Ciele cvičenia

  • Definícia technológie EtherChannel
  • Potrebné podmienky na úspešné vytvorenie EtherChannelu
  • Bezpečnostné mechanizmy v LAN sieťach
  • Konfigurácia
  • Packet Tracer aktivita

Definícia technológie EtherChannel

Technológia, ktorá umožňuje spojiť viacero fyzických rozhraní do jedného logického za účelom vytvorenia prenosového kanála s vyššou priepustnosťou a taktiež zabraňuje vzniku slučiek. Cieľom etherchannelu je formovať logické rozhranie násobnej priepustnosti, ktoré je vyskladané z niekoľkých fyzických rozhraní. Na formovanie etherchannelu sa používajú 2 protokoly:

  • PAgP: Port Aggregation Protocol
  • LACP: Link Aggregation Control Protocol
  • Varianty PAgP:
    • auto (default) - odpovedá na PAgP pakety, ale nesnaží sa vyjednať portchannel (etherchannel)
    • desirable - vysiela pakety a snaží sa vyjednať portchannel
    • on - nevyužíva sa PAgP, nanútene je port portchannelom
  • Varianty LACP:
    • passive - odpovedá na LACP pakety, ale nesnaží sa vyjednať portchannel (etherchannel)
    • active - vysiela LACP pakety a snaží sa vyjednať portchannel
    • on - nevyužíva sa LACP, nanútene je port portchannelom

Potrebné podmienky na úspešné vytvorenie EtherChannelu

  • linka musí obsahovať rovnaký typ portov (FastEthernet to FastEthernet)
  • linka musí obsahovať rovnakú rýchlosť a duplex mód
  • všetky rozhrania v rovnakej VLAN musia byť v móde access
  • prepojenie len medzi dvoma switchmi
  • 2 až 8 fyzických prepojov

Bezpečnostné mechanizmy v LAN sieťach

Konfigurácia bezpečnosti na prepínačoch pozostáva z konfigurácie nasledujúcich mechanizmov, ktoré riešia útoky smerujúce na rozhrania, VLAN a protokoly DHCP, ARP a STP.

Vypnutie nepoužívaných rozhraní

Prvým spôsobom na zabezpečenie rozhraní je vypnutie nevyužitých rozhraní, čo je možné dosiahnuť príkazom shutdown. V prípade potreby vypnutia väčšieho rozsahu rozhraní je možné využiť príkaz range, ktorý umožňuje konfigurovať viacero rozhraní naraz.

Mechanizmy na zabránenie VLAN Hopping útoku

VLAN hopping útok je možné realizovať vyjednaním trunk rozhrania na miestach, kde nie je želaný alebo útokom tzv. dvojitého značkovania v prípade, ak je natívna VLAN rovnaká ako dátová VLAN, v ktorej sa nachádza útočník. Odporúčané kroky na zabránenie týmto útokom sú:

  • Vypnúť dynamické vyjednávanie trunk rozhraní:
    • Vypnutie DTP príkazom "switchport nonegotiate"
    • Statická konfigurácia access rozhrania.
    • Vypnutie nepoužívaných rozhraní a ich priradenie do VLAN, ktorá nie je používaná.
  • Nastavenie natívnej VLAN na trunk rozhraní na VLAN, ktorá nie je použitá na prenos dát.
Mechanizmy na zabránenie DHCP útoku

Na zamedzenie DHCP útokom sa využíva DHCP snooping mechanizmus. Po spustení tohto mechanizmu sú štandardne všetky rozhrania v stave untrusted. Untrusted rozhrania sú schopné prenášať len DHCP Discover a Request správy, ktoré sú bežné pre koncového používateľa. Tento typ rozhrania neposiela správy typické pre DHCP server. Rozhrania smerujúce k DHCP serveru a do zvyšku infraštruktúry je potrebné konfigurovať ako trust. Tiež je možné nakonfigurovať max. počet DHCP správ za sekundu, ktoré je možné odoslať cez untrust rozhranie. Pri konfigurácií je tiež potrebné definovať, pre ktoré VLAN bude aplikovaný DHCP snooping mechanizmus. Po pridelení sieťových nastavení sa tvorí tzv. DHCP snooping binding tabuľka, ktorá v sebe nesie informáciu o MAC a IP adrese nachádzajúcej sa za rozhraním. Táto tabuľka sa využíva pri ďalších bezpečnostných mechanizmoch.

Mechanizmy na zabránenie ARP útoku

Útok spočíva v odosielaní tzv. Gratuitous ARP správ, v ktorých je ako MAC adresa, adresa útočníka a IP adresa je adresa brány. Ide o typ nevyžiadanej ARP správy, ktorá ma aktualizovať ARP tabuľky koncových zariadení za účelom posielania správ na útočníkove zariadenie. Obranou voči tomu útoku je využitie mechanizmu Dynamic ARP Inspection (DAI), ktoré na základe DHCP snooping binding databázy kontroluje ARP požiadavky na Untrust rozhraniach.

Mechanizmy na zabránenie STP útoku

Medzi mechanizmy patriace na ovplyvňovanie správania sa STP je možné zaradiť PortFast a BPDU Guard. PortFast spôsobí, že rozhranie automaticky prechádza do stavu Forwarding. Mechanizmus BPDU Guard spôsobí, že v prípade prijatia BPDU uvedie rozhranie do stavu ErrDisable.

Konfigurácia

1. Konfigurácia EtherChannelu:

Switch> enable - prechod do privilegovaného módu

Switch# configure terminal - prechod do globálneho módu

Switch(config)# int ra fa0/1-2 - prechod na interface

Switch(config)# channel-group 1 mode [active|passive|desirable|auto] - nastavenie módu pre etcherchannel

Switch(config)# interface portchannel 1 - prechod na portchannel interface

Switch(config-if)# [príkaz] - príkazy sú aplikované na všetky porty daného etherchannelu

2. Vypnutie nepoužívaných rozhraní:

Switch(config)# interface range fa0/1 - 10 - voľba konfigurácie portov

Switch(config-if-range)# shutdown - vypne všetky zvolené porty

3. Konfigurácia DHCP Snoopingu:

Konfigurácie DHCP snoopingu na rozhraní Fa0/2 pre VLAN 10 a 20 s obmedzením prijatia max. množstva DHCP správ za sekundu na 100 by vyzerala nasledovne:


Switch(config)# ip dhcp snooping - spustenie služby DHCP Snooping

Switch(config)# interface f0/1- prechod na interface

Switch(config-if)# ip dhcp snooping trust- nastavenie dôveryhodnosti portu

Switch(config-if)# exit- vrátenie sa do predchádzajúceho módu

Switch(config)# interface f0/2- prechod na interface

Switch(config-if)# ip dhcp snooping limit rate 100- nastavenie maximálneho počtu DHCP REQUEST-ov na danom porte

Switch(config-if)# exit- vrátenie sa do predchádzajúceho módu

Switch(config)# ip dhcp snooping vlan 10,20- nastavenie funkčnosti služby DHCP Snooping pre dané VLAN-y

Switch# show ip dhcp snooping binding - zobrazí tabuľku po prijatí DHCP

4. Konfigurácia mechanizmu Dynamic ARP Inspection (DAI):

Switch(config)# ip dhcp snooping - spustenie služby DHCP Snooping

Switch(config)# ip dhcp snooping vlan [číslo] - nastavenie funkčnosti služby DHCP Snooping pre dané VLAN-y

Switch(config)# ip arp inspection vlan [číslo/rozsah] - povolenie dynamickej kontroly ARP na základe čísla/rozsahu VLAN

Switch(config)# interface fa0/24 - prechod na interface

Switch(config-if)# ip dhcp snooping trust - nastavenie dôveryhodnosti portu pomocou DHCP Snoopingu

Switch(config-if)# ip arp inspection trust - nastavenie dôveryhodnosti portu pomocou ARP

5. Konfigurácia mechanizmov PortFast a BPDU Guard:

Switch(config)# interface fa0/1 - prechod na interface

Switch(config-if)# spanning-tree bpduguard enable - spustenie mechanizmu BPDU Guard

Switch(config-if)# spanning-tree portfast - spustenie mechanizmu PortFast

Switch(config)# spanning-tree portfast bpduguard default - spustenie mechanizmu BPDU Guard na všetkých PortFast rozhraniach

Switch(config)# spanning-tree portfast default - spustenie mechanizmu PortFast na všetkých acces rozhraniach

Opakovanie konfigurácie v Packet Tracer aktivite

  • Táto aktivita slúži na interaktívnejšie precvičenie protokolu EtherChannel.
  • V tejto aktivite si môžete precvičiť:
    • Základné nastavenia prepínačov
    • Konfiguráciu PAgP
    • Konfiguráciu LACP
    • Konfiguráciu redundantnej EtherChannel linky
  • Táto aktivita je v anglickom jazyku, pretože cieľom tohoto predmetu je aj opakovanie technickej angličtiny.
  • Aktivita nie je časovo obmedzená a taktiež nebude ani hodnotená.