Administrace switch má své specifikum, neboť switch nemá vlastní IP adresu. Veškeré porty jsou řízeny přes MAC adresy připojených zařízení a IP adresy připojených zařízení jsou uloženy společně s odpovídající MAC adresou a číslem portu v ARP tabulce. Nicméně cesta tu je, pouze musíme switch nakonfogurovat prvotně pomocí console portu.
Switch může mít virtuální síťové rozhraní, které je označováno jako SVI - Switch Virtual Interface. Tomuto rozhraní lze přiřadit IP adresu a určit porty ze kterých je SVI dostupné. Od verze iOS 15.0 je možné mít na jednom switchi několik SVI.
Vše je realizováno pomocí VLAN (Virtual Local Area Network - viz. následující kapitola). Prozatím stačí zmínit, že default VLAN je VLAN1 pro všechny porty na switchi. SVI je konfigurováno v rámci VLAN99 - rezerovované právě pro SVI.
Konfigurace SVI
Switch1>enable
Switch1#conf term
Switch1(config)#interface vlan 99
Switch1(config-if)#ip add 192.168.255.2 255.255.255.0
Switch1(config)#no shut
Na routeru je nyní nastaven přístup přes virtuální rozhraní v rámci síte 192.168.255.0/24 s IP adresou 192.168.255.2 - není nutné tedy mít připojený konzolový port.
Manuální konfigurace fyzického portu
Switch1(config)#interface fast0/1
Switch1(config-if)#duplex full
Switch1(config-if)#speed 100
Switch1(config-if)#end
Nastavení se týká plného duplex módu a rychlosti 100MBit/s.
Automatické nastavení fyzického portu
Switch1(config)#interface fast0/1
Switch1(config-if)#duplex auto
Switch1(config-if)#speed auto
Switch1(config-if)#mdix auto
Switch1(config-if)#end
Veškeré nastavení je realizováno automaticky dle "slabší strany" spojení. MDIX je povolení automatické detekce kabelu (přímý x křížený).
Ověření konfigurace
Switch1#sh int fast0/1
- zobrazí informace o vybraném portu
Switch1#sh run
- zobrazí running-config (včetně SVI)
Switch1#sh start
- zobrazí startup-config
Switch1#sh flash
- zobrazí informace o flash
Switch1#sh version
- zobrazí informace o iOS
Switch1#sh history
- zobrazí informace o dříve zadaných příkazech
Switch1#sh ip fast0/1
- zobrazí informace o IP na daném portu
Switch1#sh mac-address-table
- zobrazí tabulku MAC adres
Konfigurace SSH
Poskytuje možnost administrovat zařízení přes nezabezpečnou síť - veškerá komunikace je šifrovaná. Nebezpečím zde je útok MITM (Man-in-the-middle), ten je rozpoznatelný varováním o změněném certifikátu.
Switch1#conf term
Swicht1(config)#ip domain-name czu.cz
- zadáme doménu, do které zařízení spadá
Swicht1(config)#crypto key generate rsa
- vygenerujeme lokální certifikát
Swicht1(config)#username admin secret cisco
- nakonfigurujeme uživatele admin s heslem cisco
Swicht1(config)#line vty 0 15
- pro linky 0 až 15
Swicht1(config-line)#transport input ssh
- aktivujeme protokol ssh
Swicht1(config-line)#login local
- přihlašování místní - dle vytvořeného uživatele
Swicht1(config-line)#exit
Swicht1(config)#ip ssh version 2
- omezíme ssh protokol na verzi 2
Swicht1(config)#exit
Zabezpečení portů - nevyužívané porty
Každý interface, který není používán by měl být deaktivován, aby k němu nešlo připojit nepovolené zařízení.
Swicht1(config)#int fast0/5 - fast0/15 - výběr rozsahu portů - hromadná konfigurace
Swicht1(config-if)#shutdown
Zabezpečení portů - Port security
Porty, které jsou aktivované lze proti neautorizovaným zařízením chránit kontrolou MAC adres. Tu lze realizovat třemi způsoby:
- Static MAC - manuální konfigurace a přiřazení MAC k jedno portu,
- Dynamic MAC - switch si pamatuje MAC adresy a povoluje je připojit k libovolnému portu, při restartu jsou adresy zapomenuty,
- Sticky MAC - obdoba Dynamic MAC, ale nejsou zapomenuty po restartu.
Zabezpečení portů - Violation modes
Lze definovat tři reakce na základě detekce narušení nasatavených pravidel. Konkrétně se jedná o reakce:
- Protect - na port je definováno omezení počtu povolených MAC adres, pokud je připojeno nadpočetné zařízení, jeho pakety jsou zahazovány, není odesílána notifikace,
- Restrict - stejné jako Protect, ale je odeslána notifikace,
- Shutdown - po nastaveném počtu incidentů je zařízení deaktivováno a odeslána notifikace