2.0. Basis switch concepten en configuratie

2.0.1. Introductie

Switches worden gebruikt om meerdere apparaten met elkaar in hetzelfde netwerk te verbinden. In een goed ontworpen netwerk zijn LAN-switches verantwoordelijk voor het sturen en besturen van de gegevensstroom op de toegangslaag naar netwerkbronnen.

Cisco-switches zijn zelfconfigurerend en er zijn geen aanvullende configuraties nodig om ze out-of-the-box te laten functioneren. Cisco-switches voeren echter Cisco IOS uit en kunnen handmatig worden geconfigureerd om beter aan de behoeften van het netwerk te voldoen. Dit omvat het aanpassen van poortsnelheid, bandbreedte en beveiligingsvereisten.

Bovendien kunnen Cisco-switches zowel lokaal als op afstand worden beheerd. Om een ​​switch op afstand te beheren, moet er een IP-adres en een standaardgateway zijn geconfigureerd. Dit zijn slechts twee van de configuraties die in dit hoofdstuk worden besproken.

Switches werken op de toegangslaag waar client-netwerkapparaten rechtstreeks verbinding maken met het netwerk en IT-afdelingen willen ongecompliceerde netwerktoegang voor de gebruikers. Het is een van de meest kwetsbare delen van het netwerk omdat het zo wordt blootgesteld aan de gebruiker. Switches moeten zo worden geconfigureerd dat ze bestand zijn tegen alle soorten aanvallen, terwijl ze gebruikersgegevens beschermen en snelle verbindingen mogelijk maken. Poortbeveiliging is een van de beveiligingsfuncties die door Cisco beheerde switches bieden.

2.1. Basis switch configuratie

2.1.1. Een switch configureren met initiële instellingen

2.1.1.1. Switch opstart sequentie

Nadat een Cisco-switch is ingeschakeld, doorloopt deze de volgende opstartvolgorde:

  1. Ten eerste laadt de switch een in het ROM opgeslagen zelftestprogramma (POST). POST controleert het CPU-subsysteem. Het test de CPU, DRAM en het gedeelte van het flash-apparaat waaruit het flash-bestandssysteem bestaat.
  2. Vervolgens laadt de switch de bootloader-software. De bootloader is een klein programma dat is opgeslagen in ROM en onmiddellijk wordt uitgevoerd nadat POST met succes is voltooid.
  3. De bootloader voert CPU-initialisatie op laag niveau uit. Het initialiseert de CPU-registers, die bepalen waar het fysieke geheugen wordt toegewezen, de hoeveelheid geheugen en de snelheid ervan.
  4. De bootloader initialiseert het flash-bestandssysteem op de systeemkaart.
  5. Ten slotte lokaliseert en laadt de bootloader een standaard IOS-besturingssysteemsoftwarebeeld in het geheugen en geeft de besturing van de overschakeling door aan de IOS.

De bootloader vindt de Cisco IOS-image op de switch als volgt: de switch probeert automatisch op te starten met behulp van informatie in de omgevingsvariabele BOOT. Als deze variabele niet is ingesteld, probeert de switch het eerste uitvoerbare bestand te laden en uit te voeren door een recursieve, diepte-eerst zoekactie uit te voeren in het hele flash-bestandssysteem. Bij een eerste diepte-zoekactie in een map wordt elke gevonden submap volledig doorzocht voordat het zoeken in de oorspronkelijke map wordt voortgezet. Op Catalyst 2960 Series-switches bevindt het afbeeldingsbestand zich normaal gesproken in een map met dezelfde naam als het afbeeldingsbestand (exclusief de bestandsextensie .bin).

Het IOS-besturingssysteem initialiseert vervolgens de interfaces met behulp van de Cisco IOS-opdrachten die te vinden zijn in het configuratiebestand, startup-config, dat is opgeslagen in NVRAM.

In de afbeelding wordt de omgevingsvariabele BOOT ingesteld met behulp van de opdracht voor de globale configuratiemodus van het bootsysteem. Merk op dat de IOS zich in een aparte map bevindt en dat het mappad is opgegeven. Gebruik de opdracht show bootvar (show boot in oudere IOS-versies) om te zien waarop het huidige IOS-opstartbestand is ingesteld.

2.1.1.2. Herstellen van een systeemcrash

De bootloader biedt toegang tot de switch als het besturingssysteem niet kan worden gebruikt vanwege ontbrekende of beschadigde systeembestanden. De bootloader heeft een opdrachtregel die toegang geeft tot de bestanden die in het flash-geheugen zijn opgeslagen.

De bootloader is toegankelijk via een consoleverbinding door deze stappen te volgen:

Stap 1. Sluit een pc met een consolekabel aan op de switchconsolepoort. Configureer terminalemulatiesoftware om verbinding te maken met de switch.

Stap 2. Koppel het netsnoer van de schakelaar los.

Stap 3. Sluit het netsnoer weer aan op de schakelaar en houd binnen 15 seconden de Mode-knop ingedrukt terwijl de systeem-LED nog steeds groen knippert.

Stap 4. Blijf op de Mode-knop drukken totdat de systeem-LED kort oranje en vervolgens continu groen wordt; laat vervolgens de modusknop los.

Stap 5. De bootloader switch: prompt verschijnt in de terminalemulatiesoftware op de pc.

Switch# dir flash: 
Directory of flash: / 
    2 -rwx 11607161  Mar 1 2013 03:10:47 +00:00  c2960-lanbase9-mz.150-2.SE.bin 
    3 -rwx     1809  Mar 1 2013 00:02:48 +00:00  config.text
    5 -rwx     1919  Mar 1 2013 00:02:48 +00:00  private-config.text
    6 -rwx    59516  Mar 1 2013 00:02:49 +00:00  multiple-fs 

32514048 bytes total (20841472 bytes free)
Switch#

De opdrachtregel van de bootloader ondersteunt opdrachten om het flash-bestandssysteem te formatteren, de besturingssysteemsoftware opnieuw te installeren en te herstellen van een verloren of vergeten wachtwoord. De opdracht dir kan bijvoorbeeld worden gebruikt om een ​​lijst met bestanden in een opgegeven map te bekijken, zoals weergegeven in de afbeelding.

Opmerking: merk op dat in dit voorbeeld de IOS zich in de root van de flash-map bevindt.

2.1.1.3. Switch LED-indicatoren

Cisco Catalyst-switches hebben verschillende status-LED-indicatielampjes. U kunt de switch-LED’s gebruiken om snel de switchactiviteit en de prestaties ervan te volgen. Switches van verschillende modellen en functiesets hebben verschillende LED’s en hun plaatsing op het voorpaneel van de schakelaar kan ook variëren.

Switch-led indicatoren

De afbeelding toont de switch-LED’s en de modusknop voor een Cisco Catalyst 2960-switch. De Mode-knop wordt gebruikt om te schakelen tussen poortstatus, poort duplex, poortsnelheid en PoE (indien ondersteund) status van de poort-LED’s. Het volgende beschrijft het doel van de LED-indicatoren en de betekenis van hun kleuren:

  • Systeem-LED – geeft aan of het systeem stroom krijgt en correct functioneert. Als de LED uit is, betekent dit dat het systeem niet is ingeschakeld. Als de LED groen is, werkt het systeem normaal. Als de LED oranje is, krijgt het systeem stroom maar werkt het niet correct.
  • Redundant Power System (RPS) LED – Geeft de RPS-status weer. Als de LED uit is, is de RPS uit of niet goed aangesloten. Als de LED groen is, is de RPS aangesloten en klaar om back-upstroom te leveren. Als de LED groen knippert, is de RPS aangesloten maar is deze niet beschikbaar omdat hij stroom levert aan een ander apparaat. Als de LED oranje is, bevindt de RPS zich in de stand-bymodus of is er een storing. Als de LED oranje knippert, is de interne stroomvoorziening in de schakelaar uitgevallen en levert de RPS stroom.
  • Poortstatus-LED – Geeft aan dat de poortstatusmodus is geselecteerd als de LED groen is. Dit is de standaardmodus. Indien geselecteerd, geven de poort-LED’s kleuren weer met verschillende betekenissen. Als de LED uit is, is er geen link of is de poort administratief afgesloten. Als de LED groen is, is er een link aanwezig. Als de LED groen knippert, is er activiteit en verzendt of ontvangt de poort gegevens. Als de LED afwisselend groen-oranje is, is er een verbindingsfout. Als de LED oranje is, is de poort geblokkeerd om ervoor te zorgen dat er geen lus bestaat in het doorstuurdomein en geen gegevens doorstuurt (normaal gesproken blijven poorten in deze toestand gedurende de eerste 30 seconden nadat ze zijn geactiveerd). Als de LED oranje knippert, is de poort geblokkeerd om een ​​mogelijke lus in het doorstuurdomein te voorkomen.
  • Port Duplex LED – Geeft aan dat de poort duplex-modus is geselecteerd als de LED groen is. Indien geselecteerd, zijn poort-LED’s die uit zijn in half-duplexmodus. Als de poort-LED groen is, is de poort in full-duplexmodus.
    Port Speed ​​LED – Geeft aan dat de poortsnelheidsmodus is geselecteerd. Indien geselecteerd, zullen de poort-LED’s kleuren met verschillende betekenissen weergeven. Als de LED uit is, werkt de poort met 10 Mb/s. Als de LED groen is, werkt de poort met 100 Mb/s. Als de LED groen knippert, werkt de poort met 1000 Mb/s.
  • Power over Ethernet (PoE) -modus-LED – Als PoE wordt ondersteund; een PoE-modus-LED zal aanwezig zijn. Als de LED uit is, geeft dit aan dat de PoE-modus niet is geselecteerd en dat geen van de poorten stroom is geweigerd of in een storingstoestand is geplaatst. Als de LED oranje knippert, is de PoE-modus niet geselecteerd, maar heeft ten minste een van de poorten geen stroom gekregen of heeft een PoE-fout. Als de LED groen is, geeft dit aan dat de PoE-modus is geselecteerd en dat de poort-LED’s kleuren met verschillende betekenissen weergeven. Als de poort-LED uit is, is de PoE uit. Als de poort-LED groen is, is de PoE ingeschakeld. Als de poort-LED afwisselend groen-oranje is, wordt PoE geweigerd omdat het leveren van stroom aan het gevoede apparaat de stroomcapaciteit van de switch overschrijdt. Als de LED oranje knippert, is PoE uit vanwege een storing. Als de LED oranje is, is PoE voor de poort uitgeschakeld.

2.1.1.4. Voorbereiden op basis switchbeheer

Om een ​​switch voor te bereiden voor beheer op afstand, moet de switch worden geconfigureerd met een IP-adres en een subnetmasker. Houd er rekening mee dat om de switch vanaf een extern netwerk te beheren, de switch moet zijn geconfigureerd met een standaardgateway. Dit lijkt erg op het configureren van de IP-adresgegevens op hostapparaten. In de afbeelding moet de virtuele switch-interface (SVI) op S1 een IP-adres krijgen. De SVI is een virtuele interface, geen fysieke poort op de switch.

Console kabel

SVI is een concept gerelateerd aan VLAN’s. VLAN’s zijn genummerde logische groepen waaraan fysieke poorten kunnen worden toegewezen. Configuraties en instellingen die op een VLAN worden toegepast, worden ook toegepast op alle poorten die aan dat VLAN zijn toegewezen.

Standaard is de switch zo geconfigureerd dat het beheer van de switch wordt beheerd via VLAN 1. Alle poorten zijn standaard toegewezen aan VLAN 1. Om veiligheidsredenen wordt het als een best practice beschouwd om een ​​ander VLAN dan VLAN 1 te gebruiken voor het beheer-VLAN.

Merk op dat deze IP-instellingen alleen bedoeld zijn voor externe beheertoegang tot de switch; de IP-instellingen staan ​​de switch niet toe om Layer 3-pakketten te routeren.

2.1.1.5. Basisswitchbeheertoegang configureren met IPv4

Stap 1. Configureer de managemantinterface

Een IP-adres en subnetmasker worden geconfigureerd op de management-SVI van de switch vanuit de configuratiemodus van de VLAN-interface. Zoals weergegeven in figuur 1, wordt de opdracht interface vlan 99 gebruikt om de interfaceconfiguratiemodus te openen. De opdracht IP address wordt gebruikt om het IP-adres te configureren. De opdracht no shutdown schakelt de interface in. In dit voorbeeld is VLAN 99 geconfigureerd met IP-adres 172.17.99.11.

De SVI voor VLAN 99 wordt niet weergegeven als “up / up” totdat VLAN 99 is gemaakt en er een apparaat is aangesloten op een switchpoort die is gekoppeld aan VLAN 99. Om een ​​VLAN te maken met de vlan_id van 99 en deze te koppelen aan een interface , gebruik de volgende commando’s:

S1(config)# vlan vlan_id
S1(config-vlan)# name vlan_name
S1(config-vlan)# exit
S1(config)# interface interface_id
S1(config-if)# switchport access vlan vlan_id

Stap 2. Configureer de standaardgateway

De switch moet worden geconfigureerd met een standaardgateway als deze op afstand wordt beheerd vanaf netwerken die niet rechtstreeks zijn verbonden. De standaardgateway is de router waarop de switch is aangesloten. De switch stuurt zijn IP-pakketten met bestemmings-IP-adressen buiten het lokale netwerk door naar de standaardgateway. Zoals weergegeven in volgense afbeelding, is R1 de standaardgateway voor S1. De interface op R1 die is aangesloten op de switch heeft IP-adres 172.17.99.1. Dit adres is het standaard gateway-adres voor S1.

Gebruik de opdracht ip default-gateway om de standaardgateway voor de switch te configureren. Voer het IP-adres van de standaardgateway in. De standaardgateway is het IP-adres van de routerinterface waarop de switch is aangesloten. Gebruik de opdracht copy running-config startup-config om een ​​back-up van uw configuratie te maken.

Stap 3. Controleer de configuratie

Zoals weergegeven in onderstaande voorbeeld, is de opdracht show ip interface brief handig bij het bepalen van de status van zowel fysieke als virtuele interfaces. De weergegeven uitvoer bevestigt dat interface VLAN 99 is geconfigureerd met een IP-adres en subnetmasker en dat deze operationeel is.

S1# show ip interface brief

Interface  IP-Address    OK? Method Status   Protocol
Vlan99     172.17.99.11  YES manual up       down

2.1.2. Switchpoorten configureren

2.1.2.1. Duplex communicatie

Full-duplex communicatie verbetert de prestaties van een geschakeld LAN. Full-duplex communicatie verhoogt de effectieve bandbreedte doordat beide uiteinden van een verbinding gelijktijdig gegevens kunnen verzenden en ontvangen. Dit wordt ook wel bidirectioneel genoemd. Deze methode voor het optimaliseren van netwerkprestaties vereist microsegmentatie. Een micro-gesegmenteerd LAN wordt gecreëerd wanneer een switchpoort slechts één apparaat heeft aangesloten en full-duplex werkt. Dit resulteert in een botsingsdomein van microformaat van een enkel apparaat. Omdat er echter maar één apparaat is aangesloten, is een microgesegmenteerd LAN botsingsvrij.

In tegenstelling tot full-duplex communicatie is half-duplex communicatie unidirectioneel. Het verzenden en ontvangen van gegevens gebeurt niet tegelijkertijd. Half-duplex communicatie veroorzaakt prestatieproblemen omdat gegevens slechts in één richting tegelijk kunnen stromen, wat vaak resulteert in botsingen. Half-duplex-verbindingen worden meestal gezien in oudere hardware, zoals hubs. Full-duplex communicatie heeft in de meeste hardware half-duplex vervangen.

Duplex communicatie

De meeste Ethernet- en Fast Ethernet-NIC’s die tegenwoordig worden verkocht, bieden full-duplex-mogelijkheden. Gigabit Ethernet en 10 Gb NIC’s hebben full-duplex verbindingen nodig om te kunnen werken. In full-duplex-modus is het botsingsdetectiecircuit op de NIC uitgeschakeld. Frames die door de twee aangesloten apparaten worden verzonden, kunnen niet botsen omdat de apparaten twee aparte circuits in de netwerkkabel gebruiken. Voor full-duplex-verbindingen is een switch vereist die full-duplex-configuratie ondersteunt, of voor een directe verbinding met een Ethernet-kabel tussen twee apparaten.

Standaard, gedeelde hub-gebaseerde Ethernet-configuratie-efficiëntie wordt doorgaans geschat op 50 tot 60 procent van de vermelde bandbreedte. Full-duplex biedt 100 procent efficiëntie in beide richtingen (verzenden en ontvangen). Dit resulteert in een potentieel gebruik van 200 procent van de genoemde bandbreedte.

2.1.2.2. Configureer switchpoorten op de fysieke laag

Duplex en snelheid

Switchpoorten kunnen handmatig worden geconfigureerd met specifieke duplex- en snelheidsinstellingen. Gebruik de opdracht voor de configuratiemodus van de duplex interface configuratiemode opdracht om handmatig de duplexmodus voor een switchpoort op te geven. Gebruik de opdracht speed interface configuratiemodus opdracht om de snelheid voor een switchpoort handmatig op te geven. In Figuur 1 zijn poort F0/1 op switch S1 en S2 handmatig geconfigureerd met het full sleutelwoord voor de duplex opdracht en het 100 sleutelwoord voor de speed commando.

Snelheid en duplexinstellingen

De standaardinstelling voor zowel duplex als snelheid voor switchpoorten op Cisco Catalyst 2960- en 3560-switches is automatisch. De 10/100/1000 poorten werken in half- of full-duplexmodus wanneer ze zijn ingesteld op 10 of 100 Mb/s, maar wanneer ze zijn ingesteld op 1000 Mb/s (1 Gb/s), werken ze alleen in full-duplex modus. Automatische onderhandeling is handig wanneer de snelheids- en duplexinstellingen van het apparaat dat op de poort is aangesloten, onbekend zijn of kunnen veranderen. Wanneer u verbinding maakt met bekende apparaten, zoals servers, speciale werkstations of netwerkapparaten, kunt u het beste handmatig de snelheids- en duplexinstellingen instellen.

Bij het oplossen van problemen met de switchpoort moeten de duplex- en snelheidsinstellingen worden gecontroleerd.

Opmerking: niet-overeenkomende instellingen voor de duplexmodus en snelheid van switchpoorten kunnen verbindingsproblemen veroorzaken. Als de automatische onderhandeling mislukt, ontstaan ​​er niet-overeenkomende instellingen.

Alle glasvezelpoorten, zoals 100BASE-FX-poorten, werken slechts op één vooraf ingestelde snelheid en zijn altijd full-duplex.

2.1.2.3. Auto-MDIX

Tot voor kort waren bepaalde kabeltypen (straight-through of crossover) vereist bij het aansluiten van apparaten. Switch-to-switch of switch-to-router verbindingen vereist met verschillende Ethernet-kabels. Het gebruik van de automatische medium-afhankelijke interface-crossover (auto-MDIX) -functie op een interface lost dit probleem op. Als auto-MDIX is ingeschakeld, detecteert de interface automatisch het vereiste kabelverbindingstype (straight-through of crossover) en configureert de verbinding op de juiste manier. Bij aansluiting op schakelaars zonder de auto-MDIX-functie, moeten rechte kabels worden gebruikt om verbinding te maken met apparaten zoals servers, werkstations of routers en moeten er crossover-kabels worden gebruikt om verbinding te maken met andere schakelaars of repeaters.

Als auto-MDIX is ingeschakeld, kan elk type kabel worden gebruikt om verbinding te maken met andere apparaten, en de interface past zich automatisch aan om succesvol te communiceren. Op nieuwere Cisco-routers en -switches schakelt de opdracht mdix auto interface-configuratiemodus de functie in. Bij gebruik van auto-MDIX op een interface, moeten de interfacesnelheid en duplex worden ingesteld op auto zodat de functie correct werkt.

De opdrachten om auto-MDIX in te schakelen, worden weergegeven in afbeelding 1.

Opmerking: de auto-MDIX-functie is standaard ingeschakeld op Catalyst 2960- en Catalyst 3560-switches, maar is niet beschikbaar op de oudere Catalyst 2950- en Catalyst 3550-switches.

Om de auto-MDIX-instelling voor een specifieke interface te onderzoeken, gebruikt u de opdracht show controllers ethernet-controller met het trefwoord phy. Om de uitvoer te beperken tot regels die verwijzen naar auto-MDIX, gebruikt u het filter include Auto-MDIX. Zoals weergegeven in afbeelding 2, geeft de uitgang Aan of Uit voor de functie aan.

Gebruik de Syntax Checker in Figuur 3 om de FastEthernet 0/1-interface op S2 te configureren voor auto-MDIX.

2.1.2.4. Switchpoortconfiguratie verifiëren

Afbeelding 1 beschrijft enkele van de opties voor de opdracht show die nuttig zijn bij het verifiëren van veelgebruikte configureerbare schakelaarfuncties.

Afbeelding 2 toont een voorbeeld van een verkorte uitvoer van de opdracht show running-config. Gebruik deze opdracht om te controleren of de switch correct is geconfigureerd. Zoals te zien is in de uitvoer voor S1, wordt enkele belangrijke informatie weergegeven:

Fast Ethernet 0/18 interface geconfigureerd met het beheer VLAN 99
VLAN 99 geconfigureerd met een IP-adres van 172.17.99.11 255.255.255.0
Standaardgateway ingesteld op 172.17.99.1
De opdracht show interfaces is een andere veelgebruikte opdracht, die status- en statistische informatie weergeeft over de netwerkinterfaces van de switch. De opdracht show interfaces wordt vaak gebruikt bij het configureren en bewaken van netwerkapparaten.

Afbeelding 3 toont de uitvoer van de opdracht show interfaces fastEthernet 0/18. De eerste regel in de afbeelding geeft aan dat de FastEthernet 0/18-interface up / up is, wat betekent dat deze operationeel is. Verderop laat de output zien dat de duplex vol is en de snelheid 100 Mb / s is.

2.1.2.5. Problemen met de netwerktoegangslaag

De uitvoer van de opdracht show interfaces kan worden gebruikt om veelvoorkomende mediaproblemen op te sporen. Een van de belangrijkste onderdelen van deze output is de weergave van de status van het lijn- en datalinkprotocol. Figuur 1 geeft de overzichtsregel aan om de status van een interface te controleren.

De eerste parameter (FastEthernet 0/1 is up) verwijst naar de hardwarelaag en geeft in wezen weer of de interface het carrier-detectiesignaal van het andere uiteinde ontvangt. De tweede parameter (lijnprotocol is actief) verwijst naar de datalinklaag en geeft aan of de datalinklaagprotocol-keepalives worden ontvangen.

Op basis van de uitvoer van de opdracht show interfaces, kunnen mogelijke problemen als volgt worden opgelost:

  • Als de interface actief is en het lijnprotocol niet werkt, is er een probleem. Er kan een verkeerde combinatie van het inkapselingstype zijn, de interface aan de andere kant kan door fouten zijn uitgeschakeld of er kan een hardware probleem zijn.
  • Als het lijnprotocol en de interface beide niet werken, is er geen kabel aangesloten of is er een ander interfaceprobleem. Bij een back-to-back-verbinding kan het andere uiteinde van de verbinding bijvoorbeeld administratief niet werken.
  • Als de interface administratief niet werkt, is deze handmatig uitgeschakeld (de shutdown opdracht is gegeven) in de actieve configuratie.

Afbeelding 2 toont een voorbeeld van de opdrachtuitvoer van show interfaces. Het voorbeeld toont tellers en statistieken voor de FastEthernet0 / 1-interface.

Sommige mediafouten zijn niet ernstig genoeg om het circuit te laten uitvallen, maar veroorzaken wel netwerkprestatieproblemen. Figuur 3 legt enkele van deze veelvoorkomende fouten uit die kunnen worden gedetecteerd met de opdracht show interfaces.

‘Invoerfouten’ zijn de som van alle fouten in datagrammen die zijn ontvangen op de interface die wordt onderzocht. Dit omvat runts, giants, CRC, geen buffer, frame, overschrijding en genegeerde tellingen. De gerapporteerde invoerfouten van de opdracht show interfaces omvatten het volgende:

  • Runtframes – Ethernet-frames die korter zijn dan de minimaal toegestane lengte van 64 bytes, worden runts genoemd. Defecte NIC’s zijn de gebruikelijke oorzaak van overmatige runtframes, maar ze kunnen worden veroorzaakt door dezelfde problemen als overmatige botsingen.
  • Giants – Ethernet-frames die langer zijn dan de maximaal toegestane lengte, worden reuzen genoemd. Reuzen worden veroorzaakt door dezelfde problemen als degenen die runts veroorzaken.
  • CRC-fouten – Op Ethernet- en seriële interfaces duiden CRC-fouten meestal op een media- of kabelfout. Veelvoorkomende oorzaken zijn onder meer elektrische interferentie, losse of beschadigde verbindingen of het gebruik van het verkeerde type bekabeling. Als je veel CRC-fouten ziet, is er te veel ruis op de link en moet je de kabel inspecteren op schade en lengte. U moet indien mogelijk ook zoeken naar geluidsbronnen en deze elimineren.

‘Uitvoerfouten’ zijn de som van alle fouten die de uiteindelijke verzending van datagrammen uit de interface die wordt onderzocht, verhinderden. De gerapporteerde uitvoerfouten van de opdracht show interfaces omvatten het volgende:

  • Collisions – Botsingen bij half-duplex bewerkingen zijn volkomen normaal en u hoeft zich er geen zorgen over te maken, zolang u tevreden bent met half-duplex bewerkingen. U mag echter nooit botsingen zien in een goed ontworpen en geconfigureerd netwerk dat gebruikmaakt van full-duplex communicatie. Het wordt ten zeerste aanbevolen om full-duplex te gebruiken, tenzij u over oudere of legacy-apparatuur beschikt die half-duplex vereist.
  • Late collisions – Een late botsing verwijst naar een botsing die optreedt nadat 512 bits van het frame zijn verzonden. Overmatige kabellengtes zijn de meest voorkomende oorzaak van late aanrijdingen. Een andere veel voorkomende oorzaak is een verkeerde configuratie van duplex. U kunt bijvoorbeeld het ene uiteinde van een verbinding configureren voor full-duplex en het andere voor half-duplex. U zou late botsingen zien op de interface die is geconfigureerd voor half-duplex. In dat geval moet u aan beide uiteinden dezelfde duplexinstelling configureren. Een goed ontworpen en geconfigureerd netwerk mag nooit te laat komen met botsingen.

2.1.2.6. Problemen met de netwerktoegangslaag oplossen

De meeste problemen die van invloed zijn op een geschakeld netwerk, treden op tijdens de oorspronkelijke implementatie. Theoretisch blijft een netwerk na installatie probleemloos functioneren. De bekabeling raakt echter beschadigd, configuraties veranderen en er worden nieuwe apparaten op de switch aangesloten waarvoor wijzigingen in de switchconfiguratie nodig zijn. Voortdurend onderhoud en probleemoplossing van de netwerkinfrastructuur is vereist.

Volg deze algemene procedure om deze problemen op te lossen wanneer u geen verbinding of een slechte verbinding tussen een switch en een ander apparaat heeft:

Gebruik de opdracht show interfaces om de interfacestatus te controleren.

Als de interface niet werkt:

  • Controleer of de juiste kabels worden gebruikt. Controleer bovendien de kabel en connectoren op beschadigingen. Als u een slechte of onjuiste kabel vermoedt, vervangt u de kabel.
  • Als de interface nog steeds niet werkt, kan het probleem worden veroorzaakt door een niet-overeenkomende snelheidsinstelling. De snelheid van een interface wordt doorgaans automatisch onderhandeld; daarom, zelfs als het handmatig is geconfigureerd op één interface, zou de verbindende interface dienovereenkomstig automatisch moeten onderhandelen. Als er toch een snelheidsverschil optreedt door een verkeerde configuratie of een hardware- of softwareprobleem, kan dat ertoe leiden dat de interface uitvalt. Stel handmatig dezelfde snelheid in op beide verbindingsuiteinden als er een probleem wordt vermoed.

Als de interface actief is, maar er nog steeds verbindingsproblemen zijn:

  • Controleer met behulp van de opdracht show interfaces of er aanwijzingen zijn voor overmatige ruis. Mogelijke indicaties zijn een toename van de tellers voor runts, reuzen en CRC-fouten. Als er teveel geluid is, zoek dan eerst de bron van het geluid en verwijder deze indien mogelijk. Controleer ook of de kabel niet langer is dan de maximale kabellengte en controleer het type kabel dat wordt gebruikt. Voor koperen kabel wordt aanbevolen dat u ten minste categorie 5 gebruikt.
  • Als geluid geen probleem is, controleer dan op overmatige botsingen. Als er botsingen of late botsingen zijn, controleer dan de duplexinstellingen aan beide uiteinden van de verbinding. Net als de snelheidsinstelling, wordt de duplex-instelling meestal automatisch onderhandeld. Als de duplex niet overeenkomt, moet u de duplex handmatig aan beide verbindingsuiteinden instellen. Het wordt aanbevolen om full-duplex te gebruiken als beide zijden dit ondersteunen.

2.2. Switch security: beheer en implementatie

2.2.1. Beveiligde toegang op afstand

2.2.1.1. SSH-werking

Secure Shell (SSH) is een protocol dat zorgt voor een veilige (gecodeerde) beheerverbinding met een extern apparaat. SSH moet Telnet vervangen voor beheerverbindingen. Telnet is een ouder protocol dat gebruikmaakt van onveilige, leesbare tekstoverdracht van zowel de inlogverificatie (gebruikersnaam en wachtwoord) als de gegevens die worden verzonden tussen de communicerende apparaten. SSH biedt beveiliging voor externe verbindingen door sterke codering te bieden wanneer een apparaat wordt geverifieerd (gebruikersnaam en wachtwoord) en ook voor de verzonden gegevens tussen de communicerende apparaten. SSH is toegewezen aan TCP-poort 22. Telnet is toegewezen aan TCP-poort 23.

In figuur 1 kan een aanvaller pakketten volgen met Wireshark. Een Telnet-stream kan worden gebruikt om de gebruikersnaam en het wachtwoord vast te leggen.

In figuur 2 kan de aanvaller de gebruikersnaam en het wachtwoord van de beheerder achterhalen uit de Telnet-sessie in platte tekst.

Afbeelding 3 toont de Wireshark-weergave van een SSH-sessie. De aanvaller kan de sessie volgen met behulp van het IP-adres van het beheerdersapparaat.

In afbeelding 4 zijn de gebruikersnaam en het wachtwoord echter versleuteld.

Om SSH op een Catalyst 2960-switch in te schakelen, moet de switch een versie van de IOS-software gebruiken, inclusief cryptografische (gecodeerde) functies en mogelijkheden. Gebruik in Afbeelding 5 het commando show version op de switch om te zien welke IOS de switch momenteel draait, en de IOS-bestandsnaam die de combinatie “k9” bevat ondersteunt cryptografische (gecodeerde) functies en mogelijkheden.

2.2.1.2. SSH configureren

Voordat SSH wordt geconfigureerd, moet de switch minimaal worden geconfigureerd met een unieke hostnaam en de juiste instellingen voor netwerkconnectiviteit.

Stap 1. Verifieer SSH-ondersteuning.

Gebruik de opdracht show ip ssh om te controleren of de switch SSH ondersteunt. Als de switch geen IOS uitvoert die cryptografische functies ondersteunt, wordt deze opdracht niet herkend.

Stap 2. Configureer het IP-domein.

Configureer de IP-domeinnaam van het netwerk met de opdracht ip domeinnaam domeinnaam globale configuratiemodus. In Afbeelding 1 is de waarde van de domeinnaam cisco.com.

Stap 3. Genereer RSA-sleutelparen.

Niet alle versies van de IOS zijn standaard ingesteld op SSH-versie 2, en SSH-versie 1 heeft beveiligingslekken gekend. Om SSH versie 2 te configureren, geeft u de opdracht ip ssh versie 2 globale configuratiemodus op. Door een RSA-sleutelpaar te genereren, wordt automatisch SSH ingeschakeld. Gebruik de opdracht cryptosleutel genereren rsa globale configuratiemodus om de SSH-server op de switch in te schakelen en een RSA-sleutelpaar te genereren. Bij het genereren van RSA-sleutels wordt de beheerder gevraagd om een ​​moduluslengte in te voeren. Cisco raadt een minimale modulusgrootte van 1024 bits aan (zie de voorbeeldconfiguratie in afbeelding 1). Een langere moduluslengte is veiliger, maar het duurt langer om te genereren en te gebruiken.

Opmerking: Om het RSA-sleutelpaar te verwijderen, gebruikt u de opdracht cryptosleutel zeroize rsa globale configuratiemodus. Nadat het RSA-sleutelpaar is verwijderd, wordt de SSH-server automatisch uitgeschakeld.

Stap 4. Configureer gebruikersauthenticatie.

De SSH-server kan gebruikers lokaal authenticeren of met behulp van een authenticatieserver. Om de lokale authenticatiemethode te gebruiken, maakt u een gebruikersnaam en wachtwoordpaar met de opdracht gebruikersnaam gebruikersnaam geheim wachtwoord algemene configuratiemodus. In het voorbeeld krijgt de gebruiker admin het wachtwoord ccna.

Stap 5. Configureer de vty-regels.

Schakel het SSH-protocol in op de vty-regels met behulp van de transportinvoer ssh-regelconfiguratiemodusopdracht. De Catalyst 2960 heeft vty-lijnen van 0 tot 15. Deze configuratie voorkomt niet-SSH-verbindingen (zoals Telnet) en beperkt de switch om alleen SSH-verbindingen te accepteren. Gebruik de regel vty globale configuratiemodusopdracht en vervolgens de login lokale regel configuratiemodusopdracht om lokale authenticatie voor SSH-verbindingen vanuit de lokale gebruikersnaamdatabase te vereisen.

Stap 6. Schakel SSH-versie 2 in.

Standaard ondersteunt SSH zowel versie 1 als 2. Wanneer beide versies worden ondersteund, wordt dit in de show ip ssh-uitvoer weergegeven als ondersteunende versie 1.99. Versie 1 heeft bekende kwetsbaarheden. Om deze reden wordt aanbevolen om alleen versie 2 in te schakelen. Schakel de SSH-versie in met het globale configuratiecommando ip ssh versie 2.

Gebruik de Syntax Checker in Figuur 2 om SSH op switch S1 te configureren.

2.2.1.3. SSH verifiëren

Op een pc wordt een SSH-client, zoals PuTTY, gebruikt om verbinding te maken met een SSH-server. Voor de voorbeelden in afbeelding 1 tot en met 3 zijn de volgende geconfigureerd:

SSH ingeschakeld op schakelaar S1
Interface VLAN 99 (SVI) met IP-adres 172.17.99.11 op switch S1
PC1 met IP-adres 172.17.99.21
In Afbeelding 1 brengt de pc een SSH-verbinding tot stand met het SVI VLAN IP-adres van S1.

In Figuur 2 wordt de gebruiker om een gebruikersnaam en wachtwoord gevraagd. Met behulp van de configuratie uit het vorige voorbeeld worden de gebruikersnaam admin en het wachtwoord ccna ingevoerd. Na het invoeren van de juiste combinatie, is de gebruiker via SSH verbonden met de CLI op de Catalyst 2960 switch.

Gebruik de opdracht show ip ssh om de versie- en configuratiegegevens voor SSH weer te geven op het apparaat dat u als SSH-server hebt geconfigureerd. In het voorbeeld is SSH-versie 2 ingeschakeld. Gebruik de opdracht show ssh om de SSH-verbindingen met het apparaat te controleren (zie afbeelding 3).

2.2.2. Switch bekommernissen in LANs

2.2.2.1. Veelvoorkomende beveiligingsaanvallen: flooding van MAC-adressen

Basisswitchbeveiliging houdt kwaadaardige aanvallen niet tegen. Beveiliging is een gelaagd proces dat in wezen nooit voltooid is. Hoe meer het team van netwerkprofessionals binnen een organisatie zich bewust is van beveiligingsaanvallen en de gevaren die ze opleveren, hoe beter. Sommige soorten beveiligingsaanvallen worden hier beschreven, maar de details van hoe sommige van deze aanvallen werken, vallen buiten het bestek van deze cursus. Meer gedetailleerde informatie vindt u in de cursus CCNA WAN Technologies en de cursus CCNA Security.

MAC-adres flooding

De MAC-adrestabel in een switch bevat de MAC-adressen die aan elke fysieke poort zijn gekoppeld en het bijbehorende VLAN voor elke poort. Wanneer een Layer 2-switch een frame ontvangt, zoekt de switch in de MAC-adrestabel naar het bestemmings-MAC-adres. Alle Catalyst-switchmodellen gebruiken een MAC-adrestabel voor Layer 2-switching. Als frames op switchpoorten binnenkomen, worden de bron-MAC-adressen geregistreerd in de MAC-adrestabel. Als er een vermelding bestaat voor het MAC-adres, stuurt de switch het frame door naar de juiste poort. Als het MAC-adres niet bestaat in de MAC-adrestabel, stroomt de switch het frame uit elke poort op de switch, behalve de poort waar het frame is ontvangen.

Het overstromingsgedrag van MAC-adressen van een switch voor onbekende adressen kan worden gebruikt om een ​​switch aan te vallen. Dit type aanval wordt een MAC-adrestabeloverloopaanval genoemd. MAC-adrestabelaanvallen worden ook wel MAC-overstromingsaanvallen genoemd en CAM-tabeloverloopaanvallen. De figuren laten zien hoe dit type aanval werkt.

In Afbeelding 1 stuurt host A verkeer naar host B. De switch ontvangt de frames en zoekt het MAC-adres van de bestemming op in zijn MAC-adrestabel. Als de switch de bestemmings-MAC niet kan vinden in de MAC-adrestabel, kopieert de switch het frame en stroomt (broadcast) het uit elke switchpoort, behalve de poort waar het is ontvangen.

In figuur 2 ontvangt host B het frame en stuurt een antwoord naar host A. De switch leert dan dat het MAC-adres voor host B zich op poort 2 bevindt en neemt die informatie op in de MAC-adrestabel.

Host C ontvangt ook het frame van host A naar host B, maar omdat het bestemmings-MAC-adres van dat frame host B is, laat host C dat frame vallen.

Zoals weergegeven in afbeelding 3, wordt elk frame dat door host A (of een andere host) naar host B wordt verzonden, doorgestuurd naar poort 2 van de switch en niet elke poort uitgezonden.

MAC-adrestabellen zijn beperkt in grootte. MAC-overstromingsaanvallen maken gebruik van deze beperking om de switch te overweldigen met valse bron-MAC-adressen totdat de MAC-adrestabel van de switch vol is.

Zoals weergegeven in afbeelding 4, kan een aanvaller bij host C frames met nep, willekeurig gegenereerde bron- en bestemmings-MAC-adressen naar de switch sturen. De switch werkt de MAC-adrestabel bij met de informatie in de nepframes. Wanneer de MAC-adrestabel vol staat met nep-MAC-adressen, gaat de switch naar de zogenaamde fail-open-modus. In deze modus zendt de switch alle frames naar alle machines op het netwerk. Als gevolg hiervan kan de aanvaller alle frames zien.

Sommige tools voor netwerkaanvallen kunnen tot 155.000 MAC-vermeldingen per minuut genereren op een switch. Afhankelijk van de switch varieert de maximale grootte van de MAC-adrestabel.

Zoals weergegeven in figuur 5, zendt de switch alle ontvangen frames uit vanuit elke poort, zolang de MAC-adrestabel op de switch vol blijft. In dit voorbeeld worden frames die van host A naar host B worden verzonden, ook uitgezonden vanuit poort 3 op de switch en worden ze gezien door de aanvaller bij host C.

Een manier om aanvallen met overloop van MAC-adrestabellen te beperken, is door poortbeveiliging te configureren.

2.2.2.2. Veelvoorkomende beveiligingsaanvallen: DHCP-spoofing

DHCP is het protocol dat automatisch een geldig IP-adres toewijst aan een host uit een DHCP-pool. DHCP is al bijna net zo lang in gebruik als TCP / IP het belangrijkste protocol is dat binnen de industrie wordt gebruikt voor het toewijzen van IP-adressen van klanten. Er kunnen twee soorten DHCP-aanvallen worden uitgevoerd op een geschakeld netwerk: DHCP-hongersnoodaanvallen en DHCP-spoofing.

Bij DHCP-hongersnoodaanvallen overspoelt een aanvaller de DHCP-server met DHCP-verzoeken om alle beschikbare IP-adressen op te gebruiken die de DHCP-server kan uitgeven. Nadat deze IP-adressen zijn uitgegeven, kan de server geen adressen meer uitgeven, en deze situatie veroorzaakt een denial-of-service (DoS) -aanval omdat nieuwe clients geen netwerktoegang kunnen krijgen. Een DoS-aanval is elke aanval die wordt gebruikt om specifieke apparaten en netwerkservices te overbelasten met illegaal verkeer, waardoor wordt voorkomen dat legitiem verkeer die bronnen bereikt.

Bij DHCP-spoofingaanvallen configureert een aanvaller een nep-DHCP-server op het netwerk om IP-adressen aan clients te verstrekken. De normale reden voor deze aanval is om de clients te dwingen valse DNS- (Domain Name System) of WINS-servers (Windows Internet Naming Service) te gebruiken en de clients de aanvaller of een machine onder controle van de aanvaller te laten gebruiken als hun standaard gateway.

DHCP-uithongering wordt vaak gebruikt vóór een DHCP-spoofing-aanval om service aan de legitieme DHCP-server te weigeren, waardoor het gemakkelijker wordt om een ​​nep-DHCP-server in het netwerk te introduceren.

Gebruik de DHCP-snooping- en poortbeveiligingsfuncties op de Cisco Catalyst-switches om DHCP-aanvallen te beperken. Deze functies worden in een later onderwerp behandeld.

2.2.2.3. Veelvoorkomende beveiligingsaanvallen: gebruik maken van CDP

Het Cisco Discovery Protocol (CDP) is een eigen protocol waarvoor alle Cisco-apparaten kunnen worden geconfigureerd. CDP ontdekt andere Cisco-apparaten die rechtstreeks zijn aangesloten, waardoor de apparaten hun verbinding automatisch kunnen configureren. In sommige gevallen vereenvoudigt dit de configuratie en connectiviteit.

Standaard hebben de meeste Cisco-routers en switches CDP ingeschakeld op alle poorten. CDP-informatie wordt verzonden in periodieke, niet-versleutelde uitzendingen. Deze informatie wordt lokaal bijgewerkt in de CDP-database van elk apparaat. Omdat CDP een Layer 2-protocol is, worden CDP-berichten niet door routers verspreid.

CDP bevat informatie over het apparaat, zoals het IP-adres, de IOS-softwareversie, het platform, de mogelijkheden en het native VLAN. Deze informatie kan door een aanvaller worden gebruikt om manieren te vinden om het netwerk aan te vallen, meestal in de vorm van een denial-of-service (DoS) -aanval.

De afbeelding is een deel van een Wireshark-opname die de inhoud van een CDP-pakket toont. Met name de Cisco IOS-softwareversie die via CDP werd ontdekt, zou de aanvaller in staat stellen om te bepalen of er specifieke beveiligingsproblemen waren voor die specifieke versie van IOS. Omdat CDP niet is geverifieerd, kan een aanvaller ook nep CDP-pakketten maken en deze naar een rechtstreeks aangesloten Cisco-apparaat sturen.

Het wordt aanbevolen om het gebruik van CDP uit te schakelen op apparaten of poorten die het niet hoeven te gebruiken door het commando no cdp run global configuration mode te gebruiken. CDP kan per poort worden uitgeschakeld.

Telnet-aanvallen

Het Telnet-protocol is onveilig en kan door een aanvaller worden gebruikt om op afstand toegang te krijgen tot een Cisco-netwerkapparaat. Er zijn tools beschikbaar waarmee een aanvaller een brute force-aanval op het kraken van wachtwoorden kan starten tegen de vty-regels op de switch.

Brute Force-wachtwoordaanval

De eerste fase van een brute force-wachtwoordaanval begint met de aanvaller die een lijst met veelvoorkomende wachtwoorden gebruikt en een programma dat is ontworpen om te proberen een Telnet-sessie tot stand te brengen met elk woord in de woordenboeklijst. Als het wachtwoord niet wordt ontdekt door de eerste fase, begint een tweede fase. In de tweede fase van een brute force-aanval gebruikt de aanvaller een programma dat opeenvolgende tekencombinaties maakt in een poging het wachtwoord te raden. Als er voldoende tijd is, kan een brute force-wachtwoordaanval bijna alle gebruikte wachtwoorden kraken.

Gebruik sterke wachtwoorden die regelmatig worden gewijzigd om wachtwoordaanvallen met brute kracht te voorkomen. Een sterk wachtwoord moet een combinatie van hoofdletters en kleine letters bevatten en moet cijfers en symbolen (speciale tekens) bevatten. Toegang tot de vty-lijnen kan ook worden beperkt met behulp van een toegangscontrolelijst (ACL).

Telnet DoS-aanval

Telnet kan ook worden gebruikt om een ​​DoS-aanval uit te voeren. Bij een Telnet DoS-aanval maakt de aanvaller misbruik van een fout in de Telnet-serversoftware die op de switch wordt uitgevoerd, waardoor de Telnet-service niet beschikbaar is. Dit soort aanvallen voorkomt dat een beheerder op afstand toegang krijgt tot switchbeheerfuncties. Dit kan worden gecombineerd met andere directe aanvallen op het netwerk als onderdeel van een gecoördineerde poging om te voorkomen dat de netwerkbeheerder toegang krijgt tot kernapparaten tijdens de inbreuk.

Kwetsbaarheden in de Telnet-service waardoor DoS-aanvallen kunnen plaatsvinden, worden meestal aangepakt in beveiligingspatches die zijn opgenomen in nieuwere Cisco IOS-revisies.

Opmerking: het is een best practice om SSH te gebruiken in plaats van Telnet voor verbindingen voor extern beheer.

2.2.3. Best practices voor beveiliging

2.2.3.1. Best practices

Het verdedigen van uw netwerk tegen aanvallen vereist waakzaamheid en opleiding. Hier volgen enkele best practices voor het beveiligen van een netwerk:

  • Ontwikkel een schriftelijk beveiligingsbeleid voor de organisatie.
  • Sluit ongebruikte services en poorten af.
  • Gebruik sterke wachtwoorden en verander deze vaak.
  • Beheer fysieke toegang tot apparaten.
  • Vermijd het gebruik van standaard onveilige HTTP-websites, vooral voor inlogschermen; gebruik in plaats daarvan de veiligere HTTPS.
  • Maak regelmatig back-ups en test de bestanden waarvan een back-up is gemaakt.
  • Geef werknemers voorlichting over social engineering-aanvallen en ontwikkel beleid om identiteiten te valideren via de telefoon, e-mail en persoonlijk.
  • Versleutel en beveilig gevoelige gegevens met een wachtwoord.
  • Implementeer beveiligingshardware en -software, zoals firewalls.
  • Houd de software up-to-date door indien mogelijk wekelijks of dagelijks beveiligingspatches te installeren.

Deze methoden zijn slechts een startpunt voor beveiligingsbeheer. Organisaties moeten te allen tijde waakzaam blijven om zich te verdedigen tegen voortdurend veranderende bedreigingen. Gebruik netwerkbeveiligingstools om de kwetsbaarheid van het huidige netwerk te meten.

2.2.3.2. Netwerkbeveiligingstools en testen

Netwerkbeveiligingstools helpen een netwerkbeheerder een netwerk te testen op zwakke punten. Bij sommige tools kan een beheerder de rol van aanvaller op zich nemen. Met een van deze tools kan een beheerder een aanval op het netwerk starten en de resultaten controleren om te bepalen hoe het beveiligingsbeleid kan worden aangepast om dit soort aanvallen te beperken. Beveiligingsaudits en penetratietesten zijn twee basisfuncties die netwerkbeveiligingstools uitvoeren.

Testtechnieken voor netwerkbeveiliging kunnen handmatig worden gestart door de beheerder. Andere tests zijn sterk geautomatiseerd. Ongeacht het type testen, het personeel dat de beveiligingstests opzet en uitvoert, moet over uitgebreide beveiligings- en netwerkkennis beschikken. Dit omvat expertise op de volgende gebieden:

  • Netwerk veiligheid
  • Firewalls
  • Inbraakpreventiesystemen
  • Besturingssystemen
  • Programmeren
  • Netwerkprotocollen (zoals TCP/IP)

2.2.3.3. Netwerkbeveiligingsaudits

Met hulpprogramma’s voor netwerkbeveiliging kan een netwerkbeheerder een beveiligingsaudit van een netwerk uitvoeren. Een beveiligingsaudit laat zien welk type informatie een aanvaller kan verzamelen door simpelweg het netwerkverkeer te monitoren.

Met hulpprogramma’s voor netwerkbeveiliging kan een beheerder de MAC-adrestabel overspoelen met fictieve MAC-adressen. Dit wordt gevolgd door een audit van de switchpoorten wanneer de switch het verkeer uit alle poorten begint te laten stromen. Tijdens de audit worden de legitieme MAC-adrestoewijzingen verouderd en vervangen door fictieve MAC-adrestoewijzingen. Dit bepaalt welke poorten zijn aangetast en niet correct geconfigureerd om dit type aanval te voorkomen.

Timing is een belangrijke factor bij het succesvol uitvoeren van de audit. Verschillende switches ondersteunen verschillende aantallen MAC-adressen in hun MAC-tabel. Het kan moeilijk zijn om het ideale aantal vervalste MAC-adressen te bepalen om naar de switch te sturen. Een netwerkbeheerder heeft ook te maken met de verouderingsperiode van de MAC-adrestabel. Als de vervalste MAC-adressen verouderen tijdens het uitvoeren van een netwerkcontrole, beginnen geldige MAC-adressen de MAC-adrestabel te vullen en de gegevens te beperken die kunnen worden gecontroleerd met een netwerkcontroletool.

Netwerkbeveiligingstools kunnen ook worden gebruikt voor penetratietesten tegen een netwerk. Penetratietesten zijn een gesimuleerde aanval op het netwerk om te bepalen hoe kwetsbaar het zou zijn bij een echte aanval. Hierdoor kan een netwerkbeheerder zwakke punten in de configuratie van netwerkapparaten identificeren en wijzigingen aanbrengen om de apparaten beter bestand te maken tegen aanvallen. Er zijn talloze aanvallen die een beheerder kan uitvoeren, en de meeste toolsuites worden geleverd met uitgebreide documentatie over de syntaxis die nodig is om de gewenste aanval uit te voeren.

Omdat penetratietests nadelige effecten kunnen hebben op het netwerk, worden ze uitgevoerd onder zeer gecontroleerde omstandigheden, volgens gedocumenteerde procedures die zijn beschreven in een uitgebreid netwerkbeveiligingsbeleid. Een off-line testbednetwerk dat het daadwerkelijke productienetwerk nabootst, is ideaal. Het testbednetwerk kan worden gebruikt door netwerkpersoneel om netwerkpenetratietests uit te voeren.

2.2.4.1. Beveilig niet gebruikte poorten

Schakel ongebruikte poorten uit

Een eenvoudige methode die veel beheerders gebruiken om het netwerk te beveiligen tegen ongeautoriseerde toegang, is door alle ongebruikte poorten op een switch uit te schakelen. Als een Catalyst 2960-switch bijvoorbeeld 24 poorten heeft en er zijn drie Fast Ethernet-verbindingen in gebruik, is het een goede gewoonte om de 21 ongebruikte poorten uit te schakelen. Navigeer naar elke ongebruikte poort en voer de Cisco IOS-afsluitopdracht uit. Als een poort later opnieuw moet worden geactiveerd, kan deze worden ingeschakeld met de opdracht niet afsluiten. De afbeelding toont een gedeeltelijke output voor deze configuratie.

Het is eenvoudig om configuratiewijzigingen aan te brengen op meerdere poorten op een switch. Als een reeks poorten moet worden geconfigureerd, gebruikt u de opdracht interfacebereik.

Switch (config) # interfacebereik type module / eerste nummer – laatste nummer

Het in- en uitschakelen van poorten kan tijdrovend zijn, maar het verbetert de beveiliging op het netwerk en is de moeite zeker waard.

2.2.4.2. DHCP-snooping

DHCP-snooping is een Cisco Catalyst-functie die bepaalt welke switchpoorten kunnen reageren op DHCP-verzoeken. Poorten worden geïdentificeerd als vertrouwd en niet-vertrouwd. Vertrouwde poorten kunnen alle DHCP-berichten ontvangen, inclusief DHCP-aanbieding en DHCP-bevestigingspakketten; niet-vertrouwde poorten kunnen alleen verzoeken genereren. Vertrouwde poorten hosten een DHCP-server of kunnen een uplink naar de DHCP-server zijn. Als een bedrieglijk apparaat op een niet-vertrouwde poort probeert een DHCP-aanbiedingspakket naar het netwerk te sturen, wordt de poort afgesloten. Deze functie kan worden gekoppeld aan DHCP-opties waarin switch-informatie, zoals de poort-ID van het DHCP-verzoek, in het DHCP-verzoekpakket kan worden ingevoegd.

Zoals weergegeven in afbeelding 1 en 2, zijn niet-vertrouwde poorten de poorten die niet expliciet als vertrouwd zijn geconfigureerd. Een DHCP-bindingstabel is gebouwd voor niet-vertrouwde poorten. Elk item bevat een client-MAC-adres, IP-adres, leasetijd, bindingstype, VLAN-nummer en poort-ID die worden geregistreerd wanneer clients DHCP-verzoeken doen. De tabel wordt vervolgens gebruikt om daaropvolgend DHCP-verkeer te filteren. Vanuit het perspectief van DHCP-snooping mogen niet-vertrouwde toegangspoorten geen DHCP-serverberichten verzenden.

Deze stappen illustreren hoe u DHCP-snooping configureert op een Catalyst 2960-switch:

Stap 1. Schakel DHCP-snooping in met de opdracht ip dhcp snooping globale configuratiemodus.

Stap 2. Schakel DHCP-snooping in voor specifieke VLAN’s met de opdracht ip dhcp snooping vlan-nummer.

Stap 3. Definieer poorten als vertrouwd op interfaceniveau door de vertrouwde poorten te definiëren met de opdracht ip dhcp snooping trust.

Stap 4. (Optioneel) Beperk de snelheid waarmee een aanvaller continu nep DHCP-verzoeken via niet-vertrouwde poorten naar de DHCP-server kan sturen met behulp van de opdracht IP dhcp snooping limit rate.

2.2.4.3. Poortbeveiliging: werking

Poortbeveiliging

Alle switchpoorten (interfaces) moeten worden beveiligd voordat de switch wordt ingezet voor productiegebruik. Een manier om poorten te beveiligen is door een functie genaamd poortbeveiliging te implementeren. Poortbeveiliging beperkt het aantal geldige MAC-adressen dat op een poort is toegestaan. De MAC-adressen van legitieme apparaten krijgen toegang, terwijl andere MAC-adressen worden geweigerd.

Poortbeveiliging kan worden geconfigureerd om een ​​of meer MAC-adressen toe te staan. Als het aantal toegestane MAC-adressen op de poort beperkt is tot één, kan alleen het apparaat met dat specifieke MAC-adres met succes verbinding maken met de poort.

Als een poort is geconfigureerd als een veilige poort en het maximale aantal MAC-adressen is bereikt, zullen alle extra pogingen om verbinding te maken via onbekende MAC-adressen een beveiligingsovertreding veroorzaken. Figuur 1 vat deze punten samen.

Beveiligde MAC-adrestypes

Er zijn een aantal manieren om poortbeveiliging te configureren. Het type beveiligd adres is gebaseerd op de configuratie en omvat:

  • Statische beveiligde MAC-adressen – MAC-adressen die handmatig op een poort zijn geconfigureerd met behulp van de opdracht switchport port-security mac-address mac-address interface configuration mode. MAC-adressen die op deze manier zijn geconfigureerd, worden opgeslagen in de adrestabel en worden toegevoegd aan de actieve configuratie op de switch.
  • Dynamische beveiligde MAC-adressen – MAC-adressen die dynamisch worden geleerd en alleen in de adrestabel worden opgeslagen. MAC-adressen die op deze manier zijn geconfigureerd, worden verwijderd wanneer de switch opnieuw wordt opgestart.
  • Sticky secure MAC-adressen – MAC-adressen die dynamisch kunnen worden geleerd of handmatig kunnen worden geconfigureerd, vervolgens kunnen worden opgeslagen in de adrestabel en kunnen worden toegevoegd aan de actieve configuratie.

Sticky Secure MAC-adressen

Om een ​​interface te configureren om dynamisch aangeleerde MAC-adressen om te zetten in sticky veilige MAC-adressen en deze toe te voegen aan de actieve configuratie, moet je sticky learning inschakelen. Sticky learning is ingeschakeld op een interface met behulp van de opdracht switchport port-security mac-address sticky interface configuration mode.

Wanneer deze opdracht wordt ingevoerd, converteert de switch alle dynamisch aangeleerde MAC-adressen, inclusief degene die dynamisch werden geleerd voordat sticky learning werd ingeschakeld, naar sticky veilige MAC-adressen. Alle plakkerige beveiligde MAC-adressen worden toegevoegd aan de adrestabel en aan de actieve configuratie.

Sticky beveiligde MAC-adressen kunnen ook handmatig worden gedefinieerd. Wanneer sticky secure MAC-adressen worden geconfigureerd met behulp van de opdracht switchport port-security mac-address sticky mac-address interface configuratiemodus, worden alle opgegeven adressen toegevoegd aan de adrestabel en de actieve configuratie.

Als de sticky beveiligde MAC-adressen worden opgeslagen in het opstartconfiguratiebestand, hoeft de interface de adressen niet opnieuw te leren wanneer de switch opnieuw opstart of de interface wordt uitgeschakeld. Als de plakkerige beveiligde adressen niet worden opgeslagen, gaan ze verloren.

Als sticky learning is uitgeschakeld door het commando no switchport port-security mac-address sticky interface configuratiemodus te gebruiken, blijven de sticky secure MAC-adressen onderdeel van de adrestabel, maar worden ze verwijderd uit de actieve configuratie.

Figuur 2 toont de kenmerken van plakkerige beveiligde MAC-adressen.

Merk op dat de poortbeveiligingsfunctie pas werkt als poortbeveiliging is ingeschakeld op de interface met de opdracht switchport port-security.

2.2.4.4. Poortbeveiliging: overtredingsmodi

Het is een beveiligingsovertreding wanneer een van de volgende situaties zich voordoet:

  • Het maximale aantal beveiligde MAC-adressen is toegevoegd aan de adrestabel voor die interface, en een station waarvan het MAC-adres niet in de adrestabel staat, probeert toegang te krijgen tot de interface.
  • Een adres dat op een beveiligde interface is geleerd of geconfigureerd, wordt op een andere beveiligde interface in hetzelfde VLAN gezien.

Een interface kan worden geconfigureerd voor een van de drie overtredingsmodi, waarbij wordt aangegeven welke actie moet worden ondernomen als er een overtreding optreedt. De afbeelding laat zien welke soorten gegevensverkeer worden doorgestuurd wanneer een van de volgende modi voor beveiligingsovertredingen op een poort is geconfigureerd:

  • Beschermen – Wanneer het aantal beveiligde MAC-adressen de limiet bereikt die is toegestaan ​​op de poort, worden pakketten met onbekende bronadressen verwijderd totdat een voldoende aantal beveiligde MAC-adressen is verwijderd of het aantal maximaal toegestane adressen is verhoogd. Er is geen melding dat er een beveiligingsovertreding heeft plaatsgevonden.
  • Beperken – Wanneer het aantal veilige MAC-adressen de limiet bereikt die is toegestaan ​​op de poort, worden pakketten met onbekende bronadressen verwijderd totdat een voldoende aantal veilige MAC-adressen is verwijderd of het aantal maximaal toegestane adressen is verhoogd. In deze modus is er een melding dat er een beveiligingsovertreding is opgetreden.
  • Afsluiten – In deze (standaard) overtredingsmodus zorgt een overtreding van de poortbeveiliging ervoor dat de interface onmiddellijk door fouten wordt uitgeschakeld en wordt de poort-LED uitgeschakeld. Het verhoogt de overtredingsteller. Wanneer een beveiligde poort in de fout-uitgeschakelde toestand is, kan deze uit deze toestand worden gehaald door de opdrachten shutdown en no shutdown interface configuratiemodusopdrachten in te voeren.

Om de overtredingsmodus op een switchpoort te wijzigen, gebruikt u de switchport port-security violation {protect | restrict | shutdown interfaceconfiguratiemodus opdracht.

2.2.4.5. Poortbeveiliging: configureren

Afbeelding 1 geeft een overzicht van de standaardpoortbeveiligingsinstellingen op een Cisco Catalyst-switch.

Afbeelding 2 toont de Cisco IOS CLI-opdrachten die nodig zijn om poortbeveiliging te configureren op de Fast Ethernet F0 / 18-poort op de S1-switch. Merk op dat het voorbeeld geen overtredingsmodus specificeert. In dit voorbeeld is de overtredingsmodus afsluiten (de standaardmodus).

Afbeelding 3 laat zien hoe u sticky secure MAC-adressen inschakelt voor poortbeveiliging op Fast Ethernet-poort 0/19 van switch S1. Zoals eerder vermeld, kan het maximale aantal beveiligde MAC-adressen handmatig worden geconfigureerd. In dit voorbeeld wordt de Cisco IOS-opdrachtsyntaxis gebruikt om het maximale aantal MAC-adressen in te stellen op 10 voor poort 0/19. De overtredingsmodus is standaard ingesteld op afsluiten.

2.2.4.6. Poortbeveiliging: verifiëren

Controleer de poortbeveiliging

Controleer na het configureren van poortbeveiliging op een switch elke interface om te controleren of de poortbeveiliging correct is ingesteld, en controleer of de statische MAC-adressen correct zijn geconfigureerd.

Controleer de poortbeveiligingsinstellingen

Gebruik de opdracht show port-security [interface interface-id] om de poortbeveiligingsinstellingen voor de switch of voor de opgegeven interface weer te geven. De uitvoer voor de dynamische poortbeveiligingsconfiguratie wordt getoond in Figuur 1. Standaard is er één MAC-adres toegestaan ​​op deze poort.

De uitvoer getoond in Figuur 2 toont de waarden voor de sticky port-beveiligingsinstellingen. Het maximale aantal adressen is ingesteld op 10, zoals geconfigureerd.

Opmerking: het MAC-adres wordt geïdentificeerd als een plak MAC.

Sticky MAC-adressen worden toegevoegd aan de MAC-adrestabel en aan de actieve configuratie. Zoals weergegeven in afbeelding 3, is de plakkerige MAC voor PC2 toegevoegd aan de actieve configuratie voor S1.

Controleer beveiligde MAC-adressen

Gebruik de opdracht show port-security address om alle beveiligde MAC-adressen weer te geven die zijn geconfigureerd op alle switch-interfaces, of op een bepaalde interface met voor elk de verouderingsinformatie. Zoals weergegeven in afbeelding 4, worden de beveiligde MAC-adressen weergegeven samen met de typen.

2.2.4.7. Poorten met foutmelding uitgeschakeld

Wanneer een poort is geconfigureerd met poortbeveiliging, kan een overtreding ertoe leiden dat de poort door een fout wordt uitgeschakeld. Wanneer een poort door een fout is uitgeschakeld, wordt deze effectief afgesloten en wordt er geen verkeer op die poort verzonden of ontvangen. Op de console wordt een reeks berichten over poortbeveiliging weergegeven (Afbeelding 1).

Opmerking: het poortprotocol en de linkstatus zijn gewijzigd naar omlaag.

De poort-LED gaat uit. De opdracht show interfaces identificeert de poortstatus als fout uitgeschakeld (Afbeelding 2). De uitvoer van de opdracht show port-security interface toont nu de poortstatus als veilig afsluiten. Omdat de modus voor overtreding van de poortbeveiliging is ingesteld op afsluiten, gaat de poort met de overtreding naar de status Fout uitgeschakeld.

De beheerder moet bepalen waardoor de beveiligingsovertreding is veroorzaakt voordat de poort opnieuw wordt ingeschakeld. Als een niet-geautoriseerd apparaat is aangesloten op een beveiligde poort, mag de poort niet opnieuw worden ingeschakeld totdat de beveiligingsbedreiging is geëlimineerd. Om de poort weer in te schakelen, gebruikt u de opdracht shutdown interface configuratie mode opdracht(Afbeelding 3). Gebruik vervolgens de opdracht interfaceconfiguratie no shutdown om de poort operationeel te maken.

2.2.4.8. Network Time Protocol (NTP)

De juiste tijd hebben binnen netwerken is belangrijk. Correcte tijdstempels zijn vereist om netwerkgebeurtenissen, zoals beveiligingsschendingen, nauwkeurig te volgen. Bovendien is kloksynchronisatie van cruciaal belang voor de juiste interpretatie van gebeurtenissen in syslog-gegevensbestanden en voor digitale certificaten.

Network Time Protocol (NTP) is een protocol dat wordt gebruikt om de klokken van computersystemen te synchroniseren via pakketgeschakelde datanetwerken met variabele latentie. Met NTP kunnen netwerkapparaten hun tijdinstellingen synchroniseren met een NTP-server. Een groep NTP-clients die tijd- en datuminformatie van een enkele bron verkrijgen, hebben consistentere tijdsinstellingen.

Een veilige methode om het netwerk te klokken, is dat netwerkbeheerders hun eigen privénetwerk-masterklokken implementeren, gesynchroniseerd met UTC, met behulp van satelliet of radio. Als netwerkbeheerders hun eigen masterklokken echter om kosten of andere redenen niet willen implementeren, zijn er andere klokbronnen beschikbaar op internet. NTP kan de juiste tijd krijgen van een interne of externe tijdbron, waaronder het volgende:

  • Lokale hoofdklok
  • Hoofdklok op internet
  • GPS of atoomklok

Een netwerkapparaat kan worden geconfigureerd als een NTP-server of een NTP-client. Om de softwareklok te laten synchroniseren door een NTP-tijdserver, gebruikt u de opdracht ntp server ip-adres in de globale configuratiemodus. Een voorbeeldconfiguratie wordt getoond in Figuur 1. Router R2 is geconfigureerd als een NTP-client, terwijl router R1 dient als een gezaghebbende NTP-server.

Om een ​​apparaat te configureren met een NTP-masterklok waarmee peers zichzelf kunnen synchroniseren, gebruikt u de opdracht ntp master [stratum] in de globale configuratiemodus. De stratumwaarde is een getal van 1 tot 15 en geeft het NTP-stratumnummer aan dat het systeem zal claimen. Als het systeem is geconfigureerd als een NTP-master en er is geen stratumnummer opgegeven, wordt standaard stratum 8 weergegeven. Als de NTP-master geen klok kan bereiken met een lager stratumnummer, beweert het systeem te zijn gesynchroniseerd op het geconfigureerde stratumnummer, en andere systemen zullen bereid zijn om ermee te synchroniseren met behulp van NTP.

Figuur 2 toont de verificatie van NTP. Om de status van NTP-koppelingen weer te geven, gebruikt u de opdracht show ntp associations in geprivilegieerde EXEC-modus. Deze opdracht geeft het IP-adres aan van alle peer-apparaten die met deze peer zijn gesynchroniseerd, statisch geconfigureerde peers en het stratum-nummer. De opdracht show ntp status user EXEC kan worden gebruikt om informatie weer te geven zoals de NTP-synchronisatiestatus, de peer waarmee het apparaat is gesynchroniseerd en in welke NTP-strata het apparaat functioneert.

2.3. Samenvatting

Wanneer een Cisco LAN-switch voor het eerst wordt ingeschakeld, doorloopt deze de volgende opstartvolgorde:

  1. Ten eerste laadt de switch een in het ROM opgeslagen zelftestprogramma (POST). POST controleert het CPU-subsysteem. Het test de CPU, DRAM en het gedeelte van het flash-apparaat waaruit het flash-bestandssysteem bestaat.
  2. Vervolgens laadt de switch de bootloader-software. De bootloader is een klein programma dat is opgeslagen in ROM en onmiddellijk wordt uitgevoerd nadat POST met succes is voltooid.
  3. De bootloader voert CPU-initialisatie op laag niveau uit. Het initialiseert de CPU-registers, die bepalen waar het fysieke geheugen wordt toegewezen, de hoeveelheid geheugen en de snelheid ervan.
  4. De bootloader initialiseert het flash-bestandssysteem op de systeemkaart.
  5. Ten slotte lokaliseert en laadt de bootloader een standaard IOS-besturingssysteemsoftwarebeeld in het geheugen en geeft de besturing van de overschakeling door aan de IOS.

Het specifieke Cisco IOS-bestand dat wordt geladen, wordt gespecificeerd door de omgevingsvariabele BOOT. Nadat Cisco IOS is geladen, gebruikt het de opdrachten in het opstartconfiguratiebestand om de interfaces te initialiseren en configureren. Als de Cisco IOS-bestanden ontbreken of beschadigd zijn, kan het bootloaderprogramma worden gebruikt om het probleem opnieuw te laden of te herstellen.

De operationele status van de schakelaar wordt weergegeven door een reeks LED’s op het frontpaneel. Deze LED’s geven zaken als poortstatus, duplex en snelheid weer.

Een IP-adres is geconfigureerd op de SVI van het beheer-VLAN om externe configuratie van het apparaat mogelijk te maken. Een standaardgateway die tot het beheer-VLAN behoort, moet op de switch worden geconfigureerd met de opdracht ip default-gateway. Als de standaardgateway niet correct is geconfigureerd, is beheer op afstand niet mogelijk. Het wordt aanbevolen om Secure Shell (SSH) te gebruiken om een ​​veilige (gecodeerde) beheerverbinding met een extern apparaat te bieden om het snuiven van niet-gecodeerde gebruikersnamen en wachtwoorden te voorkomen, wat mogelijk is bij het gebruik van protocollen zoals Telnet.

Een van de voordelen van een switch is dat deze full-duplex communicatie tussen apparaten mogelijk maakt, waardoor de communicatiesnelheid effectief wordt verdubbeld. Hoewel het mogelijk is om de snelheids- en duplexinstellingen van een switchinterface te specificeren, wordt aanbevolen dat de switch deze parameters automatisch instelt om fouten te voorkomen.

Switchpoortbeveiliging is een vereiste om aanvallen als MAC Address Flooding en DHCP Spoofing te voorkomen. Switch-poorten moeten zo worden geconfigureerd dat alleen frames met specifieke bron-MAC-adressen kunnen worden ingevoerd. Frames van onbekende bron-MAC-adressen moeten worden geweigerd en ervoor zorgen dat de poort wordt afgesloten om verdere aanvallen te voorkomen.

Poortbeveiliging is slechts één verdediging tegen netwerkcompromis. Er zijn 10 best practices die de beste verzekering voor een netwerk vormen:

  • Ontwikkel een schriftelijk beveiligingsbeleid voor de organisatie.
  • Sluit ongebruikte services en poorten af.
  • Gebruik sterke wachtwoorden en verander deze vaak.
  • Beheer fysieke toegang tot apparaten.
  • Gebruik geen standaard onveilige HTTP-websites, vooral niet voor inlogschermen. Gebruik in plaats daarvan het veiligere HTTPS.
  • Maak regelmatig back-ups en test de bestanden waarvan een back-up is gemaakt.
  • Geef werknemers voorlichting over social engineering-aanvallen en ontwikkel beleid om identiteiten te valideren via de telefoon, e-mail en persoonlijk.
  • Versleutel gevoelige gegevens en bescherm deze met een sterk wachtwoord.
  • Implementeer beveiligingshardware en -software, zoals firewalls.
  • Houd IOS-software up-to-date door, indien mogelijk, wekelijks of dagelijks beveiligingspatches te installeren.
  • Deze methoden zijn slechts een startpunt voor beveiligingsbeheer. Organisaties moeten te allen tijde waakzaam blijven om zich te verdedigen tegen voortdurend veranderende bedreigingen.