasma.Zamiast VTP pruningu ustawiać #switchport trunk allowed vlan



chapter 7 – Agregating switch links

dla kaŜdego EC na switchu trzeba wybrać protokół EC i przypisać do niego port

...dla PagP ( CISCO) leci to tak:

...najpierw sprawdzamy ficzersy switcha do obsłui ECsw# sh port capabilities

sw(config)# interface port-channel 1 - tworzymy interfejs “port-channel “sw(config)# port-channel load-balance src-dst-port

sw(config)# interface range gig 0/1 – 4 , gig1/1 - 4sw(config-if)# channel-protocol pagpsw(config-if)# channel-group (1-64) mode { on | { auto | desirable } [non-silent] }

auto - (pasive mode) – domyślny tryb, switch negocjuje EC gdy switch odległy zainicjujedesireable – (active mode) – switch aktywnie prosi switch odległy o negocjacje ECsilent – default, jeŜeli na drugim końcu linka jest urządzenie PagP-capable to ustawićno-silent razem z auto lub desireable (15 – 50 sec delay)

...dla LACP (IEEE 802.3ad) leci to tak:

sw(config)# lacp system-priority 1-65535 (default 32768)

sw(config)# interface gig 0/1 – 4 , gig 1/1 – 4 sw(config-if)# channel-protocol lacpsw(config-if)# channel-group (1-64) mode { on | passive | active }

sw(config-if)# lacp port-priority 1-65535 (default 32768)

LACP przypisuje role EC endpointom. Switch z najniŜszym system priority ( 2 bajty priority+ 6bajtów switch MAC-a) podejmuje decyzje, które porty w danej chwili uczestniczą w ECPorty są wybrane i stają się aktywne według port priority ( 2 bajty pririty+2 bajty port nr)NiŜsza wartość = wyŜszy priorytetDo udziału w EC moŜe być wybranych do 16 potencjalnych linków, LACP wybiera z nich do 8linków z najniŜszym port priority.Pozostałe linki są w stanie standby i czekają na pad linkówaktywnych

Troubleshooting:Przedewszystkim sprawdzić czy jest spójna konfiguracja na obu końcach.sw# show etherchannel summarysw# show etherchannel portsw# show etherchannel port-channelsw# show etherchannel load-balancesw# show { pagp | lacp } neighbor

Troche teorii:EtherChannel – stanowi 2 do 8 zagregowanych linków FE, GE lub 10GEPasmo full duplex np. Dla 8 linków GE = 8x1Gbps x 2 = 16GbpsPoniewaŜ te linki równoległe tworzą 1 link logiczny to nie ma Ŝadnych loop-ówśadne odebrane broadcasty i multicasty nie są odsyłane spowrotem na pozostałe porty EC



Ramki są wysyłane na poszczególne linki EC zgodnie ze wzorcem binarnym będącym wynikiemdziałania algorytmu hash-ującego który uzywa src-ip, dst-ip, src-mac,dst-mac, port nr ramkinp. gdy mamy link EC składający się z 4 linkow, to algorytm bierze src-ip i dst-ip, wykonuje natych adresach operacje XOR, i 2 najmniej znaczące bity wyniku stanowią nr linka przez którypójdą dane. Czyli to znaczy Ŝe transmisja między 2 takimi samymi adresami odbywa sie zawsze tym samym linkiem, ale poniewaŜ na linku EC gadają róŜne adresy to cisco doszło do wniosku Ŝedystrybucja obciąŜenia między linki będzie równomierna JeŜeli aktywny link padnie to istniejący ruch pójdzie innymi linkami.Niemniej jednak gdyby np na 4 linkowym EC volumen ruchu między 1 parą adresówbył znacznie większy niŜ między innymi parami adresów ( np ruch do jednego serwera) to nastąpiduŜa nierównomierność rozkładu obciąŜenia między linkami.Dla rozwiązania problemu trzeba ustawić inną metodę algorytmu hashowania niŜ src-ip-dst-ip,np src-port-dst-port. Ustawia sie to przez:sw(config)# port-channel load-balance src-dst-ip (default) ( globalnie na switchu)Dopuszczalne metody to:tylko src-ip ( wynik jest bitowy – np. EC 4 linkowe to wynik stanowią 2 bity LSB src-ip)tylko dst-ipsrc-dst-ip ( wynik stanowią np 2 bity LSB z operacji XOR między src-ip a dst-ip)src-mac, dst-mac, src-dst-mac, src-port, dst-port, src-dst-portGdy gadają ze sobą 2 routery to nie uŜywać MAC-ów bo zawsze sa takie same i cały ruchpójdzie jednym linkiem !!!Przy switchowaniu protokołów innych niŜ IP uŜyć MAC-ów

Do zweryfikowania rozkładu obciąŜenia uŜyć:sw# show etherchannel port-channel

Wszystkie porty wybrane do EC musza naleŜeć do tego samego VLANu, muszą mieć ten samNative VLAN, ten sam speed i duplex settings, jeŜeli ma to być link trunkowy to porty musza miećustawiony trunking i te same allowed VLANs. Muszą być identyczne ustawienia Spanning TreePo skonfigurowaniu EC wszystkie zmiany konfiguracji na interfejsie „port-channel” dotyczą całegoEC, natomiast zmiany na interfesie fizycznym dotycza tego konkretnego interfejsu.



Chapter 8 + 9 Spanning Tree

UWAGA W ŚRODOWISKU PRODUKCYJNYM: W CZASIE REKONFIGURACJISTP – RUCH W SIECI ZOSTAJE WSTRZYMANY.

Switch(config)# spanning-tree 1, 10-20 (defaultowo STP jest włączony dla wszystkich VLANow)

...wybieramy root bridge-aSwitch(config)# spanning-tree vlan 1, 10-20 priority 32768 (32768-default)..lubSwitch(config)# spanning-tree vlan 1 , 10-20 root {primary | secondary} [diameter diameter]

...koszt ścieŜki na interfejsie (np. RóŜne koszty dla róŜnych VLANów)Switch(config-if)# spanning-tree [vlan 1 , 10-20] cost 19

...port prioritySwitch(config-if)# spanning-tree [vlan 1, 10-20] portpriority 128 (128-default)

STP timers ( Modyfikacja timerów tylko na Root Bridge-u)

Switch(config)# spanning-tree [vlan vlan-id] hello-time 2 (1-10)Switch(config)# spanning-tree [vlan vlan-id] forward-time 15 (4-30)Switch(config)# spanning-tree [vlan vlan-id] max-age 20 (6-40)

Switch(config)# spanning-tree portfast default - globalnie na switchumoŜna wyłączyć portfast na określonych portachUŜywać razem z BPDU Guard

Switch(config-if)# no spanning-tree portfast

Switch(config)# spanning-tree uplinkfast [max-updaterate 150] (150 default, 0-65535)na switchach dostępowych gdy są dual uplinki do switchy dystrybucyjnych

Switch(config)# spanning-tree backbonefast - umoŜliwia szybką konwergencje w Core

Switch# show spanning-treeSwitch# show spanning-tree detailSwitch# show spanning-tree [vlan vlan-id] summarySwitch# show spanning-tree [vlan vlan-id] rootSwitch# show spanning-tree [vlan vlan-id] bridgeSwitch# show spanning-tree uplinkfastSwitch# show spanning-tree backbonefast

Trochę teorii:Informacje STP sa przesyłane przez BPDU na STP Multicast adres 01-80-c2-00-00-00BPDU domyślnie wysyłane na porcie co hello time=2 sek.

Typy BPDU:Configuration BPDU – słuŜą do wyznaczenia topologii STP

Topology Change Notification ( TCN BPDU) – switch wysyła do sąsiadów TCN na Root-portachjeśli wystąpiła zmiana w topologi. (zmiana stanu portu lub linka)KaŜdy switch który odebrał TCN BPDU wysyła ACK i nastepnie równieŜ wysyła TCN BPDU na



Root Portach do swoich sąsiadów. W końcu TCN dochodzi do Root bridge-a.Root Bridge wysyła ACK i w odpowiedzi wysyła change flag w Conf BPDU – switche skracają po tym czas trzymania MACów z 300 sek do 15 sek a następnie zostaje wyznaczona nowatopologia

Struktura Conf BPDU:Protocol ID (2bajty) | Ver (1) | Message Type (1) | Flags (1)Root bridge ID (8) | Root Path cost (4) | Sender bridge ID 8 | Port ID (2)Message Age (2) | Max Age (2) | Hello time (2) | Forward delay (2)

Struktura TCN BPDU: - informacja TYLKO o tym Ŝe wystąpiła zmiana topologii ( co 2 sek)Protocol ID (2) | Ver (1) | Message Type (1)

Bridge ID ( dla CST)= Bridge Priority (16bitów) (32768 default) + MAC (48bitów)Bridge ID ( dla PVST)= Bridge Priority (4bity) + Extend System ID (12bitów) + MAC 6 bajtóww tym przypadku bridge priority jest inkrementowany co 4096

Root Bridge = switch z najniŜszym Bridge ID

Port ID = Port Priority (0-255, 128 default) + Port ID ( 0-255)

Root port = port na non-root switchu, port w kierunku root switcha po ścieŜce o najniŜszymkoszcie całkowitym.JeŜeli są 2 scieŜki o takim samym koszcie to RP jest portem o niŜszym portpriority. W kaŜdym switchu jeden RP

Koszty STP ścieŜek: (nowa skala) 10Gbps=2, 1Gbps=4, 622Mbps=6, 155Mbps=14, 100Mbps=19, 10Mbps=100

Designated port = port o najniŜszym całkowitym koszcie do Root bridgea, jeŜeli są takie same todecyduje niŜszy Sender Bridge ID, a następnie Sender Port ID. W kaŜdym segmencie jest jeden Designated port. Porty które nie są DP ani RP zostają zablokowane.

Stany STP:Disabled – port administracyjnie wyłączonyBlocking – odbiera tylko BPDU, jest w stanie standbyListening – odbiera i wysyła BPDU wybiera porty RP i DP ( forward delay 15 sek)Learning - odbiera i wysyła BPDU + odbiera MAC-i (forward delay 15 sek)Forwarding – full function

Hello time – czas wysyłania Conf BPDU przez Roota – 2 sekForward delay – 15 sek.Max Age Time – czas przez który switch przechowuje BPDU po utracie kontaktu ze źródłemPo tym czasie switch stwierdza Ŝe zmieniła sie topologia – 20 sek

Cisco wymyśliło Per-VLAN Spanning tree ( PVST) – uŜywa osobnej instancji STP dla kaŜdegoVLAN-u, Wymaga Ŝeby linku trunkowe uŜywały enkapsulacji ISL . Nie mieszać 8021D STP z PVST !!! PVST+ umoŜliwia taką współprace

Zamiast modyfikacji wartości timerów dla poprawy szybkości konwergencji STP moŜna uŜywać:PortFast – na switchach access layer do których są dołączone hosty robocze.



Na porcie do którego jest podłączony pojedynczy host PF pomija Listening i Learning i przechodzibezpośrednio z blocking do forwarding-. Wykrywanie pętli STP nadal działaNie włączać PF na portach do których są podłączone inne switche !!!Zaletą PF jest to Ŝe nie są wysyłane do sieci TCN BPDU gdy taki port jest up/downUplinkFast – na switchach access layer które mają podwójne uplinki do switchy dystrybucyjnychSwitch dostępowy który ma 2 uplinki do switchy dystrybucyjnych potrzebuje do 50 sek naprzełączenie się na link zapasowy gdy podstawowy padnie. UF śledzi wszystkie moŜliwe ścieŜki doRoot Bridge-a i gdy primary Root Port zdechnie to to inny blocked uplink o najniŜszym koszcie doRootBridgea natychmiast wstaje.Nie załączać UF na Root Bridge-u !!! Generalnie moŜe to być załączone na leaf-node switchachPo włączeniu UF switch sam zabezpiecza sie przed tym Ŝeby nie zostać Root Bridgem, podnoszącBridge Priority do 49152, a Port Cost zwiększa do 3000 Ŝeby inne switche nie wybrały tej ścieŜkido rootaParametr max-update-rate w poleceniu uplinkfast oznacza maksymalną szybkość wysyłania ramekmulticastowych na adres 0100.0ccd.cdcd. To są ramki zawierające CAM switcha dopowiadomienia upstream switchy Ŝe downstream stations będą osiągalne przez nowy uplink po tymjak zdechł primary uplinkBackboneFast – w rdzeniu sieci. Switch z BF aktywnie określa czy istnieje alternatywna ścieŜkado RootBridge-a w przypadku wykrycia indirect link failure. BF skraca max opóźnieniekonwergencji z 50 do 30 sek. JeŜeli włącza sie BF, to naleŜy go włączyć na WSZYSTKICHswitchach w sieci poniewaŜ uŜywa RLQ Request i RLQ Reply do sprawdzenia stabilnościRootPath.



Chapter 10 Protecting STP

Switch(config-if)# spanning-tree guard root

Switch(config)# spanning-tree portfast bpduguard default - na wszystkich portach...i moŜna wyłączyć na określonym porcieSwitch(config-if)# [no] spanning-tree bpduguard enable

Switch(config)# spanning-tree loopguard defaultSwitch(config-if)# [no] spanning-tree guard loop

Switch(config)# udld {enable | aggressive | message time 7} ( 7s dla 3550, 15s dla 6500)Switch(config-if)# udld {enable | aggressive | disable}

Enable BPDU filteringSwitch(config)# spanning-tree bpdufilter defaultSwitch(config-if)# spanning-tree bpdufilter enable

Switch# show spanning-tree inconsistentportsSwitch# show spanning-tree summarySwitch# show udld [type mod/num]Switch# udld reset

Troche teorii: (o ficzersach wymyślonych przez cisco dla zabezpieczenia STP :)Root Guard i BPDU Guard to są ficzersy które zabezpieczają sieć przed rekonfiguracjągdy do sieci zostanie wpięty “lewy” switch z niŜszym BridgeID, który będzie chciał zostać RootBridgem

Root Guard – ustawiać na portach gdzie root nigdy nie będzie spodziewanyPo ustawieniu na porcie switcha, nie pozwala temu portowi stać się root portem Gdy na porcie na którym jest RootGuard zostanie wykryty lepszy BPDU, port przejdzie w stanroot-inconsistent STP i ruch zostanie zablokowany.BPDU Guard – ustawiać na na switchach dostępowych tam gdzie jest włączony PortFastBG wykrywa BPDU na porcie na którym nie powinno go być, czyli np na porcie gdzie zostałwłączony PortFast – jeśli pojawią sie tam jakiś BPDU to port natychmiast przechodzi w stanerrdisable ( włączenie portu ręczne lub automatyczne zaleŜnie od ustawienia errdisable) Nigdy nie ustawiać BPDU-Guard na uplinkach na których jest lub moŜe być RootBridge !

Zabezpieczenia przed utratą BPDUJeŜeli switch na porcie non-designated nie odbierze w określonym czasie BPDU to uzna Ŝe zdechłlink i trzeba zmienić topologie, lub Ŝe na tym porcie nie ma Ŝadnego urządzenia STP i moŜnaprzejść do stanu forwardingLoop Guard – ustawiać na portach NDLG śledzi BPDU activity na non-designated porcie, jeśli BPDU sie stracą toLG zmienia stan portu na loop-inconsistent state i trzyma port dalej jako non-designated w stanieblokowania. LoopGuard moŜna załączyć na wszystkich portach switcha niezaleŜnie od ich funkcji.LG pilnuje tylko Ŝeby porty ND były portami NDUnidirectional Link Detection (UDLD) – ustawiać na linkach światłowodowych ( na obu końcachlinka ! ) Ale spoko moŜna załączyć na wszystkich portachUDLD monitoruje czy link faktycznie jest 2 kierunkowy wysyłając w warstwie L2 ramki UDLDi czekając na echo ( defaultowo co 15 sek) UDLD musi wykryć unidirectional zanim port przejdzieze stanu blocking do do forwarding, czyli przed upłynięciem 2 x forwarding time + Max age time,



czyli 50 sek. UDLD moŜe pracować w trybie normal i aggressive Normal – po wykryciu linku uni- port kontynuuje prace a UDLD zaznacza stan port u jakonieokreślony i generuje syslog msgAggressive – switch próbuje re-establish link, UDLD wysyła wiadomosci co 1 sek przez 8 sek, potym czasie port przechodzi do stanu errdisable.UDLD musi być załączone na obu końcach, ale jest na tyle inteligentne Ŝe jeŜeli jest konfigurowanena linku za pierwszym razem to wie Ŝe na drugim końcu nie ma UDLD i nie połozy linka.Dziękujemy ci Cisco :)

Niedozwolona kombinacja Guardów:RootGuard i LoopGuardRootGuard i BPDU Guard



Chapter 11 Advanced Spanning Tree Protocol

Konfiguracja RSTP (jedyną zmianą konfiguracyjną w stos do 802.1D jest konfiguracja typu portuPortFast i linka point-to-point)

Switch(config-if)# spanning-tree portfastSwitch(config-if)# spanning-tree link-type point-to-point – w sumie RSTP na linku full-duplex,określa to automatycznie

Włączenie Rapid PVST+ ( RPVST+) ( uwaga na włączanie tego w środowisku produkcyjnym –następuje reset STP)Switch(config)# spanning-tree mode rapid-pvst ...a spowrotem do PVST+Switch(config)# spanning-tree mode pvst

Konfiguracja MSTP

...wchodzimy do konfiguracji MSTSwitch(config)# spanning-tree mst configuration

...oglądamy bieŜącą konfigurację Switch(config-mst)# show current

...ustawiamy nazwe regionuSwitch(config-mst)# name region_MST

...i revision nrSwitch(config-mst)# revision (0-65535) za kaŜdym razem jak zmienia sie konfiguracje naleŜyzwiększyć numer o 1, konfiguracja regionu (łącznie z rev nr musi być taka sama na wszystkichswitchach w regionie – POWODZENIA !

...mapujemy VLAN do instancjiSwitch(config-mst)# instance (0-15) vlan 1 , 10-20 (default wszystkie VLANy mapowane do 0

...sprawdz dokonane zmiany, i zatwierdz i wydź.Switch(config-mst)# show pendingSwitch(config-mst)# exit

...i robimy tuning parametrów MST podobnie jak dla STPSwitch(config-mst)# spanning-tree mst (0-15) root {primary | secondary} [diameter diameter]Switch(config-mst)# spanning-tree mst (0-15) priority bridgeprioritySwitch(config-mst)# spanning-tree mst (0-15) cost costSwitch(config-mst)# spanning-tree mst (01%) port-priority port-priority

Set STP timers Switch(config-mst)# spanning-tree mst hello-time 2Switch(config-mst)# spanning-tree mst forward-time 15Switch(config-mst)# spanning-tree mst max-age 20

Trochę teorii: Rapid Spanning Tree RSTP – IEEE 802.1w – to jest rozszerzenie STP IEEE 802.1D, RSTP współpracuje z STP 802.1D. RSTP Wymaga linka full duplex, p2p.



W RSTP, Root bridge jest wybierany tak jak w STP, następnie są wybierane porty:Root Port (jw.)Designated Port (jw.)Alternate port – port który ma alternatywną ścieŜkę do roota ( np access switch który ma 2 uplinki)Backup Port – port który zapewnia redundantne połączenie do segmentu gdzie inny switch port jestjuŜ podłączony.Stany portów RSTP:Discarding - kombinacja stanów STP : Disabled,Blocking,ListeningLearning – tak jak STPForwarding -tak jak STP

Format ramki RSTP jest taki sam jak STP 802.1D. Są uŜyte bity Messsage type, ver jest =2BPDU są wysyłane z kaŜdego portu co Hello Time, niezaleŜnie czy BPDU zostały odebrane z rootaczy nie. Gdy 3 kolejne BPDU zostaną utracone switch uwaŜa Ŝe sąsiad sie zdownował, czyli neighbor failure jest wykrywane w czasie defaultowym 6 sek vs 20 sek Max age time 802.1DKaŜdy switch generuje własne BPDU.BPDU jest uŜywany jako mechanizm „keepalive”W RSTP BPDU istotny jest bajt falgi – opis bitów jest taki:7 – TC6 – Proposal5, 4 – Port Role3 – Learning2 – Forwarding1- Agreement0 – TC AckGdy RSTP bridge wykryje zmiane topologii to odpala timer TC-While z wartością 2 x hello,po odliczeniu do zera, wywala MAC-i na tym porcie i ustawia flage TC we wszystkichwyjsciowych BPDU. I dalej idzie to falą

Typy portów RSTP:Edge Port – port na którym wisi pojedynczy host i jest włączony PortFast, jeśli pojawi się tamBPDU, port traci ten statusRoot Port – jak STPNon-edge Port (Point-to-Point Port) – port podłączony do innego switcha i designated port.Wybierany na podstawie szybkiego RSTP handshake-a między switchami między którymi jest linkfull-duplexTylko non-edge porty generują TCN-y, i tylko gdy przechodzą do stanu forwarding.

Konwergencja RSTP odbywa się jako propagacja handshake-ów (proposal <–> agreement)na linkach p-2-p między switchamiW 802.1D STP port który został wybrany jako Designated, musi czekać 2 x forward delay time,zanim przejdzie do stanu forwadring. W RSTP przebiega to szybciej poniewaŜ na podstawie relacjilink-by-link.Konwergencja zaczyna się od switcha wysyłającego proposal msg. Odbioraca proposal msg. musizsynchronizować się izolując się od reszty topologii ustawiając wszystkie non-edge porty jakoblokowane. Tworzy to “moving wave”Działa to mniej więcej tak:

1. switch dostaje proposal BPDU, załóŜmy Ŝe z najwyŜszym bridge ID, przed ustawieniemportu na którym to dostał robi synchronizacje

2. Wszystkie non-edge porty ustawia w stan Discarding3. Odsyła agreement msg. ( configuration BPDU)



4. Root port przechodzi w stan forwarding5. Z kaŜdego portu non-edge ( który jest Discarding), switch wysyła proposal BPDU6. Zwrotnie otrzymuje agreement msg7. Port przechodzi w stan Forwarding

RSTP wykrywa zmianę topologii tylko gdy non-edge port przechodzi do stanu forwarding.

PVST+ - dla kaŜdego aktywnego VLANu jest tworzona osobna instancja.Jest to korzystne bo np. Access switch mający 2 uplinki, moŜe wykorzystywać je oba, na jednymuplinku moŜe chodzić 1 VLAN a na drugim inny. Ilość topologii nie zaleŜy od ilości VLAN-ówtylko od ilości uplinków.

Multiple Spanning Tree (MST) – IEEE 802.1sRapid Per VLAN STP RPVST+ - jest częścią IEEE 802.1s Multiple Spanning Tree (MST)

MST – 802.1s – istota MST polega na mapowaniu 1 lub kilku VLAN-ów do pojedynczej instancjiSTP. MoŜe być uŜywanych kilka instancji.Instancje MSTP są prostymi instancjami RSTP istniejącymi tylko wewnątrz regionu działającymiautomatycznie, i nie wymagają extra konfiguracji RSTP.Numer instancji MSTP jest przenoszony w Bridge ID, w polu Extended IDWygląda to tak:Bridge Priority (4bity) – Extended Sys. ID (12 bitów) – MAC (48 bitów)Pole Extended Sys ID zawiera VLAN ID i MSTP Instance nr

w/g specyfikacji 802.1s switch MSTP musi obsłuŜyć przynajmniej 1 Internal Spaning Tree (IST)IST (instancja 0) działa na wszystkich switchach w regionie MST, i zapewnia interakcję nagranicach z innymi regionami MST, i jest odpowiedzialna za kompatybilność między regionamiMST, a sieciami CST i PVST podłączonymi do regionów.IST odbiera i wysyła BPDU do CST i reprezentuje region MST jako virtualny bridge CSTInstancje MSTP w regionie są numerowane od 1-15

Aby zaimplementować MST naleŜy określić:− ile instancji STP jest potrzebnych− jak zamapować VLAN-y do kaŜdej z instancjiInstancja MST jest określona przez takie atrybuty:− configuration name ( 32 znaki)− configuration revision number ( 0-65535)− MST instance-to-VLAN mapping table ( 4096 entries)JeŜeli 2 swiche mają taki sam zestaw atrybutów to naleŜą to tego samego regionu MSTInstancje STP powiązane z MSTCommon Spanning Tree (CST) – topologia dla całej sieciInternal Spanning Tree (IST) – topologia dla regionu MSTInstancje MST (MSTi) – topologie wewnątrz regionu MST dla setu zamapowanych VLAN-ów



Chapter 12 Multilayer Switching + InterVLAN Routing

Konfiguracja routera na patyku „Router on a stick” do routowania między VLANami(nie trzeba włączać routingu dynamicznego, bo sieci są „directly connected”)Switchport podłączony do routera musi być portem trunkowym.

rtr(config)# interface fe 0/0 - interfejs dla native VLANrtr(config-if)# ip address 192.168.1.1 255.255.255.0

rtr(config-if)# interface fe/0:10 - subinterfejs dla VLAN-u 10rtr(config-sub)# encapsulation dot1qrtr(config-sub)# ip address 192.168.10.1 255.255.255.0

rtr(config-if)# interface fe/0:20 - subinterfejs dla VLAN-u 20rtr(config-sub)# encapsulation dot1qrtr(config-sub)# ip address 192.168.20.1 255.255.255.0

Routing między VLAN-ami na switchu MLS

Switch(config)# ip routing - włączamy routingSwitch(config)# interface vlan 10 - konfigurujemy interfejs logiczny SVISwitch(config-if)# ip address 192.168.1.1 255.255.255.0 – adres SVI Switch(config)# router ospf 1 - opcjonalnie włączamy routing dynamicznySwitch(config)# network 192.168.1.0 area 0Switch# sh ip route - sprawdzamy

Konfiguracja „routed port-u” na switchu MLS

Switch(config)# ip routing - włączamy routing na routerzeSwitch(config)# interface fe 0/10 - Switch(config-if)# no switchport - ustawiamy interfejs jak L3Switch(config-if)# ip address 192.168.0.10 255.255.255.0Switch(config)# router eigrp 1 - opcjonalnie włączamy routing dynamicznySwitch(config)# network 192.168.0.0

Konfiguracja CEF

Switch(config)# interface fe 0/1Switch(config-if)# ip cef - na catalystach 4000Switch(config-if)# ip route-cache cef - na catalystach 3550 ( tylko na int. VLAN)

Switch# show ip cef vlan 10 - pokaŜ FIB tableSwitch# show ip cef 192.168.1.1 255.255.255.0 longer-prefixesSwitch# show adjacency summary - pokaŜ Adjacency table

Dla protokołów których CEF nie moŜe routować jest uŜyta technika fallback bridging...włączamy toSwitch(config)# bridge-group b_grupa protocol vlan-bridge...określamy VLAN w którym mamy ruch non-CEF routedSwitch(config)# interface vlan 10...i przypisujemy go do grupySwitch(config-if)# bridge-group b_grupa



Switch# show bridge b_grupa

tryb pracy portu: ( L2 /L3)Switch# show interface gig 0/1 switchport Switch# show interface vlan 10Switch# show ip interface vlan 10

Troche teorii:Do transportu ruchu między VLAN-ami trzeba oczywiście uŜyć urządzenia L3np routera :) który ma fizyczne lub logiczne połączenie z kaŜdym VLAN-emRouter na patyku (“Router on a Stick”) to router który ma pojedynczy link trunkowy do switchaMultilayer Switch moŜe przypisywać adres L3 do pojedynczego interfejsu, lub do interfejsulogicznego reprezentującego VLAN (SVI – Switched Virtual Interfejs)Defaultowo SVI jest tworzony dla defaultowego VLAN-u (VLAN1) dla umoŜliwieniazdalnego zarządzania.InterVLAN routing wymaga włączenia protokołu L3 i dodatkowo naleŜy skonfigurować routing statyczny lub dynamiczny.

W switchach L3, Control Path i Data Patch są względnie niezaleŜne.Control Plane ( routing) siedzi w Route processorze, i tworzy FIB i Adj. tableData Plane jest obsługiwana przez Switching fabric ( jeśli na kartach liniowych to = dCEF)

CEF cachuje L3 routing info w FIB table i L2 next-hop adres w adjacency table

Central CEF -> FIB i Adj table leŜą w route procesorze i route procesor wykonuje expres forwarding.DCEf -> kopie FIB i Adj. Table leŜą na kartach liniowych i one wykonują forwarding. ( cat6500)

CEF ( Cisco Express Forwarding) defaultowo jest włączony na wszystkich CEF-capableCatalystach typu 3750, 4500, 6500 (fixed CEF)

Preferowane przez IOS metody switchingu− Distributed CEF (dCEF) (najszybszy)− CEF− Fast Switching− Process Switching



Chapter 13 Router, Supervisor and Power Redundancy

Konfiguracja HSRP...przypisujemy router do grupy 1 - konfiguracja na interfejsie SVI ( patrz niŜej teoria)Switch(config-if)# standby 1 priority 100 (100-default, 0-255)

...i tuningujemy hello-time i hold-time ( hello-time=1-254s lub 15-999ms, hold=3xhello)Switch(config-if)# standby 1 timers msec 100 300

...ustawiamy pre-empt ( patrz niŜej teoria)Switch(config-if)# standby 1 preempt [delay [minimum0-3600] [reload 0-3600]

...no i warto zabezpieczyć protokół HSRPSwitch(config-if)# standby 1 authentication tajne-haslo...lub lepiej MD5Switch(config-if)# standby 1 authentication md5 key-string [0 | 7] tajne-haslo

...włączamy na routerze wykrywanie uszkodzonych linków ( patrz niŜej teoria )Switch(config-if)# standby 1 track gig 0/1 [decrementvalue] (10-default)

...i przypisujemy adres IP do interfejsu HSRP Switch(config-if)# standby 1 ip 192.168.1.1 [secondary]

...tak samo jak HSRPSwitch(config-if)# vrrp 1 priority 10Switch(config-if)# vrrp 1 timers advertise [msec] 2Switch(config-if)# vrrp 1 timers learnSwitch(config-if)# no vrrp 1 preemptSwitch(config-if)# vrrp 1 preempt [delay 10]Switch(config-if)# vrrp 1 authentication tajne_hasloSwitch(config-if)# vrrp 1 ip 192.168.1.1 [secondary]Swicth# show vrrp

Konfiguracja GLBPSwitch(config-if)# glbp 0-1023 priority 1-255 (default priority – 100)Switch(config-if)# glbp 1 preempt [delay minimum seconds]

…ustawiamy timery albo na wszystkich routerach albo tylko na AVGSwitch(config-if)# glbp 1 timers [msec] hello-time [msec] hold-time (h-t=3sec, hld-t=10sec)

…wybieramy linki które chcemy śledzićSwitch(config)# track (1-5) interface type mod/num {line-protocol | ip routing}

…i ustawiamy wage Switch(config-if)# glbp 1 weighting (1-254, 100 default) [lower 10] [upper 200]Switch(config-if)# glbp 1 weighting track object-number [decrement 10] – o ile ma spadać waga

…wybieramy metode load-balancinguSwitch(config-if)# glbp 1 load-balancing [round-robin | weighted | host-dependent]…no i załączamy GLBP przypisując virtualny adres IP GLBPSwitch(config-if)# glbp 1 [ip-address [secondary]]



Redundancja w Chassis:Router(config)# redundancyRouter(config-red)# mode { rpr | rpr-plus | sso}Router# show redundancy states…konfigurujemy synchronizacjeRouter(config)# redundancyRouter(config-red)# main-cpuRouter(config-r-c)# auto-sync { startup-config | config-register | bootvar }…konfigurujemy redundancje zasilaczySwitch(config)# power redundancy-mode { redundant | combined }Switch(config)# [no] power enable module ….Switch# show power [ redundancy-mode | status | available | used | total ]

Troche teorii:

Switche MLS działają jako bramy dla VLAN SVI lub jako interfejsy L3 dla podsieci, mogą równieŜ brać udział w routingu dynamicznym tak jak zwykłe routery.JeŜeli gateway router dla subnetu lub VLANu zdechnie to wiadomo co sie stanie ;) Dla zapewnienia wysokiej dostępności mają zaimplementowane protokoły redundancji:− Hot Standby Router Protocol HSRP ( Cisco ale RFC 2281 ) − Virtual Router Redundancy Protocol VRRP ( RFC 2338)− Gateway Load Balancing Protocol GLBPImplementacja tych protokołów zapewnia automatyczny gateway zapasowy

HSRP – kaŜdy z routerów który ma zapewnić redundancje danego gateway-a, jest przypisany dowspólnej grupy HSRP. Jeden z routerow jest wybrany jako primary (active) HSRP router, a drugijako standby HSRP router. Wszystkie pozostałe pozostają w stanie listen.Routery wymieniają pakiety hello na multicast 224.0.0.2 UDP 1985, dla sprawdzania czy Ŝyją.Default hello time =3sek, holdtime =10sek.Tylko standby router monitoruje pakiety helloPo upłynięciu czau holdtime, router standby przejmuje gateway. KaŜdej grupie HSRP jest przypisany numer (0-255) PoniewaŜ Catalysty supportują max 16 grupto jeŜeli mamy wiele VLANów to sensownie jest przypisać numer grupy do kaŜdego interfejsuVLAN (SVI) ( przypisanie lokalne na interfejsie)Wybór routera primary/standby odbywa sie na podstawie priority (0-255) koonfigurowanego dlakaŜdego routera w grupie. Router z NAJWYśSZYM priority jest primary. JeŜeli wszystkie prioritytakie same, to decyduje najwyŜszy IP na interfejsie HSRPPo skonfigurowaniu HSRP na interfejsie, interfejs router wykonuje taką akcję.

1. Disabled2. Init3. Listen <-pozostałe routery4. Standby <- router zapasowy5. Active <-router podstawowy

JeŜeli router aktywny zdechł i router standby przejął jego role, to jeŜeli pierwotny router wstanie to nie nie przejmie spowrotem roli aktywnej nawet jeŜeli ma wyzszy priorytet.Ciekawa sprawa jest jeŜeli mamy 2 routery i jednocześnie je załączymy, to routerem activejest ten router który pierwszy wstanie-nawet jeśli ma niŜszy priorytet ! MoŜna to zachowanie zniwelować konfigurując group pre-empt.- powoduje to Ŝe routerem activejest zawsze ten który ma wyŜszy priority.delay minimum-router czeka podany czas przed przejęciem roli active, reload – router czeka podany czas po restarcie – router czeka aŜ protokół routingu osiągniekonwergencjeHSRP ma taki fajowy ficzers Ŝe gdy router ma kilka linków wyjściowych na świat, to router



śledzi czy te linki Ŝyją, gdy linki po kolei sie kładą z powodu awarii to router redukuje swój priorityo wartość decrementvalue tak Ŝeby inny router mógł przejąć rolę active.To wszystko działa tylko wtedy gdy jest ustawione pre-empt !!!KaŜdy router w grupie HSRP ma przypisany swój adres IP – HSRP ( standby ) address. Klientymogą wskazywać ten adres jako gateway . Aktualny adres interfejsu i virtual (standby) adres musząbyć w tej samej podsieci.Czyli inaczej – router HSRP ma 2 adresy IP: 1- szy, Przypisany do interfejsu SVI2-gi, Przypisany do grupy HSRPOba adresy w tej samej podsieci, a klienty VLANu jako gateway wskazują na adres HSRPHSRP definiuje specjalny virtual MAC adres dla swojego interfejsu: 0000.0c07.acxx - gdzie xx tonr grupy HSRP, ARP request idzie na ten MACLoad balancing za pomocą HSRP teoretycznie nie jest moŜliwy ale moŜna zrobic taki myk:− Ustawić 2 grupy na obu switach które mają robić load balancing− Na switchu A priorytet dla grupy 1 ustawić np 200, a dla grupy 2 np 100− Na switchu B odwrotnie − Gateway dla grupy 1 np .1 dla grupy 2 np. .2..no i połowe hostów ustawić na gateway .1 a drugą połowe na .2

VRRP – RFC 2338 – bardzo podobny do HSRP. RóŜnice:zamiast active router – master router, zamiast standby – backupVirtual MAC adres 0000.5e00.01xxVRRP adv – co 1 sek,na multicast 224.0.0.18 Backup routery opcjonalnie mogą sie uczyć adv interval z master routeraWszystkie routery VRRP defaultowo mają pre-emptNie ma ficzersa śledzenia linków.

GLBP (cisco) IOS>12.2(14)Troche podobny do HSRP/VRRP.Wszystkie routery w grupie uczestniczą w forwardowaniu ruchu. śaden z klientów nie wskazuje na określony Gateway Address. Wszystkie klienty mają ten samdefault gateway ustawiony na Virtual Router IP address. Wszystkie routery w grupie GLBP mająustawiony ten sam Virtual Router IP. Load balancing odbywa sie przez uŜycie virtual router MACadresów zawartych w ARP reply-ach do klientow. Gdy klient wysyła ARP Req z zapytaniem oVirtual Router adres, GLBP odsyła ARP reply z virtual MAC adresem wybranego routera w grupie– czyli wszystkie klienty uŜywają ten sam gateway adres ale maja dla niego róŜne MAC-i.W grupie GLBP, jeden z routerów mający najwyŜszy priority, lub najwyŜszy IP jest wybierany jakoActive Virtual Gateway (AVG). AVG odpowiada na wszystkie ARP Requesty skierowane doVirtual Router IP adresu. Który MAC zostanie zwrócony w odpowiedzi zaleŜy od tego któryalgorytm load balancingu został skonfigurowany do uŜycia.AVG przypisuje virtual MACi kaŜdemu routerowi w grupie GLBP. (moŜe być uŜyte do 4 adresów)Te routery to Active Virtual Forwarde (AVF) Routery AVF forwardują ruch odebrany na MACachvirtualnych. Inne routery w grupie pracują jako backup lub secondary Virtual Forwardery. W GLBPpodobnie jak w HSRP, inny router nie moŜe przejąć roli active dopóki aktualny router aktywny niezdechnie. W tym celu ustawia się pre-empt.AVG odbiera hello od AVF, jeśli po czasie hold-time nie pojawi się odpowiedź to AVG zakłada ŜeAVF padł., i próbuje przypisać tą role innemu routerowi który juŜ jest AVF i ma virtual MACaRedirect timer określa po jakim czasie AVG przestanie uŜywać starego MACa w ARP reply-ach( default 600 sek, 0-3600)Timeout określa po jakim czasie stary MAC i Virtual Forwarder jest wywalany z wszystkich GLBPpeerów, ( default 14400sek, 700-64800)GLBP ma funkcje weighting. Router który ma kilka linków na świat, w razie awarii kaŜdego zlinków obniŜa weight o określoną wartość – gdy osiągnie określony poziom taki router przestajebyć AVF. Defaultowy weight=100,



Metody Load-balancingu:Round robin – kaŜdy ARP request do virtual router daje w odpowiedzi kolejny MAC routerauczestniczącego w grupie GLBP – to jest metoda defaultowaWeighted – im wyŜszy weight na interfejsie tym częściej w ARP reply jest MAC tego routeraHost depend – kaŜdy klient generujący ARP request zawsze otrzymuje ten sam MAC

Redundancja w Switch ChassisCatalysty 4500 i 6500 mogą mieć 2 moduły supervisora w jednym chassis.1szy moduł pracuje jako active, a drugi jest standby zabootowany do określonego poziomu:

- Route Processor Redundancy (RPR) – częściowo zabootowany – failover time <2min- Route Processor Redundancy Plus (RPR+) – zabootowany ale nie sa odpalone funkcje L2 i

L3, -failover <30sek- Stateful Switchover (SSO) – w pełni zabootowany i zinicjalizowany , start config i run

config są zsynchronizowane z modułem Activ – failover <1s

IOS-y w obu modułach muszą być takie same

Redundancja ZasilaniaCombined Mode-oba zasilacze pracują razem Pn=P1+P2Redundant Mode – Pn=P1 | Pn=P2 - tryb defaultowy



Chapter 14 IP Telephony

...konfigurujemy PoESwitch(config)# interface fe 0/1 Switch(config-if)# power inline {auto [max 15400 ] | static [max 15400] | never} (default-auto)

...sprawdzamy parametry poweruSwitch# show power inlineSwitch# debug ilpower controllerSwitch# debug cdp packets

...konfigurujemy na porcie Voice VLANSwitch(config-if)# switchport voice vlan { vlan-id | dot1p | untagged | none } (default-none)

Na switchu ustawiamy granicę zaufania na której ufamy wartościom CoS zawartymw pakietach, lub zmieniamy te wartości. Granica powinna być jak najbliŜej źródła ruchu.

...włączamy QoS - Switch(config)# mls qos

...ufamy wartościom CoS które przychodzą na port switchaSwitch(config)# interface fe1/1Switch(config-if)# mls qos trust cos | {ip-precedence | dscp} - dla cisco IP fona – ustawiać cos

...i alternatywnie – jeśli do switcha mamy podłączony ciscofon to Switch(config-if)# mls qos trust device cisco-phone

...a gdy jest podłączone co innego to ustawiamy wybraną wartość CoS-aSwitch(config-if)#switchport priority extend {cos 4 | trust} ( 0-jeśli nie ufamy PC-towi podł.do Ipfp

...konfigurujemy uplink switcha który zawsze powinien być trusted:Switch(config)# interface gig 0/1Switch(config-if)# mls qos trust cos

...jak jesteśmy leniwi to ustawiamy Auto-QoS na interfejsie ( switche access layer)Switch(config)# interface fe 1/1Switch(config-if)# auto qos voip {cisco-phone | cisco-softphone | trust} – to jest macro !

Switch# debug qos voipSwitch# debug auto qosSwitch# show interface type mod/num switchportSwitch# show mls qos interface type mod/numSwitch# show auto qos [interface type mod/num]

Trochę teorii:

Power over Ethernet – napięcie 48 V DC- Switch musi mieć taki zasilacz który jest w staniedostarczyć mocy samemu switchowi jak i wszystkim urządzeniom które będą z niego zasilane.Metody dostarczania PoE:− Cisco Inline Power (ILP)− IEEE 802.3afGdy port jest down to power jest off, ale switch sprawdza czy zostało podłączone jakieś urządzenie



IEEE 802.3.af - switch podaje napięcie między pary RX/TX i mierzy rezystancje. JeŜeli<25kOhm to znaczy Ŝe jest na końcu jakieś urządzenie. Switch określa Power Class urządzenia podając kilkanapięć o róŜnych wartościach.Power Class 0 -> P=15.4W – Default classPower Class 0 -> P=4.0W – Optional ClassPower Class 0 -> P=7W – Optional ClassPower Class 0 -> P=15.4W – Optional ClassPower Class 0 -> P= ---- ReservedZasilanie jest między parą 2-3 (piny 1,2 i 3,6) oraz parą 1-4 (piny 4,5 i 7,8)

Cisco Inline Power – wykrywa urządzenia wysyłając 340kHz na pare TX, urządzenie Cisco zwiera ten sygnał na pare RX i switch to odbiera. Zasilanie jest między parą 2 -3 (piny (1,2 i 3,6)

UWAGA: Po odłączeniu od switcha urządzenia PoE zaczekać >10sek przed podłączeniemzwykłego urządzenia aŜ napięcie na porcie spadnie do zera !

Voice VLAN-yCisco IP fony zawierają w sobie switch do którego moŜna podłaczyć PC-ta, port tego switcha któryjest podłączony do switcha warstwy dystrybucji moŜe pracować jako trunkowy 802.1Q lub jakoaccess-mode (pojedynczy VLAN). Link jest negocjowany. Pakiety voica musza być transportowanealbo w Voice VLAN-ie (VVID), albo w w regularnym VLAN-ie (native VLAN, port VLAN PVID)4 metody trunkingu voice VLANa, ze zwykłym ruchem:− switchport voice vlan vvid – Voice tagged as VLAN vvid, data untagged-Native VLAN− switchport voice vlan dot1p – Voice tagged as VLAN 0, data untagged-Native VLAN− switchport voice vlan untagged – Voice untagged-Native VLAN, data untagged-Native VLAN− switchport voice vlan none – Voice untagged- access VLAN, data untagged-access VLAN –

metoda defaultowa

QoSTe same reguły QoS-a muszą być ustawione na kaŜdym urządzeniu od nadawcy do odbiorcy.Integrated Service Model – RFC 1633, Resource Reservation Protocol (RSVP) – mechanizmschedulingu i rezerwacji pasma na na ścieŜce. Aplikacja Ŝródłowa requestuje parametry QoS przezRSVP. KaŜde urządzenie na ścieŜce musi sprawdzić czy jest w stanie spełnić wymagania. JeŜeli tak to źródło jest o tym powiadamiania. QoS dziala “per flow”Differentiated Service Model – kaŜde urządzenie na ścieŜce obsługuje pakiety indywidualnie.DiffServ nie wymaga wcześniejszej rezerwacji, QoS odbywa sie dynamicznie - “per-hop” dla całejgrupy podobnych rodzajów ruchu. DiffServ podejmuje decyzje na podstawie informacji w kaŜdymheaderze pakietu.

W Layer 2 QoS moŜe odbywać sie w postaci CoS (Class of Service) na linkach trunkowych.IEEE 802.1Q – tag zawiera oprócz 12bit VLAN ID, User field zawierające 3 bity priority 802.1p 000- lowest priority, 111-highest priority), Native VLAN, - default CoS -konfigurowanyISL – header oprócz 15bit VLAN ID zawiera 4 bit User field, 3 niŜsze bity zawieraja CoS

W Layer 3 – header IP zawiera 1 bajt ToS (Type of service) (3bity IP Precedence+4bit ToS)DiffServ uzywa bajtu ToS z tym Ŝe stosuje troche inny format tego bajtu, nazywa sie onDifferentiated Service (DS), wyglada on tak:

3 bity MSB ToS-a- to 3 bity Class Selector DS-a, następne 3 bity to Drop Precedence DS-aRazem ta wartość 6 bitowa to-Differentiated Service Code Point (DSCP)



Klasa 0 – to defaultowa klasa – oferuje jedynie “best effort delivery”Klasa 1 – to poziomy Assured Forwarding (AF) – wyŜsza klasa = wyŜszy priorytet ruchuKlasa 5 – Expedited Forwarding – dla pakietów time-criticalKlasa 6 i 7 – Internetwork Controll i Network Control – dla ruchu sterującego, np STP lubprotokoły routingu.W kaŜdej klasie są 3 poziomy Drop Precedence: Low(1), Medium(2), High(3)DSCP ma nazwy kodowe np. AF21 – to klasa 1/ low, AF42 to klasa 4/medium

Switch powinien podejmować decyzję czy ufać wartościom ToS, DSCP, CoS w pakietachprzychodzących. Switch powinien ufać pakietom QoS wewnątrz organizacji i to przypisanych przezurzadzenie a nie np. End-usera.Czyli portami zaufanymi powinny być porty na których wiszą IP fony i porty łączące w switch-bloku i w core-e. Cisco IP fon – działa jak switch – tzn moŜna do niego podłączyć jakiegoś hostaNa linku do access switcha występuje ruch VoIP i zwykły IP

Cisco wymyśliło teŜ Auto-QoS dla uproszczenia wszystkim Ŝycia :)naleŜy go jednak uŜywać tylko na acces switchach a nie koniecznie w core ;)Auto-QoS robi takie fajne rzeczy:− włacza QoS− robi mapping CoS->DSCP− tuninguje kolejki ingres i egress − ustawia trust boundaryPoniewaŜ to jest macro to przed zmianą Auto QoSa , najpier [no] i jeszcze raz

Transmisja Voice-a toleruje max. 150Ms delay i max. 1% utraty danych.Typowy pakiet Voice-a to 60-120 bajtów. Voice potrzebuje 17 – 160kbps pasma + narzut 150bps.Pasmo na aplikacje Voice, Video i Data nie powinno przekraczać 75% całkowitego dostępnegopasma na linku.VoIP uŜywa protokołu RTP do transmisji sampli i protokołów H323, SIP lub MGCP do transmisji sygnalizacji.Pakiet VoIP składa się z:− voice payload− RTP Header (12 bajtów)− UDP Header ( 8 bajtów)− IP header ( 20 bajtów)− Ethernet header ( 14 bajtów)



Chapter 15 Securing Switch Access

...włączamy port security na porcieSwitch(config-if)# switchport port-security

...ustawiamy ile MACów moŜe sie podłączyć do portuSwitch(config-if)# switchport port-security maximum max-addr

...definiujemy dozwolony MAC na porcieSwitch(config-if)# switchport port-security mac-address mac-addr

...mówimy switchowi co ma zrobić jak pojawi sie niedozwolony MACSwitch(config-if)# switchport port-security violation {shutdown | restrict | protect}

.konfigurujemy 802.1x Authentication

...włączamy AAA port-baset auth.Switch(config)# aaa new-model

...definiujemy RADIUS server (oczywiście moŜe być kilka)Switch(config)# radius-server host 192.168.1.1 [key tajne_haslo] -hasło do szyfrowania sesii uwierz

...definiujemy metode uwierzytelniania dla 802.1 (wszystkie RADIUSy zdefiniowane na switchubędą uŜyte do uwierzytelnianiaSwitch(config-if)# aaa authentication dot1x default group radius

...włączamy 802.1x na switchu Switch(config-if)# dot1x system-auth-control

...konfigurujemy porty które będą uŜywać 802.1xSwitch(config) interface fe 0/1 - 24Switch(config-if)# dot1x port-control {force-authorized | force-unauthorized | auto}

force-authorized – default – port zawsze autoryzuje dołączonego klienta , Zmienić to na auto !!!Na kliencie musi być aplikacja supportująca 802.1x

...jeŜeli na porcie jest wiele hostów (podłączony hub !? he,he ) to ustawić:Switch(config-if)# dot1x host-mode multi-host

Zabezpieczenie przeciwko snoopingowi...włączamy DHCP snoopingSwitch(config)# ip dhcp snooping

...wybieramy VLAN w którym DHCP snooping ma być implementowanySwitch(config)# ip dhcp snooping vlan 10 20 (zakres od 10 do 20 )

...wybieramy porty na których wiszą trusted serwerySwitch(config)# interface fe 0/1 , 0/2Switch(config-if)# ip dhcp snooping trust

...wybieramy porty untrusted, i ograniczamy im DHCP rate limitSwitch(config)# interface fe 0/3 – fe 0/24Switch(config-if)# ip dhcp snooping limit rate (1 – 2048) (packet/s)



...sprawdzamySwitch# show ip dhcp snooping [binding]

IP Source Guard – wcześniej musi być ustawiony DHCP Snooping !...dla hostów które nie uŜywają DHCP bindujemy adres IP z MACiem Switch(config)# ip source binding mac... vlan 10 ip... interface fe 0/1

...włączamy IP source guard na jednym lub kilku interfejsachSwitch(config)# interface fe 0/2 - 24Switch(config-if)# ip verify source [port-security] (source-sprawdza tylko IP, port-sprawdza MAC)

...sprawdzamySwitch# show ip verify source [interface fe 0/1]Switch# show ip source binding [ip...] [mac...] [dhcp-snooping | static] [interface fe0/1] [vlan 10]

Dynamic ARP Inspection - wcześniej musi być ustawiony DHCP Snooping !...włączamy DAI na jednym lub kilku VLANachSwitch(config)# ip arp inspection vlan 10

...wybieramy porty które są trusted i te które są podłączone do innych switchy(na tych portach switch nie wykonuje ARP inspection)Switch(config)# interface fe 0/1Switch(config-if)# ip arp inspection trust

...jeŜeli mamy hosty ze statycznymi IP to trza ustawić ARP access liste która zdefiniuje statycznepowiązanie MAC-IP

Switch(config)# arp access-list lista_stat permit ip host sender-ip mac host sender-mac [log]

...i przyporządkowujemy liste do DAISwitch(config)# ip arp inspection filter lista_stat vlan 10-20 [static]

...i włączamy sprawdzanie IP i MAC w ARP replySwitch(config)# ip arp inspection validate {[src-mac] [dst-mac] [ip]}

...sprawdzamySwitch# show ip arp inspection trust

Troche teorii:

Catalysty supportują port-based authentication – jest to kombinacja AAA authentication i port-security. JeŜeli jest włączona to switch nie załączy ruchu na porcie dopóki user do niegopodłączony nie uwierzytelni sie na switchu za pomocą serwera RADIUS.. 802.1x EAPOL (Extensible Authentication Protocol) jest protokołem L2 – jak to wszystko działa topowszechnie wiadomo i nie chce mi sie pisać ;)

DHCP SnoopingJeŜeli w sieci pojawi sie “lewy” serwer DHCP to w odpowiedzi na DHCP Request dobrego usera,moŜe mu wysłać adres bramy prowadzącej do piekła ;)))DHCP snooping ficzer włączony na switchu powoduje Ŝe kaŜdy DHCP reply z portu który jestustawiony jako untrusted, jest odrzucany, a port jest zamykany i przechodzi w stan errdisableDodatkowo śledzi wszystkie kompletne operacje powiązań DHCP (show ip dhcp snooping binding)



IP Source GuardZabezpiecza przed spoofowaniem source IP adresu hosta podłączonego do switcha.JeŜeli jest zespoofowany na nieistniejący, to host moŜe być uzyty do ataku DoS IP Source Guard uŜywa bazy danych DHCP Snooping lub statycznych IP i i sprawdza w pakietachczy source IP jest taki sam jak przypisany przez DHCP, i czy source MAC jest taki sam jak MAC learned na porcie i bazie DHCP – jeśli coś nie gra to port errdisableJeŜeli IP Source Guard ma wykrywać spoofowane MACi to skonfigurować teŜ port security

Dynamic ARP Inspection (DAI)Jak wiadomo host uŜywa ARP-a do wyczajenia jaki MAC ma host o znanym IP :)Zły człowiek moŜe przechwycić ARP Request i w ARP Reply zespoofować MAC-a Wtedy pakiet dobrego usera moŜe pójść do złego człowieka lub wręcz do bramy do piekła ;))))Cale szczęście Ŝe jest Cisco które wymyśliło taki ficzers jak DAI który dziala podobnie jak DHCPSnooping. Gdy ARP reply pojawi sie na untrusted porcie, switch sprawdza MAC i IPSwitch sprawdza to na podstawie albo statycznego przyporządkowania albo z bazy danych DHCPSnooping. (Oczywiscie DHCP Snooping musi być włączony)

Najlepsze praktyki zabezpieczania switchy:

− uŜywać tych wszystkich ficzersów co powyŜej ;)− uŜywać enable secret zamiast enable password− uŜywać service-password encryption− ustawiać banner motd ze stosownym warningiem ;)− wyłączać niepotrzebne uslugi (no ip http server, tcp-small-servers, udp-small-servers, finger,

config )− zabezpieczać konsole− hasła i ACLki na liniach VTY− UŜywać SSH− Zabezpieczać dostęp SNMP− Wyłączać nieuŜywane porty – dodatkowo wyłączone porty ustawić na osobny VLAN− Włączać BPDU guard− CDP włączać tylko na portach gdzie są Cisco IP fonyNo i oczywiście zamykać na klucz wszystkie szafy gdzie są switche, Ŝeby nikt nie wkładał tampaluszków i innych rzeczy :)))



Chapter 16 Securing Switch VLANs

ACL-ki dla VLAN-ów

…definiujemy access mape (tak samo jak route mapy – MATCH – OR, ACTION - AND)Switch(config)# vlan access-map mapa_vlanów 10 <- sequence nr

…warunek dopasowaniaSwitch(config-access-map)# match {ip address {acl-number | acl-name}} | {ipx address {acl-number | acl-name} | {mac address acl-name}}

…i jaka akcja gdy warunek spełnionySwitch(config-access-map)#action {drop | forward [capture] | redirect type mod/num} (redirect –do innego interfejsu)

…i przybijamy VACL do VLAN-u (ów)Switch(config)# vlan filter mapa_vlanów vlan-list 10 20 23 70

Private VLAN-y

…definujemy secondary VLAN i czynimy go prywatnym izolowanym lub teŜ nie

Switch(config)# vlan 12Switch(config-vlan)# private-vlan { isolated | community }

…definiujemy primary VLANSwitch(config)# vlan 10Switch(config-vlan)# private-vlan primary

…i podpinamy VLAN-y prywatne (secondary) pod primary VLANSwitch(config-vlan)#primary private-vlan association {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}

…następnie przybijamy porty switcha które mają naleŜeć do prywatnego VLAN-u

Switch(config-if)# switchport mode private-vlan {host | promiscuous} -promiscuous –jeŜeli dotego portu jest podłączony router, firewall lub gateway

…dla host portu trzeba powiedzieć switchportowi co ma robić z tymi VLAN-amiSwitch(config-if)# switchport private-vlan host-association primary-vlan-id secondary-vlan-id

…dla promiscuous portów mapujemy port do primary i secondary VLANuSwitch(config-if)# switchport private-vlan mapping { primary-vlan-id} { secondaryvlan- list} | {addsecondary-vlan-list} | {remove secondaryvlan- list}

Troche Teorii:

Zwykłe Access Listy mogą filtrować ruch tylko między VLANam. Do filtrowania ruchu wewnątrz VLANu słuŜą VLAN ACLe (VACL). Konfiguruje się to tak samo jak Route mapy.Do segmentowania ruchu wewnątrz pojedynczego VLAN-u słuŜą Private VLAN-y (PVLAN)PVLAN polega na tym Ŝe tworzymy primary VLAN i kilka secondary VLAN. Host powiązany z



secondary VLAN moŜe moŜe komunikować się z portem w primary VLAN, ale nie moŜe siekomunikować z innym secondary VLAN. Seconadry VLAN moŜe być dwojakiego typu:− Isolated – switch porty powiązane z secondary VLAN mogą komunikować się z primary

VLAN, ale nie mogą się komunikować z innymi switch portami w tym secondary VLANie− Community – switch porty powiązane z secondary VLAN mogą komunikować się z portami

tego samego secondary VLANu, i z primary VLAN. Oczywiście nie moga się teŜ komunikowaćz innymi secondary VLAN

VTP nie przenosi informacji o PVLAN-ach więc mają one tylko znaczenie lokalne (a szkoda).Przy konfiguracji trzeba teŜ skonfigurować kaŜdy fizyczny switch-port który uŜywa PVLAN-a dopracy w 1 z 2 trybów :− Promiscuous – port który jest podłączony do routera, firewalla, lub gatewaya ( na tym porcie

zasady PVLANów są ignorowane)− Host – port do którego jest podłączony host Dla trybu Promiscuous trzeba zamapować port do primary i secondary VLAN (czyli primary iwszystkie secondary)Dla trybu Host trzeba zamapować port do primary i stosownego secondary VLANaNajlepszy jest przykład:

Switch(config)# vlan 10Switch(config-vlan)# private-vlan communitySwitch(config)# vlan 20Switch(config-vlan)# private-vlan communitySwitch(config)# vlan 30Switch(config-vlan)# private-vlan isolatedSwitch(config)# vlan 100Switch(config-vlan)# private-vlan primarySwitch(config-vlan)# private-vlan association 10,20,30Switch(config-vlan)# exitSwitch(config)# interface range fastethernet 1/1 - 1/2Switchconfig# switchport private-vlan hostSwitch(config-if)# switchport private-vlan host-association 100 10Switch(config)# interface range fastethernet 1/4 - 1/5Switchconfig# switchport private-vlan hostSwitch(config-if)# switchport private-vlan host-association 100 20Switch(config)# interface fastethernet 1/3Switchconfig# switchport private-vlan hostSwitch(config-if)# switchport private-vlan host-association 100 30Switch(config)# interface fastethernet 2/1Switch(config-if)# switchport mode private-vlan promiscuousSwitch(config-if)# switchport private-vlan mapping 100 10,20,30

na SVI ( VLAN int. z przybitym IP) trzeba zrobić dodatkowe mapowanienp. gdy VLAN 200 to SVI , a 40 i 50 to secondary VLAN-y to trzeba zrobić:Switch(config)# interface vlan 200Switch(config-if)# private-vlan mapping 40,50

Zabezpieczanie VLAN trunków

Nie zostawiać switch porta w defaultowej konfiguracji DTP Dynamic Auto. Zawsze konfigurowaćend-user switch porta jako static-access mode ( Patrz zasady bezpieczeństwa w chapterze 15)



VLAN HoppingAtakujący będący w VLANie moŜe wysyłac ramki z zespoofowanymi tagami 802.1Q, tak Ŝe payload pojawi się w innym VLANie bez uŜycia routera.Muszą być spełnione takie warunki:− atakujący jest podłączony do access switch portu− switch ma link trunkowy 802.1Q− na trunku native VLANem jest access VLAN atakującegoZałóŜmy Ŝe atakujacy usadowiony w VLAN 10 ( i jest to native VLAN na trunku) wysyła takąramkę na acces port switcha A do ktorego jest podłaczony:VLAN 10 tag | VLAN 20 tag | PayloadSwitch A odbiera podwóje tagowaną ramkę i wysyla ją na link trunkowy. PoniewaŜ 1szy tag jesttaki sam jak Native VLAN na trunku to jest zdejmowany (poniewaŜ ramki Native nie są tagowanena trunku) i wysyłany do drugiego switcha B, Switch B odbiera ramkę, patrzy Ŝe jest na niej tagVLAN 20 , więc wysyła ramkę do VLAN-u 20 - ...i to wszystko dzieje się tylko w warstwie 2 !

śeby się zabezpieczyć przed tym atakiem to:− Ustawiać native VLAN na trunku na nieuŜywany VLAN ID (np 666)− Wycinać ( pruning) native VLAN na obu końcach trunka (native VLAN 666, switchport trunk

allowed vlan remove 666) UWAGA - protokoły CDP, PagP, DTP normalnie korzystające z native VLAN dalej będą działać


Documents

KOMPENDIUM na podstawie CCNP BCMSN Official Exam ... BCMSN Kompendium.pdf · Konfiguracja VLAN-ów ( VLANy statyczne –przybite do portu, Dynamiczne-przybite do MACa, wymaga serwera