Diferència entre revisions de la pàgina «A3. Administració bàsica»

De Wiki IES Marianao. Departament Informàtica
Dreceres ràpides: navegació, cerca
(Seguretat)
(Seguretat)
Línia 179: Línia 179:
 
   H.H.H  48 bit mac address
 
   H.H.H  48 bit mac address
 
   sticky  Configure dynamic secure addresses as sticky
 
   sticky  Configure dynamic secure addresses as sticky
 +
</pre>
 +
 +
Algunes comandes de comprovació
  
Switch#show port-security
+
<pre>
 +
Switch#show port-security  
 +
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
 +
              (Count)      (Count)        (Count)
 +
--------------------------------------------------------------------
 +
      Fa0/24        2          2                0        Shutdown
 +
----------------------------------------------------------------------
  
 
Switch#show port-security interface fastEthernet 0/2
 
Switch#show port-security interface fastEthernet 0/2
 +
Port Security              : <syntaxhighlight>Enabled</syntaxhighlight>
 +
Port Status                : Secure-up
 +
Violation Mode            : Shutdown
 +
Aging Time                : 0 mins
 +
Aging Type                : Absolute
 +
SecureStatic Address Aging : Disabled
 +
Maximum MAC Addresses      : 2
 +
Total MAC Addresses        : 2
 +
Configured MAC Addresses  : 1
 +
Sticky MAC Addresses      : 1
 +
Last Source Address:Vlan  : 0010.1183.1E19:1
 +
Security Violation Count  : 0
 +
  
 
Switch#clear port-security all  // Esborra adreces MAC configurades port segur
 
Switch#clear port-security all  // Esborra adreces MAC configurades port segur
Línia 191: Línia 213:
  
 
'''Les configuracions mac estàtica i seguretat de port són mútuament exclusives'''
 
'''Les configuracions mac estàtica i seguretat de port són mútuament exclusives'''
 
  
 
== Nivells de privilegis ==
 
== Nivells de privilegis ==

Revisió del 17:58, 10 gen 2019

torna M7 - UF2 Administració de dispositius de xarxa

Spanning – Tree

STP (Spanning-Tree Protocol), permet crear topologies lògiques no redundants (sense loops) en topologies físiques redundants.


Una topologia redundant, on existeix un o més cicles, generen tempestes de broadcast.


  • Una xarxa sense redundància té múltiples punts de falla. Per tant és una xarxa no confiable.
  • Una xarxa redundant permet recuperar-la en cas de falla utilitzant un camí alternatiu.


Per contra la gestió de la redundància també implica l’ús de certs recursos (CPU, ample de banda)


Problemes que cal solucionar:

  • Tempestes de broadcast
  • Múltiples còpies de trames unicast
  • Taula MAC inestable. Vàries còpies mateixa trama diferents ports.


El protocol STP sobre una xarxa física redundant, desactiva certs ports per obtenir

  • Una topologia lògica sense redundància.
  • Una xarxa amb les rutes més curtes. Basada en els costos acumulatius dels enllaços, segons la velocitat d’aquests.


Els commutadors es comuniquen entre ells i decideixen quin serà el Root (Arrel de l'arbre de la topologia sense redundàncies). L'elecció és basa en el identificador de Pont (Bridge ID = Prioritat + adreça MAC). El que té el BID més baix serà el root, tot i que també es pot forçar a un dels commutadors.

Així cada Switch té ports actius i port bloquejats.

En cas de falla d’un dels ports, automàticament el protocol activa / descativa els ports necessaris.

Actualment s’ha desenvolupat un nou algoritme rapid spanning-tree amb un menor temps de convergència.

Spannig tree s'activa a les xarxes virtuals (VLAN's) no a les interfases físiques. Per defecte està actiu (protocol STP) 

Switch#show spanning-tree

Switch(config)#spanning-tree vlan 1 root primary

Switch(config)#spanning-tree mode rapid-pvst

Switch(config)#spanning-tree mode pvst   // Per defecte

Switch(config)#no spanning-tree vlan 1  // Desactivar spanning tree per una vlan


Amb l'STP actiu els commutadors estan constantment comunicant-se. Primerament escolleixen el commutador arrel i després monitoritzen possibles canvis a la topologia per prendre les mesures oportunes.

El protocol assigna a cada port dels commutadors diferents rols i un cost en funció de la velocitat d'aquests (major velocitat menor cost).

  • Designat: ports normals
  • Arrel: màxim un per commutador, és el port cap al commutador arrel
  • Alternatiu (Estat bloquejat)

Per exemple

  • Ports FastEthernet tenen cost 19
  • Ports GigaEthernet tenen cost 4


Switch#sh spanning-tree 
VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority    32769
             Address     0001.4220.C76D
             Cost        8
             Port        25(GigabitEthernet0/1)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     0006.2AD7.45C3
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Fa0/1            Desg FWD 19        128.1    P2p
Gi0/1            Root FWD 4         128.25   P2p
Gi0/2            Altn BLK 4         128.26   P2p

Switch#


A la informació del STP del commutador arrel veurem el missatge This bridge is the root 

Switch#sh spanning-tree 
VLAN0001
  Spanning tree enabled protocol rstp
  Root ID    Priority    32769
             Address     0001.4220.C76D
             This bridge is the root
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     0001.4220.C76D
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Gi0/1            Desg FWD 4         128.25   P2p
Gi0/2            Desg FWD 4         128.26   P2p
Fa0/1            Desg FWD 19        128.1    P2p

Si seguim els ports root dels diferents dispositius veurem l'arbre de cost mínim resultant del STP.


Spanning Tree Song (Radia Perlman) https://www.youtube.com/watch?v=iE_AbM8ZykI


http://www.the-evangelist.info/2010/04/ccnp-switch-8-configuracion-de-spanning-tree/

Configuració estàtica taula MAC

Consisteix en establir les adreces estàtiques a la taula MAC (Millora rendiment, el temps de convergència del dispositiu). 

Switch(config)# mac-address-table static <mac-address of host> vlan <vlan name> interface FastEthernet <Ethernet number>


Es pot observar que aquestes adreces s'afegeixen indicant STATIC. No caduquen i es mantenen encara que el dispositiu es reiniciï. 

SW1#sh mac-a
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----

   1    0001.0001.0001    STATIC      Fa0/24
   1    0001.64cd.ac19    DYNAMIC     Gig0/1
   1    0010.0010.0010    STATIC      Gig0/1


Seguretat

L’accés físic a una xarxa pot suposar un problema de seguretat, qualsevol persona que pot connectar un ordinador a un Switch hi té accés. Per això es poden implementar alguns sistemes de seguretat per port.


  • Especificat client MAC (segur) per un port determinat, només aquestes es podran connectar a port corresponent.
  • Limitar el nombre de dispositius segurs per port
  • Indicar una acció en cas que es violi el client segur: restringir (drop packets, avis administrador/syslog i incrementa comptador), protegir (drop paquets, no incrementa comtpador) o aturar la interfase (incrementa comtpador)


Switch#show mac-address-table

Switch#clear mac-address-table

Switch(config)#interface FastEthernet 0/1 

Switch(config-if)#switchport mode access   // No troncal

Switch(config-if)#switchport port-security ?
  mac-address  Secure mac address
  maximum      Max secure addresses
  violation    Security violation mode
  <cr>

SW4(config-if)#switchport port-security mac-address ?
  H.H.H   48 bit mac address
  sticky  Configure dynamic secure addresses as sticky

Algunes comandes de comprovació 

Switch#show port-security 
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
               (Count)       (Count)        (Count)
--------------------------------------------------------------------
       Fa0/24        2          2                 0         Shutdown
----------------------------------------------------------------------

Switch#show port-security interface fastEthernet 0/2
Port Security              : <syntaxhighlight>Enabled</syntaxhighlight>
Port Status                : Secure-up
Violation Mode             : Shutdown
Aging Time                 : 0 mins
Aging Type                 : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses      : 2
Total MAC Addresses        : 2
Configured MAC Addresses   : 1
Sticky MAC Addresses       : 1
Last Source Address:Vlan   : 0010.1183.1E19:1
Security Violation Count   : 0


Switch#clear port-security all   // Esborra adreces MAC configurades port segur

Per tornar a activar una interfase desactivada per seguretat (shutdown + no shutdown)

Les configuracions mac estàtica i seguretat de port són mútuament exclusives

Nivells de privilegis

Per defecte

EXEC (mode usuari) nivell 1 EXEC privilegiat i configuracions específiques nivell 15

No és habitual però es podrien canviar els nivells de seguretat de les configuracions específiques (Per defecte 15)

Switch> show privilege Current privilege level is 1

Switch# show privilege Current privilege level is 15

Bonding - Link Aggregation - 802.3ad.

http://en.wikipedia.org/wiki/Channel_bonding

http://en.wikipedia.org/wiki/Link_aggregation

Protocols d'agregació

  • Port Aggregation Protocol (PAgP) --> Propietari CISCO
  • Link Aggregation Control Protocol (LACP) --> Estàndard IEEE 802.1ax / 802.3ad


Etherchannel

Els enllaços agregats s'anomenen Fast EtherChannel (FEC) or Gigabit EtherChannel (GEC)

http://www.cisco.com/en/US/docs/switches/lan/catalyst2950/software/release/12.1_19_ea1/configuration/guide/swethchl.html

http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_25_see/configuration/guide/swethchl.html

Modes Etherchannel:

  • LACP :Active / Passive en funció si inicia negociació o no (IEEE 802.1ax)
  • PAgP
    • Auto / Desirable en funció si inicia negociació o no (Propietary de CISCO)
    • on : Els dos canals han d'estar en aquest mode


Switch# configure terminal

Switch(config)# interface range gigabitethernet 1/1-2

Switch(config-if-range)# channel-group 5 mode {active | passive | auto | desirable }

Switch(config-if-range)# channel-protocol { lacp | pagp }

Switch(config-if-range)# end

Switch# show interface etherchannel

Switch# show etherchannel

Switch#show etherchannel summary


Load Balance:

  • Per MAC origen (default): Diferents origens van per diferents ports. Mateix origen pel mateix port
  • Per MAC destí: Diferents destins van per diferents ports. Mateix destí pel mateix port


Switch(config)# port-channel load-balance src-mac

Switch#show etherchannel load-balance

Switch# show etherchannel

Mirrored / Spanned Ports

http://en.wikipedia.org/wiki/Port_mirroring


Preu?

http://www.cisco.com/web/ES/solutions/smb/products/routers_switches/catalyst_2960_series_switches/index.html#~models

Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=A3._Administració_bàsica&oldid=1836»