Month: May 2016
Цикл 4. Тема 19: PVST+ 1.4
- Из скольких основных шагов состоит создание STP? Дать объяснение.
Выбор корневого коммутатора.
На не корневом коммутаторе выбирается root port и desiganted port. - Каким образом выбирается Root Bridge?
Каждый коммутатор рассылает BPDU, указывая себя в качестве корневого. Если коммутатор получает BPDU с меньшим bridge id, он перестаёт анонсировать информацию что он корневой и начинает передавать BPDU коммутатора с меньшим bridge id.
-Наименьший bridge id
-если bridge id совпадают – наименьший мак. - Что можно изменить вручную при выборе Root Bridge?
priority - Объясните значения портов STP.
root port – порт на designated коммутаторе, который ведёт к руту.
designated port – порт, ведщий к нижележащему сегменту.
non-designated port – не является designated или root, трафик не передаётся.
disabled – не учавствует в stp - Каким образом происходит выбор портов в STP?
На корневом коммутаторе все порты designated. На некорневом выбирается root порт (единственный) – путь с наименьшей стоимостью, через который достижим корневой мост. Если стоимость одинаковая выбирается коммутатор с меньшим bridge id. Если мост один, а портов несколько, выбирается порт с наименьшим portid.
Коммутатор с наименьшей стоимостью достижения корневого называется designated. Designated port выбирается на основе
root path cost
bridge id
port id - Из каких элементов состоят Port ID и Bridge ID?
port id – default Port Priority и switch interface identifier, например 128.24
bridge id состоит из priority и mac-адреса (+ в pvst расширение для вланов) - Каким образом выбирается Designated Port?
Designated port выбирается на основе
root path cost
bridge id - Как работают блокированные порты в STP?
Принимают BPDU, но не принимают остальной трафик и ничего не отправляют. - Каким образом можно поменять роль портов?
Изменить стоимость.
Изменить bridge id
Изменить port id
Материалы по Циклу 4, Теме 19: PVST+ 1.4
http://ccie.linkmeup.ru/2016/05/23/materialy-po-tsiklu-4-teme-19-pvst-1-4/
Ссылки на сайт www.cisco.com:
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/15-0_1_se/configuration/guide/scg_3750/swstp.html
Как найти документ:
Cisco.com→Documentation →Switches→ Campus LAN Switches — Access→ Catalyst 3750 Series Switches→ Configuration Guides→ Catalyst 3750 Switch Software Configuration Guide, Cisco IOS Release 15.0(1)SE→ Configuring STP
Ссылки на книгу/главу:
CCIE Routing and Switching v5.0 Official Cert Guide Volume 1, Chapter 3: Spanning Tree Protocol
Ссылка на сайт www.xgu.ru:
http://xgu.ru/wiki/STP
Лабораторная работа по теме 18: Layer 2 Security 7.1
Отправить пинг c R3, R4, R5, соответственно, на IP-адреса VLAN’ов 30, 40, 20 на SW1 и убедиться, что они проходят.
На SW1 на портах, подключенных к SW2: разрешить 5 мак-адресов для vlan 20.
При обнаружении нарушения на этих портах, коммутатор должен сгенерировать сообщение о нарушении, увеличить счетчик нарушений и перевести порт в состояние err-disable.
Все MAC-адреса, которые разрешены по настройкам порта, должны автоматически записываться в текущую конфигурацию.
conf t
interface range eth2/2-3
switchport port-security
switchport port-security maximum 5 vlan 20
switchport port-security violation shutdown
switchport port-security mac-address sticky
На портах, подключенных к SW3:
разрешить 10 мак-адресов для vlan 30.
При обнаружении нарушения на этих портах, коммутатор должен сгенерировать сообщение о нарушении и увеличить счетчик нарушений.
Порт не должен переходить в err-disable.
Все MAC-адреса, которые разрешены по настройкам порта, должны автоматически записываться в текущую конфигурацию.
conf t
interface range eth 3/0-1
switchport port-security
switcport port-security maximum 10 vlan 30
switcport port-security violation restrict
switchport port-security mac-address sticky
На портах, подключенных к SW4:
разрешить 15 мак-адресов для vlan 40.
При обнаружении нарушения на этих портах, коммутатор должен тихо блокировать трафик от MAC-адресов, которые нарушают настройки.
Не должно генерироваться сообщение о нарушении и не должен увеличиваться счетчик нарушений.
Все MAC-адреса, которые разрешены по настройкам порта, должны автоматически записываться в текущую конфигурацию.
conf t
interface range e3/2-3
switchport port-security
switchport port-security maximum 15 vlan 40
switchport port-security mac-address sticky
switchport port-security violation protect
На SW1 настроить механизм автоматического восстановления портов из состояния err-disable, если порты попали в это состояние из-за port-security. Порты должны возвращаться в нормальное состояние через 2 минуты.
conf t
errdisable recovery cause psecure-violation
errdisavle interval 120
Отправить пинг c R3, R4, R5 на соответствующие вланы на SW1.
На SW3 порт Eth 0/1 планируется использовать для гостевого доступа. Настройте порт:
в режиме access в 30 VLAN,
и разрешите доступ для одной рабочей станций,
с учетом, что в случае, если первая подключившаяся рабочая станция неактивна в течение 3х минут, доступ в сеть через этот порт может быть предоставлен другой рабочей станции.
При обнаружении нарушения на этом порту, коммутатор должен сгенерировать сообщение о нарушении и увеличить счетчик нарушений.
Порт не должен переходить в err-disable. Оставить порт в состоянии shutdown.
conf t
interface eth0/1
switchport mode access
switchport access vlan 30
switchport port-security
switchport port-security maximum 1
switchport port-security aging type inactivity
switchport port-security aging time 2
switchport port-security violation restrict
На SW4 порт Eth1/2 настроить в режиме access в 40 VLAN, и разрешить доступ для 5 MAC-адресов. При этом:
коммутатор должен автоматически удалять все изученные для этого порта MAC-адреса через 3 часа.
При обнаружении нарушения на этих портах, коммутатор должен тихо блокировать трафик от MAC-адресов, которые нарушают настройки.
Не должно генерироваться сообщение о нарушении и не должен увеличиваться счетчик нарушений.
Оставить порт в состоянии shutdown.
conf t
interface eth1/2
switchport mode access
switchport access vlan 40
switchport port-security
switchport port-security maximum 5
switchport port-security aging time 180
switchport port-security aging type absolute
switchport port-security violation protect
Проверить настройки
sh port-security
sh port-security address
sh port-security interfa eth 0/0
Цикл 3. Тема 18: Layer 2 Security 7.1, Storm Control, Port Security
- По какому принципу работает port-security?
Проверяется MAC-адрес отправителя (на порту). Если он не тот, который задан, либо их количество больше чем нужно, могут примениться определённые действия. Адрес задаётся вручную, либо можно сделать sticky – первый выученный MAC. Количество MAC-ов может быть больше одного. - Что является целью port-security?
Предотвратить доступ неавторизованных хостов в сеть.
Предотвратить переполнение таблицы коммутации - Опишите режимы реагирования на нарушения? Дайте их полные характеристики.
protect – если количество адресов превысит максимальные пределы, пакеты с неизвестным адресом источника будут отброшены. Не рекомендуется использовать на транк портах. Никаких сообщений не генерируется.
restrict – то же самое что и protect, но при этом генерируется сообщение – snmp trap, syslog, увеличивается violation counter.
shutdown – в случае нарушения условий порт выключается. Вернуть из этого состояния можно коммандой errdisable recovery cause psecure-violation или shut/no shutd. Этот режим используется по умолчанию.
shutdown vlan – выключается только соответствующий влан. - Какой командой можно посмотреть характеристики интерфейса port-security?
show port-security interface te1/1 - К каким интерфейсам можно подключить port-security?
Только к static acces port или trunk ports. Защищаемый порт не может быть dynamic access port, портом назначения SPAN или портом в составе Gigabit etherchannel или private-vlan.
Type of Port or Feature on Port Compatible with Port Security
DTP4 port5 No
Trunk port Yes
Dynamic-access port6 No
Routed port No
SPAN source port Yes
SPAN destination port No
EtherChannel No
Tunneling port Yes
Protected port Yes
IEEE 802.1x port Yes
Voice VLAN port7 Yes
Private VLAN port No
IP source guard Yes
Dynamic Address Resolution Protocol (ARP) inspection Yes
Flex Links Yes - Сколько мак-адресов по умолчанию включены в port-security? Какой командой это можно проверить?
1 адрес. show port-security interface fa0/0 - Какие есть режимы Secure Mac адресов. Дайте их характеристики.
static secure – адрес задаётся командой switchport port-security mac-address <mac-address> на интерфейсе.
dynamic – конфигурируются динамически, хранятся в мак таблице. После перезагрузки пропадают.
sticky – это могут быть динамически или статически выученные адреса,
хранятся в таблице адресов,
добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать (это происходит не автоматически!)
You can configure an interface to convert the dynamic MAC addresses to sticky secure MAC addresses and to add them to the running configuration by enabling sticky learning. To enable sticky learning, enter the switchport port-security mac-address sticky interface configuration command. When you enter this command, the interface converts all the dynamic secure MAC addresses, including those that were dynamically learned before sticky learning was enabled, to sticky secure MAC addresses. All sticky secure MAC addresses are added to the running configuration. - Дайте характеристики ограничения на транковых портах в port-security.
Режим protected не рекомендуется настраивать на trunk портах, так как в этом режиме ограничивается число мак-адресов. Сообщенией никаких не генерируется. Если превышение произошло в одном влане, маки будут ограничиваться на всём порту. - Дать характеристику error disable режиму порта.
Некое конфликтное состояние, по которому выключается порт.
Несоответствие дуплексных режимов
неправильная конфигурация каналов портов
нарушение защиты BPDU
состояние обнаружения однонаправленной связи (UDLD)
обнаружение поздних конфликтов
обнаружение переброски канала
нарушение безопасности
переброска по протоколу агрегации портов (PAgP)
защита протокола туннелирования уровня 2 (L2TP)
ограничение скорости DHCP-отслеживания
неисправный модуль GBIC, подключаемый модуль малого форм-фактора (SFP) или кабель
проверка протокола ARP
встроенное питание - Какие проблемы могут возникнуть при настройке port-security на маршрутизаторах (HSRP, VRRP, GLBP)? Как их избежать?
- Дать характеристику для Storm Control.
Ограничение broadcast, unicast и multicast штормов. - Какая команда используется для настройки Storm Control?
conf t
interfa fa0/0
storm-control broadcast level <level> (в процентах от общей пропускной способности)
strom-control multicast level <level> supported only on Gigabit and 10-Gigabit Ethernet interfaces.
strom-control unicast level <level> supported only on Gigabit and 10-Gigabit Ethernet interfaces.
storm-control action shutdown
storm-control action trap
exit
snmp-server enable traps strom-control trap-rate <value>
show interfaces counters storm-control
Разделение control и data plane в сетевом оборудовании
Статья на хабре про непонятно что. Надо прочитать.
Материалы по Циклу 3, Теме 18: Layer 2 Security 7.1
http://ccie.linkmeup.ru/2016/05/20/tsikl-3-tema-18-layer-2-security-7-1/
Ссылки на сайт http://www.cisco.com:
Как найти документ:
Cisco.com→Documentation →Switches→ Campus LAN Switches — Access→ Catalyst 3750 Series Switches→ Configuration Guides→ Catalyst 3750 Switch Software Configuration Guide, Cisco IOS Release 15.0(1)SE→ Configuring Port-Based Traffic Control
Ссылки на книгу/главу:
CCIE Routing and Switching v5.0 Official Cert Guide Volume 2, Port Security
CCIE Routing and Switching v5.0 Official Cert Guide Volume 2, Storm Control
Ссылка на сайт www.xgu.ru:
http://xgu.ru/wiki/Port_security#Port_security_.D0.BD.D0.B0_.D0.BA.D0.BE.D0.BC.D0.BC.D1.83.D1.82.D0.B0.D1.82.D0.BE.D1.80.D0.B0.D1.85_Cisco
Лабораторная работа по теме 17: Device Management 8.1.8 (SNMP) task2
Загрузить начальную конфигурацию На R1 настроить SNMPv2c с такими ограничениями: Для community OPEN разрешить доступ на чтение к поддереву iso, но, при этом, запретить доступ к поддеревьям: к поддереву, которое начинается на ospf и поддереву, которое начинается на ip. Объект, в котором описываются поддеревья MIB, должен называться RO_OPEN.
sh snmp mib
conf t
snmp-server view RO_OPEN iso incl
snmp-server view RO_OPEN ip excl
snmp-server view RO_OPEN ospf excl
snmp-server community OPEN view RO_OPEN ro
Для community ADMIN разрешить доступ на чтение и запись, но только для IP 180.100.3.3. Использовать для этого ACL 20
ip access-list standard 20
10 permit host 180.100.3.3
snmp-server community ADMIN RW 20
На R2 настроить SNMPv2c с такими ограничениями:
Для community OPEN разрешить доступ на чтение только к поддереву ifEntry. Объект, в котором описывается поддерево MIB, должен называться R2_INT.
Индексы интерфейсов не должны меняться после перезагрузки
conf t
snmp-server ifindex persist
snmp-server view R2_INT ifEntry incl
snmp-server community OPEN view R2_INT ro
На R3 настроить SNMPv2c с такими ограничениями:
Для community ADMIN разрешить доступ на чтение и запись
Включить отправку сообщений trap на IP 180.1.4.4 (Loopback R4) используя версию 2c и community ADMIN
Trap должны отправляться, если интерфейс упал или поднялся; если сосед OSPF упал или поднялся.
Для проверки, включить на R3 debug snmp packets и сделать clear ip ospf process. Аналогично можно проверить генерацию trap, если меняется статус интерфейсов. В выводе debug вы должны увидеть сформированные сообщения trap, которые идут на R4
conf t
interfa eth0/1.34
no shutd
snmp trap link-status
exit
snmp-server community ADMIN RW
snmp-server enable traps snmp linkdown linkup
snmp-server enable traps ospf state-change neighbor-state-change
snmp-server host 180.1.4.4 version 2c ADMIN #разрешено всё
При очистке процесса cle ip ospf proc, трап срабатывает только на падение. При выключении интерфейса трап отрабатывает нормально. Возможно это связано с тем, что cle ip ospf proc не полностью кладёт сессию. Надо проверить.
Лабораторная работа по теме 17: Device Management 8.1.8 (SNMP) task1
Загрузить начальную конфигурацию На R1,R2,R3,R4,R5,R6 создать view SNMP сервера версии 3 под названием ALLINT и разрешить доступ для всех объектов интерфейса.
conf t
snmp-server view ALLINT ifNumber incl
snmp-server view ALLINT ifIndex incl
snmp-server view ALLINT ifDescr incl
snmp-server view ALLINT ifType incl
snmp-server view ALLINT ifMtu incl
snmp-server view ALLINT ifSpeed incl
snmp-server view ALLINT ifPhysAddress incl
snmp-server view ALLINT ifAdminStatus incl
snmp-server view ALLINT ifOperStatus incl
snmp-server view ALLINT ifLastChange incl
snmp-server view ALLINT ifInOctets incl
snmp-server view ALLINT ifInUcastPkts incl
snmp-server view ALLINT ifInNUcastPkts incl
snmp-server view ALLINT ifInDiscards incl
snmp-server view ALLINT ifInErrors incl
snmp-server view ALLINT ifInUnknownProtos incl
snmp-server view ALLINT ifOutOctets incl
snmp-server view ALLINT ifOutUcastPkts incl
snmp-server view ALLINT ifOutNUcastPkts incl
snmp-server view ALLINT ifOutDiscards incl
snmp-server view ALLINT ifOutErrors incl
snmp-server view ALLINT ifOutQLen incl
snmp-server view ALLINT ifSpecific incl
sh snmp view
На R1,R2,R3,R4,R5,R6 создать группу под названием CCIEinaYEAR с использованием SNMP версии 3 и дать разрешение на чтение и запись для view ALLINT.
snmp-server group CCIEinaYEAR v3 priv read ALLINT write ALLINT
sh snmp group
На R1,R2,R3,R4,R5,R6 создать пользователя под названием CCIEadmin, привязать его к группе CCIEinaYEAR c доступом на чтение и запись по протоколу SNMP, только в случае если пользователь пройдет SNMP аутентификацию:
Использовать аутентифкацию sha с паролем CCIEinaYEAR? , параметрами шифрования 3des и паролем шифрования CCIEinaYEAR?
Разрешить доступ для пользователя CCIEadmin только с адреса 180.1.3.3 используя ACL с номером 90
ip access-list standard 90
10 permit host 180.1.3.3
snmp-server user CCIEadmin CCIEinaYEAR v3 auth sha CCIEinaYEAR? priv des56 CCIEinaYEAR? access 90
Российский IPv6 день
Побывал на этом мероприятии, проводит MSK-IX. Проходила конференция в музее связи на Почтамском переулке. http://www.msk-ix.ru/events/forumspbix2016/agenda.html
Организация отличная, неплохие доклады. Но к сожалению, на действительно стоящие вещи было отведено мало времени, а на всякое балоболство – достаточно. Например “Круглый стол «Развитие бизнеса в современных условиях. Телеком, датацентры и ОТТ»” длился час, а к теме дня не имел вообще никакого отношения. А интересные доклады шли по 20-30 минут. Зато кормили неплохо..
switch port analayzer – обычное зеркалирование трафика с порта на порт. Таким образом можно анализировать трафик, не прерывая связь.
broadcast, multicast, unknown unicast
Порт источника может быть любым – физическим, L2, L3, acces, trunk, etherchannel.
Порт источника SPAN не может быть портом назначения SPAN.
Порты источника могут быть в разных вланах.
Каждый порт источника может быть с определённым направлением (ingress, egress, both). К портам в составе LAg применяется одно направление.
Применятеся только на trunk портах или voice vlan.
Используется только на port-based SPAN, не разрешено на vlan-based.
Все активные порты порты будут указаны в source port.
A destination port must reside on the same switch as the source port (for a local SPAN session).
Для локальной SPAN-сессии порт назначения должен быть на том же свитче что и порт источника.
Может быть любым физическим ethernt-портом.
Может принимать участие только в одной SPAN-сессии
Не может быть портом источника.
Не может быть членом LAG
PortChannel interface can be a destination port. Destination EtherChannels do not support the Port Aggregation Control Protocol (PAgP) or Link Aggregation Control Protocol (LACP) EtherChannel protocols; only the on mode is supported, with all EtherChannel protocol support disabled.
Может, но при этом он будет удалён из группы, а после отмены настроек будет добавлен обратно.
Он не будет мониториться
По умолчанию на порту назначения выключен mac-address learning. Чтобы он начал передавать трафик на хосты, подключённые к этому порту необходимо включить address learning: keyword learning. вот это?:
destination {single_interface | interface_list | interface_range | mixed_interface_list} [ingress [learning]]
Нет, не принимает участие ни в STP, VTP, CDP, DTP, PagP
Кадры, приходящие на этот порт будут отбрасываться.
По умолчанию пакеты пересылаются без тега и не мониторятся L2 протоклы. Эта команда позволяет:
-сохранить оригинальный тег (802.1q, ISL или без тега)
-зеркалировать трафик L2 протоколов – STP, CDP, VTP и т.д.