Differences

This shows you the differences between two versions of the page.

--- wiki:site:cisco:ccnp:switch:17 [2014/12/26 18:31]
127.0.0.1 upraveno mimo DokuWiki
+++ — (current)
@@ Line 1: / Line 1: @@
-====== VLAN Access Lists ======
-VACL = Vlan Access Control List, Catalyst sw. dokáží pomocí VACL filtrovat provoz v rámci VLANy\\
-Na rozdíl od klasického ACL se neaplikuje na interface, ale na VLANu jako celek
-  * Switch(config)# **vlan access-map** //map-name [sequence-number]//
-  * Switch(config-access-map)# **match ip address** //{acl-number | acl-name}//
-  * Switch(config-access-map)# **match ipx address** //{acl-number | acl-name}//
-  * Switch(config-access-map)# **match mac address** //acl-name//
-  * Switch(config-access-map)# **action {drop | forward [capture] | redirect** //type mod/num//**}**
-  * Switch(config)# **vlan filter** //map-name// **vlan-list** //vlan-list//
-Příklad, host 192.168.99.17 nesmí kontaktovat nikoho v jeho subnetu a ve VLAN99:
-<code>
-Switch(config)# ip access-list extended local-17
-Switch(config-acl)# permit ip host 192.168.99.17 192.168.99.0 0.0.0.255
-Switch(config-acl)# exit
-Switch(config)# vlan access-map block-17 10
-Switch(config-access-map)# match ip address local-17
-Switch(config-access-map)# action drop
-Switch(config-access-map)# vlan access-map block-17 20
-Switch(config-access-map)# action forward
-Switch(config-access-map)# exit
-Switch(config)# vlan filter block-17 vlan-list 99
-</code>
-====== Private VLANs ======
-  * PVLAN = Private VLAN
-  * Umožňuje v běžné (//primary//)VLAN vytvářet //secondary// VLANy:
-    * **Isolated** - porty nemohou komunikovat mezi sebou ani s žádnou jinou secondary vlan, můžou komunikovat s primary vlan
-    * **Comunity** - porty nemohou komunikovat s žádnou jinou secondary vlan, můžou komunikovat v rámci své komunity a s primary vlan
-  * Nastavení portů:
-    * **Promiscuous** - port může komunikovat s kýmkoliv bez ohledu na PVLAN (servrer, gw, apod)
-    * **Host** - port může komunikovat jen s promisc. porty, nebo porty ve stejné comunity
-  * VTP nešíří inf. o PVLAN => nastavavení je jen **lokální** a musí se tedy na každém sw konfigurovat zvlášť
-===== Konfigurace =====
-Nejdříve nakonfigurujeme sekundární VLANy:
-  * Switch(config)# **vlan** //vlan-id//
-  * Switch(config-vlan)# **private-vlan {isolated | community}**
-Konfigurace primární VLANy:
-  * Switch(config)# **vlan** //vlan-id//
-  * Switch(config-vlan)# **private-vlan primary**
-  * Switch(config-vlan)# **private-vlan association** //{secondary-vlan-list |// **add** //secondary-vlan-list |// **remove** //secondary-vlan-list}//
-HOST port:
-  * Switch(config-if)# **switchport mode private-vlan host**
-  * Switch(config-if)# **switchport private-vlan host-association** //primary-vlan-id secondary-vlan-id//
-PROMISC. port:
-  * Switch(config-if)# **switchport mode private-vlan promiscuous**
-  * Switch(config-if)# **switchport private-vlan mapping** //primary-vlan-id secondary-vlan-list | {//**add** //secondary-vlan-list} | {//**remove** //secondary-vlan-list}//
-SVI PROMISC. port:\\
-- Na SVI interfacech s L3 adresou je třeba dodatečně nakonfigurovat VLAN mapping\\
-- Např. máme dvě sec.VLANy 40(isolated) a 50(comunity), které jsou asociovány s primární VLAN 200, primární VLAN však není schopna forvardovat L3 provoz z SVI interfacu, je třeba provést mapping.
-  * Switch(config-if)# **private-vlan mapping** //{secondary-vlan-list |// **add** //secondary-vlan-list |// **remove** //secondary-vlan-list}//
-  * //nebo//
-  * Switch(config)# **interface vlan 200**
-  * Switch(config-if)# **private-vlan mapping 40,50**
-==== Příklad: ====
-{{:wiki:site:cisco:ccnp:switch:17-1.png }}
-<code>
-Switch(config)# vlan 10
-Switch(config-vlan)# private-vlan community
-Switch(config)# vlan 20
-Switch(config-vlan)# private-vlan community
-Switch(config)# vlan 30
-Switch(config-vlan)# private-vlan isolated
-Switch(config)# vlan 100
-Switch(config-vlan)# private-vlan primary
-Switch(config-vlan)# private-vlan association 10,20,30
-Switch(config)# interface range fastethernet 1/1 - 1/2
-Switch(config-if-range)# switchport private-vlan host
-Switch(config-if-range)# switchport private-vlan host-association 100 10
-Switch(config)# interface range fastethernet 1/4 - 1/5
-Switch(config-if-range)# switchport private-vlan host
-Switch(config-if-range)# switchport private-vlan host-association 100 20
-Switch(config)# interface fastethernet 1/3
-Switch(config-if-range)# switchport private-vlan host
-Switch(config-if-range)# switchport private-vlan host-association 100 30
-Switch(config)# interface fastethernet 2/1
-Switch(config-if)# switchport mode private-vlan promiscuous
-Switch(config-if)# switchport private-vlan mapping 100 10,20,30
-</code>
-====== Securing VLAN Trunks ======
-===== Switch Spoofing =====
-  * Jsou-li porty v defaultním nastavení (DTP auto), útočník může se switchem vyjednat trunk a tím má přístup do všech VLAN.
-{{:wiki:site:cisco:ccnp:switch:17-2.png}}
-Doporučuje se všechny end-user porty nastavit natvrdo jako access:
-  * Switch(config)# **interface** //type mod/num//
-  * Switch(config-if)# **switchport access vlan** //vlan-id//
-  * Switch(config-if)# **switchport mode access**
-Nevyužité porty => shutdown
-===== VLAN Hopping =====
-Útočník může pomocí dvojitě tagovaného rámce poslat tento rámec mimo svou VLAN bez použití routeru.
-Podmínky útoku:
-  * Útočník je připojen k access portu
-  * Na switchi je alespoň jeden 802.1Q trunk
-  * Útočníkův port je ve VLANě, která se trunkem přenáší jako nativní
-{{:wiki:site:cisco:ccnp:switch:17-3.png}}
-Prevence:
-  * Nastavit na trunku nevyužitou (falešnou) VLAN jako nativní
-  * Tuto nativní VLAN na trunku zakázat
-<code>
-Switch(config)# vlan 800
-Switch(config-vlan)# name bogus_native
-Switch(config-vlan)# exit
-Switch(config)# interface gigabitethernet 1/1
-Switch(config-if)# switchport trunk encapsulation dot1q
-Switch(config-if)# switchport trunk native vlan 800
-Switch(config-if)# switchport trunk allowed vlan remove 800
-Switch(config-if)# switchport mode trunk
-</code>
-CDP, PAgP, DTP - i přes to, že je nativní VLAN zakázána, tyto protokoly fungují dále
-  * Další variantou je tagovat i nativní VLAN:
-<code>Switch(config)# vlan dot1q tag native</code>

wiki.lkaplan.cz

User Tools

Site Tools

Differences

Page Tools