Warning: Zend OPcache API is restricted by "restrict_api" configuration directive in /data/web/virtuals/280515/virtual/www/libraries/vendor/joomla/filesystem/src/File.php on line 342

Warning: Zend OPcache API is restricted by "restrict_api" configuration directive in /data/web/virtuals/280515/virtual/www/libraries/vendor/joomla/filesystem/src/File.php on line 342
CCNA2 05 - Switch configuration

Administrace switch má své specifikum, neboť switch nemá vlastní IP adresu. Veškeré porty jsou řízeny přes MAC adresy připojených zařízení a IP adresy připojených zařízení jsou uloženy společně s odpovídající MAC adresou a číslem portu v ARP tabulce. Nicméně cesta tu je, pouze musíme switch nakonfogurovat prvotně pomocí console portu.

Switch může mít virtuální síťové rozhraní, které je označováno jako SVI - Switch Virtual Interface. Tomuto rozhraní lze přiřadit IP adresu a určit porty ze kterých je SVI dostupné. Od verze iOS 15.0 je možné mít na jednom switchi několik SVI.

Vše je realizováno pomocí VLAN (Virtual Local Area Network - viz. následující kapitola). Prozatím stačí zmínit, že default VLAN je VLAN1 pro všechny porty na switchi. SVI je konfigurováno v rámci VLAN99 - rezerovované právě pro SVI.

Konfigurace SVI

Switch1>enable

Switch1#conf term

Switch1(config)#interface vlan 99

Switch1(config-if)#ip add 192.168.255.2 255.255.255.0

Switch1(config)#no shut

Na routeru je nyní nastaven přístup přes virtuální rozhraní v rámci síte 192.168.255.0/24 s IP adresou 192.168.255.2 - není nutné tedy mít připojený konzolový port.

Manuální konfigurace fyzického portu

Switch1(config)#interface fast0/1

Switch1(config-if)#duplex full

Switch1(config-if)#speed 100

Switch1(config-if)#end

Nastavení se týká plného duplex módu a rychlosti 100MBit/s.

Automatické nastavení fyzického portu

Switch1(config)#interface fast0/1

Switch1(config-if)#duplex auto

Switch1(config-if)#speed auto

Switch1(config-if)#mdix auto

Switch1(config-if)#end

Veškeré nastavení je realizováno automaticky dle "slabší strany" spojení. MDIX je povolení automatické detekce kabelu (přímý x křížený).

Ověření konfigurace

Switch1#sh int fast0/1 - zobrazí informace o vybraném portu

Switch1#sh run - zobrazí running-config (včetně SVI)

Switch1#sh start - zobrazí startup-config

Switch1#sh flash - zobrazí informace o flash

Switch1#sh version - zobrazí informace o iOS

Switch1#sh history - zobrazí informace o dříve zadaných příkazech

Switch1#sh ip fast0/1 - zobrazí informace o IP na daném portu

Switch1#sh mac-address-table - zobrazí tabulku MAC adres

Konfigurace SSH

Poskytuje možnost administrovat zařízení přes nezabezpečnou síť - veškerá komunikace je šifrovaná. Nebezpečím zde je útok MITM (Man-in-the-middle), ten je rozpoznatelný varováním o změněném certifikátu.

Switch1#conf term

Swicht1(config)#ip domain-name czu.cz - zadáme doménu, do které zařízení spadá

Swicht1(config)#crypto key generate rsa - vygenerujeme lokální certifikát

Swicht1(config)#username admin secret cisco - nakonfigurujeme uživatele admin s heslem cisco

Swicht1(config)#line vty 0 15 - pro linky 0 až 15

Swicht1(config-line)#transport input ssh - aktivujeme protokol ssh

Swicht1(config-line)#login local - přihlašování místní - dle vytvořeného uživatele

Swicht1(config-line)#exit

Swicht1(config)#ip ssh version 2 - omezíme ssh protokol na verzi 2

Swicht1(config)#exit

Zabezpečení portů - nevyužívané porty

Každý interface, který není používán by měl být deaktivován, aby k němu nešlo připojit nepovolené zařízení.

Swicht1(config)#int fast0/5 - fast0/15 - výběr rozsahu portů - hromadná konfigurace

Swicht1(config-if)#shutdown

Zabezpečení portů - Port security

Porty, které jsou aktivované lze proti neautorizovaným zařízením chránit kontrolou MAC adres. Tu lze realizovat třemi způsoby:

  • Static MAC - manuální konfigurace a přiřazení MAC k jedno portu,
  • Dynamic MAC - switch si pamatuje MAC adresy a povoluje je připojit k libovolnému portu, při restartu jsou adresy zapomenuty,
  • Sticky MAC - obdoba Dynamic MAC, ale nejsou zapomenuty po restartu.

Zabezpečení portů - Violation modes

Lze definovat tři reakce na základě detekce narušení nasatavených pravidel. Konkrétně se jedná o reakce:

  • Protect - na port je definováno omezení počtu povolených MAC adres, pokud je připojeno nadpočetné zařízení, jeho pakety jsou zahazovány, není odesílána notifikace,
  • Restrict - stejné jako Protect, ale je odeslána notifikace,
  • Shutdown - po nastaveném počtu incidentů je zařízení deaktivováno a odeslána notifikace