Tartalomjegyzék
A kapcsolás alapjai és beállítása
- Szerző: Sallai András
- Copyright © Sallai András, 2017, 2018
- Licenc: GNU Free Documentation License 1.3
- Web: http://szit.hu
Kapcsolók
Egy kapcsoló rendszerindítási folyamata
- A ROM-ból elindul a POST (Power On Selft Test; bekapcsolási önteszt. A POST ellenőrzi a CPU-t, a DRAM-ot és a flash memórai fájlrendszerét.
- A vezérlés ezek utána betöltő programra adódik át (boot loader).
- A betöltő program felkészíti a CPU-t, a memóriát.
- A betöltő ezek után felkészíti a flash memóra fájlrendszerét.
- A betöltő végül betölti a memóriába a IOS-t, majd átadja számára a vezérlést.
Kapcsoló ledjei
SYST | system, rendszer |
RPS | Redundant Power System, redundáns tápellátás |
STAT | Status, portállapot |
DUPLX | port duplex |
SPEED | Port Speed, portsebesség |
PoE | Power over Ethernet, hálózti tápellátás |
SYST
- nem világít – a rendszer ki van kapcsolva
- zöld – normális működés
- borostyán – van tápellátás, de valami hiba van
- zöld és borostyán felváltva – vezeték nélküli vezérlő hiba
A kapcsoló bekapcsolás után elindul a POST folyamat (önteszt). Ilyenkor a rendszerled villogni kezd lassan. Sikeres POSt esetén a rendszerled gyorsan villog. Sikertelen esetben borostyán színben.
RPS
- nem világit – nincs RPS
- zöld – Az RPS készen áll, szükség szerint plusz tápellátást biztosít.
- zöld villog – Az RPS rendben van, de éppen másik eszközhöz nyújt áramellátást
- borostyán – Az RPS készenléti állapotban van
- borostyán villog – Az tápellátás hibás, RSP-én kap áramot
MASTER
- nem világít – Nem Stack mester
- zöld – A switch stack mester vagy egyedül dolgozik
- borostyán – hiba
A következő ledek a portmód ledek. Azt mutatják, hogy a portledeknél mit látunk éppen.
Mód led | Port mód | Leírás |
---|---|---|
STAT | Státusz. | Ez az alapértelmezett |
DUPLX | Duplex mód | A port duplexmódban vagy half-duplex módbvan van-e. A 10/100/1000 portok csak full-duplex módban működnek. |
SPEED | Port sebesség | 10, 100 vagy 1000 Mb/s |
STACK | Stack tagság | Stack tagság státusza |
PoE | 10/100 és 10/100/1000 PoE port áramellátás | A PoE státusz |
SVI
Az SVI a Switch Virtual Interface rövidítése, magyarul kapcsoló virtuális interfész. Az SVI nem egy fizikai port, csak virtuálisan van jelen. A kapcsoló távoli felügyeletéhez használható.
Töredék keretek
- runt keret
- méretük kisebb mint 64 bájt
Ha egy hálózaton növekszik a runt keretek száma a hálózati kártya valószínűleg rosszul működik, vagy túl sok az ütközés.
Óriás keretek
- giant keret
- a maximálisan megengedett keretnél nagyobbak
A kiváltó oka ennek is a hibásan működő hálózati kártya, vagy a túl sok ütközés lehet.
CRC hibák
- kábel probléma lehet (átviteli közeg)
A kiváltó ok lehet elektromos interferencia, meglazult, sérült csatlakozó vagy a rossz kábeltípus.
A kapcsolók védelme
MAC-cím túlterhelés
Angolul MAC flooding. A támadó hamis MAC címekkel árasztja el a kapcsolót, ami szórásra kapcsol.
DHCP éheztetés
Angolul DHCP starvation. A hálózat elárasztása DHCP kérésekkel.
Ellenőrizhetjük a DHCP kéréseket, vagy portbiztonságot állíthatunk be.
Hamis DHCP szerver
Valaki beüzemel egy hamis DHCP szervert. DHCP-snooping bekapcsolása.
A portok lehetnek
- megbízhatók – trusted
- jöhet DHCP válasz is
- nem megbízható – untrusted
- DHCP válasz innen nem jöhet
S1(config)#ip dhcp snooping S1(config)#int g0/22 S1(config-if)#ip dhcp snooping trust ... S1#show ip dhcp snooping
Melyik VLAN-t akarjuk védeni:
S1(config)#ip dhcp snoop vlan 99
S1(config)#ip dhcp snoop vlan 99,999
Brute force
Egy szógyűjtemény felhasználásával egy program próbálgatja a szavakat jelszónak.
Védekezési módszerek
- mentés rendszeresen
- SSL használata
- írásos biztonságpolitika
- erős jelszavak
- gyakran cserélt jelszavak
- nem használt szolgáltatások tiltása
- a nem használt programok törlése
- fizikai hozzáférés szabályozás
- a dolgozók oktatása
- szabályok
- megtévesztések ellen
- szoftverek firssítése
- tűzfal
- biztonsági hardver
- fontos információk kódolása
Portbiztonság
Beállítható
- csak egy MAC címről használható a port
- több MAC címről használható a port (2, 3 vagy 4, stb.)
A védelem típusai
Beállíthatjuk, hogy egy kapcsoló adott portról csak megadott MAC címet fogadjon el. Ezeket a MAC címek háromféle módon határozhatók meg:
- statikus MAC-cím védelem
- manuálisan megadott címek
- dinamikus MAC-cím védelem
- automatikusan megadott címek
- újraindítás után elvesznek
- sticky MAC-cím védelem
- dinamikusan tanult
- de tárolva van a konfigurációban
A biztonság megsértése
Ha egyik porton mégis újabb MAC címmel jelentkezik valaki, szankciókat léptetünk életbe. A következő lépések fordulhatnak elő:
- védelem (protect)
- szabályszegési számláló nem nő
- korlátozás (restrict)
- szabályszegési számláló nő, értesítést küld
- titltás (shutdown)
- azonnali tiltás
- üzenet: hiba miatt letiltott
Beállítás:
switchport port-security violation {protect | restrict | shutdonw}
Büntetési módok | |||||
---|---|---|---|---|---|
Büntetés módja | Forgalom továbbítása | Syslogba ír | Hibát jelez | Büntetés számláló növelése | Port leállítása |
protect | nem | nem | nem | nem | nem |
restrict | nem | igen | nem | igen | nem |
shutdown | nem | igen | nem | igen | igen |
NTP
A pontos idő egy időkiszolgálóról lesz meghatáorzva.
A IOS lehet NTP szerver és NTP kliens is.
R1(config)# ntp master 1
R2(config)# ntp server 192.168.10.1