wiki.lkaplan.cz

User Tools

Site Tools

Trace:
wiki:site:cisco:ccnp:switch:17

This is an old revision of the document!

Table of Contents

VLAN Access Lists

VACL = Vlan Access Control List, Catalyst sw. dokáží pomocí VACL filtrovat provoz v rámci VLANy
Na rozdíl od klasického ACL se neaplikuje na interface, ale na VLANu jako celek

  • Switch(config)# vlan access-map map-name [sequence-number]
  • Switch(config-access-map)# match ip address {acl-number | acl-name}
  • Switch(config-access-map)# match ipx address {acl-number | acl-name}
  • Switch(config-access-map)# match mac address acl-name
  • Switch(config-access-map)# action {drop | forward [capture] | redirect type mod/num}
  • Switch(config)# vlan filter map-name vlan-list vlan-list

Příklad, host 192.168.99.17 nesmí kontaktovat nikoho v jeho subnetu a ve VLAN99: 

Switch(config)# ip access-list extended local-17
Switch(config-acl)# permit ip host 192.168.99.17 192.168.99.0 0.0.0.255
Switch(config-acl)# exit
Switch(config)# vlan access-map block-17 10
Switch(config-access-map)# match ip address local-17
Switch(config-access-map)# action drop
Switch(config-access-map)# vlan access-map block-17 20
Switch(config-access-map)# action forward
Switch(config-access-map)# exit
Switch(config)# vlan filter block-17 vlan-list 99

Private VLANs

  • PVLAN = Private VLAN
  • Umožňuje v běžné (primary)VLAN vytvářet secondary VLANy:
    • Isolated - porty nemohou komunikovat mezi sebou ani s žádnou jinou secondary vlan, můžou komunikovat s primary vlan
    • Comunity - porty nemohou komunikovat s žádnou jinou secondary vlan, můžou komunikovat v rámci své komunity a s primary vlan
  • Nastavení portů:
    • Promiscuous - port může komunikovat s kýmkoliv bez ohledu na PVLAN (servrer, gw, apod)
    • Host - port může komunikovat jen s promisc. porty, nebo porty ve stejné comunity
  • VTP nešíří inf. o PVLAN ⇒ nastavavení je jen lokální a musí se tedy na každém sw konfigurovat zvlášť

Konfigurace

Nejdříve nakonfigurujeme sekundární VLANy:

  • Switch(config)# vlan vlan-id
  • Switch(config-vlan)# private-vlan {isolated | community}

Konfigurace primární VLANy:

  • Switch(config)# vlan vlan-id
  • Switch(config-vlan)# private-vlan primary
  • Switch(config-vlan)# private-vlan association {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}

HOST port:

  • Switch(config-if)# switchport mode private-vlan host
  • Switch(config-if)# switchport private-vlan host-association primary-vlan-id secondary-vlan-id

PROMISC. port:

  • Switch(config-if)# switchport mode private-vlan promiscuous
  • Switch(config-if)# switchport private-vlan mapping primary-vlan-id secondary-vlan-list | {add secondary-vlan-list} | {remove secondary-vlan-list}

SVI PROMISC. port:
- Na SVI interfacech s L3 adresou je třeba dodatečně nakonfigurovat VLAN mapping
- Např. máme dvě sec.VLANy 40(isolated) a 50(comunity), které jsou asociovány s primární VLAN 200, primární VLAN však není schopna forvardovat L3 provoz z SVI interfacu, je třeba provést mapping.

  • Switch(config-if)# private-vlan mapping {secondary-vlan-list | add secondary-vlan-list | remove secondary-vlan-list}
  • nebo
  • Switch(config)# interface vlan 200
  • Switch(config-if)# private-vlan mapping 40,50

Příklad:

Switch(config)# vlan 10
Switch(config-vlan)# private-vlan community

Switch(config)# vlan 20
Switch(config-vlan)# private-vlan community

Switch(config)# vlan 30
Switch(config-vlan)# private-vlan isolated

Switch(config)# vlan 100
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 10,20,30

Switch(config)# interface range fastethernet 1/1 - 1/2
Switch(config-if-range)# switchport private-vlan host
Switch(config-if-range)# switchport private-vlan host-association 100 10

Switch(config)# interface range fastethernet 1/4 - 1/5
Switch(config-if-range)# switchport private-vlan host
Switch(config-if-range)# switchport private-vlan host-association 100 20

Switch(config)# interface fastethernet 1/3
Switch(config-if-range)# switchport private-vlan host
Switch(config-if-range)# switchport private-vlan host-association 100 30

Switch(config)# interface fastethernet 2/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 10,20,30

Securing VLAN Trunks

Switch Spoofing

  • Jsou-li porty v defaultním nastavení (DTP auto), útočník může se switchem vyjednat trunk a tím má přístup do všech VLAN.

Doporučuje se všechny end-user porty nastavit natvrdo jako access:

  • Switch(config)# interface type mod/num
  • Switch(config-if)# switchport access vlan vlan-id
  • Switch(config-if)# switchport mode access

Nevyužité porty ⇒ shutdown

VLAN Hopping

Útočník může pomocí dvojitě tagovaného rámce poslat tento rámec mimo svou VLAN bez použití routeru.

Podmínky útoku:

  • Útočník je připojen k access portu
  • Na switchi je alespoň jeden 802.1Q trunk
  • Útočníkův port je ve VLANě, která se trunkem přenáší jako nativní

Prevence:

  • Nastavit na trunku nevyužitou (falešnou) VLAN jako nativní
  • Tuto nativní VLAN na trunku zakázat
Switch(config)# vlan 800
Switch(config-vlan)# name bogus_native
Switch(config-vlan)# exit
Switch(config)# interface gigabitethernet 1/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport trunk native vlan 800
Switch(config-if)# switchport trunk allowed vlan remove 800
Switch(config-if)# switchport mode trunk

CDP, PAgP, DTP - i přes to, že je nativní VLAN zakázána, tyto protokoly fungují dále

  • Další variantou je tagovat i nativní VLAN:
Switch(config)# vlan dot1q tag native
wiki/site/cisco/ccnp/switch/17.1419615094.txt.gz · Last modified: 2014/12/26 18:31 by 127.0.0.1

Page Tools

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki